AMDEC - INTRODUCTION

Sommaire (suite)

Mise en oeuvre
Préparation de l'AMDEC
Identification des éléments de base
Description de la fonction
Recensement des modes de défaillance
Recherche des effets
Recherche des causes
Analyse de criticité
Détection et actions de réduction des
risques
 Sommaire

Introduction
Vocabulaire et définitions
Références
Applications de l'AMDEC
L'AMDEC et la SdF
Généralités
Quelle approche ?
Sur quel système ?
Sur quelle base ?
Quand ?
A quel niveau ?
Qui ?
 Sommaire (suite)

Mise en oeuvre
Préparation de l'AMDEC
Identification des éléments de base
Description de la fonction
Recensement des modes de défaillance
Recherche des effets
Recherche des causes
Analyse de criticité
Détection et actions de réduction des
risques
AMDEC - INTRODUCTION
 Vocabulaire
• AMDE : Analyse des Modes de Défaillance et de leurs
Effets.
• AMDEC : Analyse des Modes de Défaillance, de leurs
Effets et de leur Criticité.

Équivalences anglaises :

• FMEA : Failure Mode and Effects Analysis

• FMECA : Failure Mode , Effects and Criticality Analysis
 Définition

• Technique d'analyse systématique et

rigoureuse qui permet :
– de recenser les modes de défaillances,
– d'en rechercher les effets,
– éventuellement d'en identifier les causes,
– d'évaluer les conséquences et les risques
liés à ces défaillances.
 Références
• NORME FRANCAISE : NFX 60 510
Procédure d'analyse des modes de défaillance et de leurs effets (AMDE)
• NORME EUROPEENNE : CEI 812
Technique d’analyse de la fiabilité des systèmes - Procédure d’analyse
des modes de défaillance et de leur effet
• NORME AMERICAINE : MIL STD 1629 A
Procedure for performing a Failure Mode, Effects and Criticality Analysis
• NORME ANGLAISE : BS 5760
Reliability Management.
• Expériences et références diverses dans :
– Automobile
– Électronique
– Spatial
– Aéronautique
– Transport terrestre...
 Applications de l'AMDEC
• Construction de la sûreté de fonctionnement des systèmes :
– PRODUIT
– PROCESSUS,
– ORGANISATION

• Permet de cibler l’optimisation désirée :

– MAINTENANCE :
Évaluation des Moyens préventifs et correctifs de maintien en état
nominal
– SECURITE :
Mise en évidence et évaluation des risques liés au système
– FIABILITE :
Amélioration de la conception, et adéquation des dispositifs de
contrôle et d'exploitation

INCIDENCE DIRECTE SUR LA

QUALITE
 L'AMDEC n'est pas une étude
Elle nécessite des étapes de isolée
préparation.... .... et elle débouche sur d'autres
études
PROFILS ET OBJECTIFS
DE MISSION AMDEC

ANALYSE DE
DEFINITION DU SYSTEME MAINTENANCE ARBRES DE
DEFAILLANCES

ANALYSE FONCTIONNELLE ANALYSE DE

PROCEDURES ANALYSE DE
DISPONIBILITE

ALLOCATION D'OBJECTIFS ANALYSE DE

POINTS CRITIQUES TAUX DE DEFAILLANCE
CALCUL DE MTBF

AMDEC
REVUE DE CONCEPTION
AMDEC - GENERALITES
 Quelle approche ?
• Méthode inductive (ou Buttom – Up)
Fait particulier Conclusion générale
(l’élément) (l ’événement)

CAUSE EFFET

Analyse de l'influence du dysfonctionnement des composants sur le

système considéré, dans chacune des phases du profil de mission.

• L'AMDEC est avant tout une méthode d'analyse qualitative.

Peut avoir un aspect quantitatif, lorsqu'elle intègre des notions de
taux de défaillance et de probabilités en général.
 Quelle Approche
• Avantages :
– Exhaustivité.
– Traçabilité du raisonnement.
• Inconvénients :
– Nécessité d'attendre que des documents existent.
– Pas de prise en compte des combinaisons
d'événements ou de pannes

• Remarque :
– Nécessite une compétence technique du
domaine concerné.
 Sur quel système ?
PRODUIT

AMDEC PROCESSUS

ORGANISATION
• AMDEC "produit"
Analyse des défaillances du produit, dues à sa conception, son
développement, sa fabrication, son exploitation, ...
• AMDEC "processus"
Analyse des défaillances sur les méthodes et les procédures mises en
oeuvre pour accomplir une mission.
• AMDEC "organisation"
Analyse des défaillances de l'organisation mise en place pour réaliser
une mission.
 Sur quelle base ?
L'AMDEC consiste à étudier les défaillances :
• Des COMPOSANTS ou ensemble de composants concourant à la
réalisation d'une fonction (ou plusieurs fonctions),
Parfois appelée "AMDEC Matériel"

• Des FONCTIONS, représentées par des blocs fonctionnels

(regroupement d'éléments concourant à la réalisation d'une fonction
définie)
Parfois appelée "AMDEC Fonctionnelle"

• Des TACHES (ou opérations) concernant la réalisation d'un

processus ou d’une organisation
Parfois appelée "AMDEC Procédé"
 Sur quelle base ?
• Approche "Matériel" si les composants peuvent être
identifiés individuellement
composant sous-système  Effet système

• Approche "Fonctionnelle" si les composants ne peuvent

être identifiés individuellement ou si la complexité du
système impose une définition par blocs fonctionnels
sous-fonctions des blocs  fonctions du système
fonctions du système  Effet système

• Approche "Procédé" si on s'intéresse à l'impact d'un

processus (par ex. : chaîne de fabrication) sur un produit
Tâches  Effet système réalisé
 AMDEC fonctionnelle ou
matérielle
• AMDEC fonctionnelle

– Réalisable très tôt dès la phase de définition du besoin

– Utilisation de l'Analyse fonctionnelle système
– Buts :
• Rechercher l'implication des fonctions dans les différents domaines (Sécurité, Fiabilité,
Maintenance) pour :
– agir sur la définition fonctionnelle du système
– minimiser la suite des études
– rechercher l'implication sur le profil de mission (politique d'exploitation)
 AMDEC fonctionnelle ou matérielle
• AMDEC matérielle
– Réalisable dès les phases de conception préliminaire
– Utilisation de l'Analyse fonctionnelle à un niveau inférieur et utilisation des
schémas et plan
– But :
• Rechercher l'implication des éléments physiques (limitation de l'étude aux
éléments ayant une influence dans les domaines concernés) pour :
– agir sur la conception
– éventuellement définir des exigences de maintenance ou d'exploitation
• Valider une conception en s’assurant de l’absence des effets indésirables
Différence AMDEC fonctionnelle
/ matérielle
• AMDEC
FONCTIONNELLE :
Mode de défaillance = Bloc fonctionnel
Défaillance de la fonction ou
de la sortie. Entrée Sortie

(Correspond à l'effet local)

• AMDEC MATERIELLE :
Mode de défaillance = AMDEC
FONCTIONNELLE
Défaillance matérielle AMDEC
(interne, entrée, sortie) MATERIELLE

(Effet local = effet sur la

fonction ou la sortie
attendue)
 Quand ?
PREVISIONNELLE

AMDEC

OPERATIONNELLE

• AMDEC "PREVISIONNELLE"
– Analyse des modes de défaillance en phase de CONCEPTION,
Développement, d'un système (Recherche des défaillances potentielles)
• AMDEC "OPERATIONNELLE"
– Analyse des modes de défaillance d'un système existant (prototype ou
phase exploitation) (Recherche des défaillances potentielles et réelles)

• L'AMDEC est évolutive et suit les phases d'un projet :

 Quand ?
– peu détaillée en phase d'avant-projet,
– détaillée au cours de la phase de Conception,
– affinée lors des phases de fabrication, assemblage, exploitation,..

AMDEC Fonctionnelle AMDEC selon

les besoins

AMDEC Fonctionnelle et/ou Matérielle

AMDEC Matérielle
 A quel niveau ?
Niveau 1 A1

Niveau 2 A11 A12 A13

Niveau 3 A111 A112 A113 A121 A122 A131 A132 A133 A134

• L'AMDEC se réalise à différents NIVEAUX de découpage d'un

système. Il est important :
– De bien définir le découpage en niveaux (fonctionnel, matériel).
– De choisir comme niveau de base, celui sur lequel on dispose d'informations,
ou celui contractuel.
– D'analyser les effets des défaillances sur le ou les niveaux supérieurs :
(mode niveau 3 à cause niveau 2)
– D'analyser les liaisons entre les différents niveaux.
 Exemple

Ensemble "moteur" Ensemble "roulant" Ensemble "support"

Boîte de Roues Arbre Carrosserie

Embrayage Tableau de
Vitesse transmission bord
Suspension Sièges
Moteur

Vilebrequin Piston Bielle

Soupapes
Arbre à came
 Qui ?
• L'AMDEC concerne tous les spécialistes techniques, tous les
services, toutes les fonctions de l'entreprise qui sont impliqués, de
près ou de loin, dans le projet, la mission, le système étudié.
• La création d'un groupe de travail permet :
– De réunir des compétences
– Dans une démarche constructive et enrichissante,
– Où le rôle et les compétences de l'animateur jouent une part
fondamentale.

• L'application de l'AMDEC nécessite un animateur et la formation

du personnel à cette méthode.
• Selon les secteurs industriels et les sociétés, l'AMDEC est réalisée
ou non en groupe de travail.
 Qui ?
• Une AMDEC peut permettre de regrouper toutes les spécialités et services
intervenant sur le système le procédé ou dans l’organisation.

ANIMATEUR
MÉCANIQUE QUALITÉ

HYDRAULIQUE ÉLECTRONIQUE

INFORMATIQUE

AUTOMATIQUE PNEUMATIQUE
AMDEC – MISE EN
OEUVRE
 Comment : Préparation de
l’AMDEC
• Recensement des éléments définissant le système
Composants, Fonctions ou Tâches selon que l’on souhaite mener
une AMDEC matérielle, fonctionnelle ou processus.

• Définition des niveaux de découpage

Selon niveau de connaissance du système et objectifs

• Expression des objectifs précis de l'analyse

L’objectif de l’analyse (sécurité, maintenance, disponibilité, …)
conditionne le format du tableau d’analyse

• Recherche de la documentation nécessaire

AMDEC : exemple mise en œuvre
Société
Niveau 1

Niveau 2
Service 1 Service 2

Niveau 3
Individu 1 Individu 2 GASTON
 Préparation de l’AMDEC
• L'AMDEC est formalisée par un tableau dont les colonnes
représentent les étapes de la procédure AMDEC.
Ces colonnes sont définies selon les objectifs de
l'étude.

Certaines néanmoins sont obligatoires :

– Désignation et description de l'élément de base considéré
(fonction ou matériel ou tâche)
– Modes de défaillance
– Effets des défaillances
– Criticité (dans ce cas dire AMDEC et pas AMDE)
 AMDEC : exemple mise en
œuvre
Niveau 1 : SOCIETE / CLIENT Analyse des Modes de Défaillance, de leurs Effets Date :
Niveau 2 : SERVICE Version :
Niveau 3 : INDIVIDU Page :
EFFET
REF. DESCRIPTION MODE Effet Niveau 2 Effet Niveau 1 CAUSE
 Comment : Identification de
l'élément de base
• Colonne 1

– La première colonne (ou les premières selon la

présentation retenue) doit préciser l'élément
étudié, par un nom, une référence, ....

– Cet élément, au sens de l'AMDEC, peut être un

matériel, une tâche ou une fonction.
• Sa désignation résulte de la description du système.
• Une présentation sous forme arborescente est à privilégier
 Comment : Description de la
fonction
• Colonne 2

– Pour chaque élément matériel, on décrit

la fonction ou les fonctions assurées
(dans le cas d'une AMDEC fonctionnelle,
on identifie et décrit la fonction étudiée).
La fonction est généralement issue de
l'Analyse Fonctionnelle.
 AMDEC : exemple mise en
œuvre Blablabla..

GASTON
Parole

Mémoire

Marche
 Comment : Recensement des
modes de défaillance
• Colonne 3
Un mode de défaillance décrit l'altération d'une fonction
attendue.
– Par recherche d’exhaustivité, on imagine systématiquement pour
chaque fonction les cas d’altération suivants :
• ne démarre pas au moment prévu,
• ne s'arrête pas au moment prévu,
• fonctionnement dégradé (performance trop forte ou trop faible),
• fonctionnement prématuré,
• fonctionnement intempestif,
• perte de la fonction.
– Il faut prendre en compte les différentes conditions d'utilisation.
Comment : Recensement des
modes de défaillance
• Colonne 3
Se référer à d'anciennes AMDEC (Retour d’expérience particulier) ou à des
banques de données des modes de défaillance (Handbook ou normes).

Exemples :
– FMD-91 : Failure mode distribution
associé à la NPRD-91 (DOD USA)
– EN 50129 : Applications de contrôle
Commande dans le ferroviaire
(Annexe C)
– Documents du RAC (DOD USA)
extrait
AMDEC : exemple mise en
œuvre
GASTON

?
 AMDEC : exemple mise en
œuvre
Niveau 1 : SOCIETE / CLIENT Analyse des Modes de Défaillance, de leurs Effets Date :
Niveau 2 : SERVICE Version :
Niveau 3 : INDIVIDU Page :
EFFET
REF. DESCRIPTION MODE Effet Niveau 2 Effet Niveau 1 CAUSE

GASTON Individu pourvu des  Dégradation

fonctions marche, fonction marche
mémoire, écriture,
parole, ...

 Perte fonction
parole

 Perte fonction
mémoire

  
 Comment : Recherche des
effets
• Colonne 4

– On recense les conséquences que peut

avoir chaque mode de défaillance.

– Il convient de les évaluer sur le ou les

niveaux supérieurs, jusqu'au niveau le plus
haut (système, process, client,...).
 AMDEC : exemple mise en
œuvre
MODE DE DEFAILLANCE EFFET NIVEAU 2 EFFET NIVEAU 1
 AMDEC : exemple mise en
œuvre
Niveau 1 : SOCIETE / CLIENT Analyse des Modes de Défaillance, de leurs Effets Date :
Niveau 2 : SERVICE Version :
Niveau 3 : INDIVIDU Page :
EFFET
REF. DESCRIPTION MODE Effet Niveau 2 Effet Niveau 1 CAUSE

GASTON Individu pourvu des  Dégradation  Absence au  Pas de réponse

fonctions marche, fonction marche travail au téléphone 
mémoire, écriture, client mécontent
parole, ...

   
 Comment : Recherche des
causes
• Colonne 5
– Suivant les besoins de l'étude, on peut rechercher les causes
attribuables à chaque mode de défaillance.
– Un mode de défaillance peut avoir plusieurs causes :

 Causes internes :  Causes externes :

 défaut de conception  mauvaise utilisation
 défaut de fabrication  influence de l'environnement
 défaut de matériau (agression, pollution,...)
 intrinsèque (usure,...)  défaillance d'un élément
environnant
– On recherche souvent la cause
 ...
...
la plus élémentaire
(cause des causes).
 AMDEC : exemple mise en œuvre
CAUSE DE DEFAILLANCE
MODE DE DEFAILLANCE
 AMDEC : exemple mise en
œuvre
Niveau 1 : SOCIETE / CLIENT Analyse des Modes de Défaillance, de leurs Effets Date :
Niveau 2 : SERVICE Version :
Niveau 3 : INDIVIDU Page :
EFFET
REF. DESCRIPTION MODE Effet Niveau 2 Effet Niveau 1 CAUSE

GASTON Individu pourvu des  Dégradation  Absence au  Pas de réponse  Chute

fonctions marche, fonction marche travail au téléphone   Accident
mémoire, écriture, client mécontent
parole, ...

 Perte fonction
parole

 Perte fonction
mémoire

    
 AMDEC : exemple mise en
œuvre
Niveau 1 : SOCIETE / CLIENT Analyse des Modes de Défaillance, de leurs Effets Date :
Niveau 2 : SERVICE Version :
Niveau 3 : INDIVIDU Page :
EFFET
REF. DESCRIPTION MODE Effet Niveau 2 Effet Niveau 1 CAUSE

GASTON Individu pourvu des  Dégradation  Absence au  Pas de réponse  Chute

fonctions marche, fonction marche travail au téléphone   Accident
mémoire, écriture, client mécontent
parole, ...

 Perte fonction  Perte efficacité  Perte de temps  Chute

parole par manque de dans  Accident
communication transmission
orale informations car
pas de communi-
cations avec le
client

 Perte fonction  Non réalisation  Non avancement  Chute

mémoire du travail de l'étude   Accident
client non
satisfait

    
 Remarques sur les notions de
causes, modes et effets
• Selon le niveau où l'on situe le problème

Causes  Mode  Effet

• Décalage dans l’arborescence:

– L’effet devient le mode de défaillance au niveau
supérieur
– Le mode devient la cause au niveau supérieur
 AMDEC : exemple mise en œuvre
CAUSE
MODE DE
EFFET
DEFAILLANCE
 AMDEC : exemple mise en œuvre

EFFET

CAUSE MODE DE
DEFAILLANCE
 Comment : Analyse de la
Criticité C
• Définition :
La criticité est l'expression de l'importance globale d'une défaillance
donnée.
Elle permet de hiérarchiser les défaillances selon leur influence
globale sur le système, le process, le client, ..., vis à vis des objectifs
à maîtriser (sécurité, maintenance, …).

• Expression :
Elle peut être exprimée par un paramètre ou une combinaison de
paramètres tels que :
– Gravité : classe ou degré sur les effets des défaillances,
– Probabilité d’Occurrence : taux de défaillance, fréquence d'apparition,
– Détection : probabilité ou niveau,
– autres paramètres spécifiques aux particularités de l'étude (durée de
fonctionnement, ...).
 Exemple d'estimation de la criticité
1. Matrice / grille
2. Indice de criticité = gravité x
Gravité : Probabilité : probabilité x détection
1- Mineure A- Extrêmement rare
Les paramètres peuvent être
2- Marginale B- Occasionnel exprimés sous forme de valeur
3- Critique C- Moyen numérique.
4- Catastrophique D- Fréquent

Remarque : Souvent lié aux taux de défaillance 1 < Gravité <4

Si 1 < Probabilité < 4 alors 1 < Ic <
64
OCCURRENCE
1 < Détection <4
D III IV

C II

III
Zone critique pour une valeur
B
limite de Ic (exemple Ic < 24).
I II
Des zones critiques sont définies
A
(I, II, III, IV)
1 2 3 4
GRAVITE
 Comment : Détection et actions
de réduction des risques
• Mode de détection :
Il s’agit de décrire les différents contrôles ou tests, actuels ou
envisagés, permettant de détecter l'apparition du Mode de Défaillance
ou de l'effet.

Remarque : Préciser dans le tableau si actuel ou envisagé.

• Actions de réduction de risque

Domaines possibles d'actions :
– Modifications conception, portant par exemple sur la fréquence et
la détectabilité des défaillances,
– Actions de maintenance, portant sur la gravité des modes de
défaillances,
– Description de procédures d’exploitation, ....
 AMDEC : exemple mise en œuvre
MOYEN DE DETECTION
MODE DE DEFAILLANCE

ACTION CORRECTIVE
 Autres thèmes possibles
• Les colonnes sont définies suivant les besoins de
l'étude.

• Le tableau d'AMDEC peut ainsi inclure des points tels

que :
– Remarques ou observations,
– Satisfaction par rapport aux spécifications,
– Évolution : nouvelles valeurs de criticité après les actions
correctives,
– Responsables des actions à mener,
– ...
AMDEC – EXEMPLES DE
TRAMES
 Exemple Tableau AMDEC
Norme NF X 60-510
Code n° ……………… Nom de l'analyste …………………. Nom de l'ingénieur de conception ……………… Date : ………….

Mode de Cause de Effet de défaillance Détection de Dispositifs de Probabilité Niveau

Désignation de Fonction Repère défaillance défaillance la remplacement de de Remarques
l'équipement Effet local Effet final défaillance défaillance criticité
 Exemple Tableau AMDEC
BSI Handbook 22
BS 5760
Norme BS 5760
Example : Failure Mode, Effect and Criticality Analysis (FMECA)
Product – I.C. engine ………. Sub-system – in line F.I. pump………... P Probability of occurrence FMECA N° PR001
C Severity of failure
Process - ……………………. Location – ………………………………. Date
D Difficulty of detection
System ………………………. User ……………………………………… R.N. Risk Number = P x C x D Engineer
(1) (2) (3) (4) (5 (6) (7) (8) (9) (10)
Part N° component Function Failure mode Effect of failure Cause of failure P C D R.N. How can failure be eliminated or
reduced
Cams and follower Plunger drive Fatigue pitting Loss of power Overload (e.g. 2 3 10 60 Supplier to determine failure definition
rollers irregularity (or nozzle blockage Limit operating pressure
complete dirty or no oil,
functional failure poor surface
in extreme case) finish)
Centre bearing Support Cracked across Mainly cosmetic 1 2 10 20 Problem exists on present die cast
bridge camshaft centre centre of bridge Slight oil pumps. Supplier likely to shell mould on
bearing seepage our 8 cyl. Pump therefore mode
Ties pump sides material on bridge. To be assessed
at centre when samples are tested.
Delivery valve Erosion in bore Nozzle blockage, High flow rates 5 3 10 150 To be assumed when samples are
holder loss of Cavitation tested
performance
Delivery valve Unloading Consistency U/L Engine Manufacture, 3 9 4 108 M/C test, L.P., systems detail
wear performance adjustment poor
pump phase and filter/water
delivery balance
Delivery valve spring Controls Fatigue/erosion/ Loss of engine Hydraulic duty 4 4 4 64 Specification detail
unloading wear (omission) performance,
smoke
Delivery stop peg Control delivery Wear-crushing As above As above 2 4 3 24 Injection rates
lift (omission)
 Exemple Tableau AMDEC
Norme Mil STD 1629A
FAILURE MODE AND EFFECT ANALYSIS

SYSTEM _________________________________ DATE __________________________________

IDENTURE LEVEL__________________________ SHEET_____________ OF_________________
REFERENCE DRAWING_____________________ COMPILED BY __________________________
MISSION _________________________________ APPROVED BY __________________________

Item/Functional Failure Mission phase/ Failures effects Failure

Identification Identification Function modes and Operational Local Next End Detection Compensating Severity Remarks
number (nomenclature) causes mode effects Higher effects mode provisions class
level

Figure 101.3 Example of FMEA worksheet format

 Exemple Tableau AMDEC
Norme Mil STD 1629A
CRITICALITY ANALYSIS

SYSTEM _________________________________ DATE __________________________________

IDENTURE LEVEL__________________________ SHEET_____________ OF_________________
REFERENCE DRAWING_____________________ COMPILED BY __________________________
MISSION _________________________________ APPROVED BY __________________________

Item/functional Failure Mission phase/ Failure Failure Failure Failure Operating Failure Item
Identification identification Function modes and operational Severity probability effect mode rate time mode Critic. Remarks
number (nomenclature) causes mode class. Failure rate probability ratio Critic.
data source () () (p) (t) Cm=pt Cr=(Cm)

Figure 102.1 Example of CA worksheet format

 Exemple Tableau AMDEC
Norme Mil STD 1629A
FAILURE MODE AND EFFECT AND CRITICALITY ANALYSIS
MAINTAINABILITY INFORMATION

SYSTEM _________________________________ DATE __________________________________

IDENTURE LEVEL__________________________ SHEET_____________ OF_________________
REFERENCE DRAWING_____________________ COMPILED BY __________________________
MISSION _________________________________ APPROVED BY__________________________

Item/Functional Failure Failure effects Failure Basic

Identification Identification Function modes and Local Next End Severity Failure detection Maintenance Remarks
number (nomenclature) causes effects Higher effects class predictability means actions
level

Figure 103.1 Example of FMECA-maintainability information worksheet format

 Norme CNOMO E41.50.530.N
Moyens de production - Méthode AMDEC
 Norme ECSS-Q-30-02A
Space product assurance - FMEA
 Norme ECSS-Q-30-02A
Space product assurance - FMECA
 Exemple 1
• Système ferroviaire (Signalisation)

– Sur la base des spécifications

– En phase conception générale

– Objectif : identifier les fonctions critiques et définir des

exigences sécurité à implémenter en conception détaillée
ou en exploitation

– Modèle fonctionnel
– Tableaux d'AMDEC
 Exemple 1

Modèle
fonctionnel
 Exemple 1 TABLEAU AMDE
TCS FAILURE MODE EFFECT ANALYSIS
n° Function Failure mode Affected Functions Effect(s) on system HS Gr. Cl. Provisions Rem

M411.1a process data from loss of "run" info M412 Impossibility to generate set of None III N the function take into
route management M415 value. HST trains are stopped by account the lack of input
M416 non reception of the continuous information in a safety
transmission (M4221) manner (restrictive).
M411.1b erroneous "run" M412 erroneous data are generated by 7.01 I.1 C PHA 7.01.1 in case of lack of orientation HST
information M415 M412, potential loss of human 11.03 PHA 7.01.2 trains are stopped by non
M416 lives in case of erroneous route. PHA 7.01.3 reception of the continuous
Possible impact regarding transmission (M4221)
intermittent control (M415)
M411.2a loss of info " stop marker" M415 train is not stopped in case of 11.21.d I.1 E PHA 11.21.d2 potential loss of human lives when
overpass of the stopping point by 12.06.b PHA 11.21.d3 combined with procedure
the driver. PHA 11.21.d5 deficiency (if the driver do not
respect the stop).
M411.2b erroneous information M415 intempestive stop at the stop None III N
"stop marker" marker.
-> Perturbation of traffic
M412.1a generate set values loss of "ann. data" M2112 no measure of temperature of 14.02 I.1 E PHA 14.02.1 Can have a safety impact in case
axle. HBS design allows to run 15.02 PHA 14.02.2 of two successive HBD failures
despite the loss of one HBD 6.08 PHA 14.02.3 and combined with the event of
detector. axle box seizing up on an HST.
M412.1b intempestive "ann. data" M2112 erroneous measure of None III N
temperature of axle
M412.2a loss of "set limit value for M4131 no information sent to the None III N PHA 11.18.1
continuity" M4132 previous adjacent centers or to - Existing signaling must
EL signaling. No transmission take into account in a safety
through the track resulting in manner the lack of info from
emergency braking application TVM
by M4221.
M412.2b erroneous "set limit value M4131 erroneous speed value sent to 7.01 I.1 C PHA 7.01.1
for continuity" M4132 HST -> possible overspeed 11.03 PHA 7.01.2
11.18 PHA 7.01.3
M412.3a loss of "set values" M414 no transmission through the None III N
track resulting in emergency
braking application by M4221
M412.3b erroneous "set values" M414 speed value on block section are 7.01 I.1 C PHA 7.01.1
erroneous -> possible overspeed 11.03 PHA 7.01.2
PHA 7.01.3
M4131.1a Dialogue with adjacent loss of "continuity limit on M412 no transmission through the None III N
centers set value" track resulting in emergency
braking application by M4221
 Exemple 2
• Système avionique (électronique embarquée)

– Sur la base des schémas électronique

– En phase conception détaillée

– Objectif 1 : Vérifier la tenue des objectifs quantitatifs pour

certains effets
– Objectif 2 : Aide à la maintenance

– Tableaux d'AMDEC
– Synthèse d'AMDEC
Exemple 2 : Découpage fonctionnel des
schemas
 Exemple 2
Trame orientée démonstration
contractuelle
FMECA FAILURES MODES EFFECT AND CRITICALITY ANALYSIS PART II FMECA
Helicopter : HAP FMECA n° : Page 9/13
System : Subsystem : RFI CRITICALITY Issue : 1 Date :
Component : CPU Supplier : 06-28-1991
N° Item/Part Failure mode F. Rate Failure Effects Classifi- Recognition of failure Remarks
Number 10E-6 cation
(1/FH)
9 Connector (p3) No electrical link on point 0,0051  Loss if negative voltage control of the LCD Minor 3  Visual detection of the effect on the
20 of P3 connector drivers front panel display
 Variable level of contrast on the display
9 Connector (p3) No electrical link on point 0,0051  No more adjustment of lighting level Minor 3  Visual detection of the effect on the
34 of P3 connector possible front panel display
 Lighting remains very low or absent
10 ARINC 429 Output remains to a fixed 0,706  No more valid date on ARINC output bus Minor 3  On test-points "pt2" and "pt3"
message generator potential (loss of BIT information).
11 ARINC 429 output Output remains to a fixed 0,1676  No more valid date on ARINC output bus Minor 3  By comparison between "pt2" , "pt3"
interface potential (loss of BIT information). and "pt6"
12 Lighting protector Electrical connection 0,1242  No more valid data on ARINC output bus Minor 3  By detection of fixed ground potential
between ground and 3 or (loss of BIT information) on one of the "E-bus" (pins 3 or 4 of
4 points of the p3 P3 connector).
connector through CR1,
CR4
13 Switch Switching is impossible 0,348  Loss of GO/NO test capability Minor 3  By comparison of date on ARINC "E-
bus" and information "pt4", "pt5",
"pt6"
Exemple 2 synthèse par effet
Block Failure mode
112 Perte de la connectique BFONC1.
112 Perte de la connectique BFONC2.
112 Perte de la connectique DIM1.
112 Perte de la connectique DIM2.
112 Perte de la connectique HECLAI1.
112 Perte de la connectique HECLAI.
112 Perte de la connectique JOUR/NUIT.
207 Tension à 0V en permanence.
207 Tension à 5V en permanence.
207 Valeur non définie en sortie.
219 Perte de la tension éclairage.
219 Tension de sortie hors tolérance.
221 Valeurs erronées.
235 Perte de la sortie BFONC.
235 Perte de la sortie DIM.
307 Tension à 0V en permanence.
307 Tension à 5V en permanence.
307 Valeur non définie en sortie.
319 Perte de la tension éclairage.
319 Tension de sortie hors tolérance.
321 Valeurs erronées.
335 Perte de la sortie BFONC.
335 Perte de la sortie DIM.
401 Niveau de sortie excessif.
402 Niveau de sortie excessif.
403 Niveau de sortie excessif.
 Exemple 2
Trame orientée Maintenance
REPORT ref. :
FAILURES MODES EFFECTS, CRITICALITY ANALYSIS
AIRCRAFT : ISSUE : 0
EQUIPMENT : COMPONENT FUNCTION : ENTRE CURSEUR INCIDENCE Lambda(*10-6):1,202 PAGE : 213/1
COMPONENT N° : 213 P.C.B./MODULE : UTR1 Lambda(*-10-6):29,309 DATE : 23 novembre 1995
MODE
EFFECT OF FAILURE ON FAILURE
PROB: INDICATIONS TO
FAILURE MODE IDENT-AND
fits "GROUND CREW"
CORRECTIVE ACTION
SYSTEM FLIGHT PHASE AIRCRAFT
Court-circuit de 0 Plus d'alimentation Toutes phases Plus de visus vitesse Plus de visus altitude, Plus de visus. Test de la
l'alimentation +15V-15V de la carte UTR1 verticale, altitude, calage pression, vitesse verticale, sortie ARINC. Test des
baro et incidence vraie. calage baro ou standard et broches 13 et 21 du
Plus d'alim de sonde incidence. connecteur P3
d'incidence.

Perte de la tension ou ,271 Plus de tension Toutes phases Plus d'affichage de Extinction de la visu Extinction de la visu
tension à +15V ou – d'incidence l'incidence. incidence vraie. incidence vraie
15V en permanence

Tension erronée ou ,931 Mauvaise tension Toutes phases Affichage de l'incidence Pas de détection. Pas de détection.
figée d'incidence erroné.
 Exemple 3
• Moyen de production industrie automobile

– Sur la base des plans proto

– En groupe de travail

– Objectif : valider les grands choix de conception

– Tableaux d'AMDEC
selon la norme
CNOMO E.41.50.530N
« Moyens de production
méthode AMDEC »
 Exemple 3
• Décomposition arborescente
Luge à hauteur
variable

A. Structure B. Structure C. D.Ensemble E. F. Ciseaux G. Ciseaux H. I. Motorisation

inférieure supérieure Actionneur bielette Rampe primaire secondaire Protection asservie
A1. Structure B1. Structure C1. Vérins (G D1. Bielle E1. Rampe F1. Structure G1. Structure H1. Soufflet I1. Moteur
mécanosoudée mécanosoudée ou D) équipée de mécanosoudée mécanosoudée de protection
inférieure supérieure flasque E2. 6 vis de I2. Asservis-
C2. Rotule fixation à D F2. Axe d50 G2. Axe d30 sement
A2. Bague DU B2. Bague DU vérin (G ou D) D2. Axe d50 et à G
d50 D ou G d30 D ou G F3. Axe d25 G3. Galets
C3. Chappe
embase vérin D D3. Galet D ou
G F4. Galet axe
A3. Plat de B3. Plat de ou G d25
roulement D ou roulement D ou D4. Axe d40
G G C4. Chappe D5. Bague DU
chassis inférieur D5. Bague DU axe d40
A5. Butée basse B4. Pilote avant D ou G d40 D ou G
D ou G et et patins arrières
fixation D ou G C5. Bague DU
D ou G D6. Axes
B5. Butée haute rotules d25 D ou
D ou G C6. Axe articu- G
lation chappes D
ou G

C7. Arbre de
liaison
C8. Goupilles
élastiques
C9. Cardan de
liaison (G ou D)
C10. Cardan de
transmission
 Exemple 3
gravité critères de sélection
(TI= temps d'intervention, Qualité, Sécurité)
Note

Défaillance mineure, aucune dégradation notable du matériel

Mineure 1
à titre indicatif : TI inférieur ou égal à 3 min

Défaillance moyenne nécessitant une remise en état de courte durée,

Moyenne 2
à titre indicatif : TI compris entre 3 et 20 minutes incluses

Défaillance importante nécessitant une intervention de longue durée,

Majeure 3
à titre indicatif : TI compris entre 20 et 60 minutes incluses

Défaillance grave, à titre indicatif : TI supérieur à 60 min

ou
Catastrophique Non conformité du produit, constatée par un client aval (interne à l'entreprise), 4
ou
Dommage matériel important (sécurité des biens)

Accident pouvant impliquer des problèmes de sécurité des personnes, en

dysfonctionnement ou en intervention
Sécurité / Qualité 5
ou
Non conformité du produit envoyée en clientèle (l'automobiliste)
 Exemple 3
Fréquence critères de sélection
(TI= temps d'intervention, Qualité, Sécurité)
Note

Défaillance pratiquement inexistante sur des installations similaires en

Pratiquement inexistant 1
exploitation, au plus 1 défaut sur la durée de vie du moyen

Défaillance rarement apparue sur du matériel similaire existant en exploitation, à

titre indicatif 1 défaut par an
ou
Rare 2
composant d'une technologie nouvelle pour lequel toutes les conditions sont
théoriquement réunies pour prévenir la défaillance, mais il n'y a pas d'expérience
sur du matériel similaire.

Défaillance apparue occasionnellement sur du matériel similaire existant en

Occasionel 3
exploitation, à titre indicatif 1 défaut par trimestre

Défaillance apparue fréquement sur un composant ou sur du matériel

similaire existant en exploitation, à titre indicatif 1 défaut par mois,
ou
Fréquent 4
composant d'une technologie nouvelle pour lequel toutes les conditions
ne sont pas réunies pour prévenir la défaillance, mais il n'y a pas
d'expérience sur du matériel similaire.
 Exemple 3
• Criticité (C) = F x G x D
– Critères de décision ont été pris en accord avec la
norme CNOMO à :
• Criticité maxi C = 16
• Gravité maxi G = 4
• Fréquence maxi F = 4

• Synthèse de l'AMDEC
– Éléments et défaillances à criticité  16 avant actions
– Éléments à gravité = 4 avant actions correctives
– Recensement des actions correctives par code
 Exemple 3
COMPOSANT FONCTION MODE CAUSES EFFETS DETECTION TI F G D C type_AC ACTIONS CORRECTIVES Resp DélainTI nF nG nD nC

AMDEC MOYENS DE PRODUCTION

ACTIONS CORRECTIVES
Fournisseur : OTS Rédacteur : CETOP FOURNISSEUR : FQ: Qualité du produit fabriqué ; FF:
SYSTEME : Luge à hauteur variable Participants : RENAULT France, INDICES Fiabilité ; FM: Maintenabilité ; FS Sécurité INDICES
Véhicules : RENAULT X84 RENAULT Espagne, NOMINAUX CLIENT : CM: Disposition de maintenance ; FINAUX
CF: Formation exploitant CO: Organisation logistique
OTS Rem : Remarque
Date : réf :
D
MODES R é
COMPOSANT EFFETS
n° FONCTION DE CAUSES DETECTION TI F G D C ACTIONS e l TI F G D C
/repère
DEFAILLANCE panne, non qualité s a
et sécurité p i
A STRUCTURE INFERIEURE
A1 Structure mécano- S'adapter à la ligne Déformations Insuffisance de Coincement, >60 1 4 4 16 FQ Contrôle des soudures stratégiques, 1 2 4 8
soudée inférieure de montage et excessives rigidité arrêt. stabilisation des soudures et ressuyage
supporter par prélèvement, notes de calcul
l'ensemble Efforts anormaux
vehicule/luge Déssoudages, lors de la Contrôle préventif annuel
ruptures manipulation des CMA
luges
nota 1

A2 Bagues DU d 50 D Assurer Usure excessive Mauvais montage Frottement 10 1 2 4 8 FQ Notes de calcul 1 2 4 8

ou G l'articulation sans (alignement, excessif, voir
frottement de l'axe efforts,…). coincement => nota1
du ciseau primaire Défaut de arrêt
fabrication PR Pièces de rechange

A3 Plat de roulement Assurer le Usure excessive Défaut matière Frottement 10 2 2 4 16 FQ Documentation fabricant 1 2 4 8
D ou G coulissement du excessif,
galet ciseaux nota1
secondaire
PR Pièces de rechange

CMA Contrôle préventif annuel (visuel)

AMDEC – TRAITEMENT
ET OBSERVATIONS
 Logiciels d’AMDEC
• En aucun cas, un logiciel permet de remplacer le
raisonnement de l'homme pour l'étude des Modes de
Défaillance.
• Aide à la réalisation et la présentation de l'AMDEC et
des synthèses d'AMDEC.
• Utilisation de logiciel type Base de données
– Présentation aisée,
– Gestion facile de l'AMDEC et utilisation de l'expérience,
– Tris et synthèses automatiques.

• Utilisation de logiciels dédiés

 Synthèse d'AMDEC
• Pourquoi :
– Retirer de l'analyse, les informations importantes permettant de
définir les priorités d'actions pour la maîtrise et l'amélioration du
système,
– Éviter de se perdre dans les détails.

• Comment :
– A l'issue de tris, réalisation de listes résumant le contenu de
l'AMDEC.

• Principales synthèses :
– LED : Liste par Effet de Défaillance
– LAC : Liste des Articles Critiques
– Liste par responsabilité
 Synthèse d'AMDEC
LISTE PAR EFFET DE DEFAILLANCE
- L.E.D. -
Systèmes :
N° Effet Criticité Dispositif Mode de Recommandations
ou éléments Défaillance

LISTE DES ARTICLES CRITIQUES

Systèmes : - L.A.C. -

N° Elément Fonction Mode de Effet Criticité Actions correctives Criticité

Défaillance ou mesures préventives après actions Validation
 Liste par responsabilité
• But :
– Synthèse répertoriant les éléments de la
responsabilité d'une entité ou d'une personne donnée.
– Permet de transmettre de façon claire les actions à
mettre en œuvre par les différentes entités ou
services.

• Présentation :
– Peut être présentée sous forme de liste ou de
tableau.
 Observations
• Les remarques suivantes sont issues d'expériences
d'applications d'AMDEC.
– L'AMDEC est souvent engagée trop tard par rapport au
développement d'un produit.
– La formation du personnel à la méthode est souvent
insuffisante.
– La création d'un groupe de travail pour l'application de
l'AMDEC est préférable pour son efficacité.
– L'Analyse Fonctionnelle du système préalablement à
l'application de l'AMDEC n'est pas systématique, alors qu'elle
sert à définir les fonctions et niveaux du système étudié.
 Observations
• Il n'existe pas de logiciel universel pour traiter les informations et
réaliser une AMDEC.
Recommandation : Bien délimiter le cadre de l'étude

• L'erreur humaine n'est pas clairement prise en compte en tant que

cause de défaillance.
Recommandation : La prendre en compte comme hypothèse ou
compléter l'AMDEC par une analyse des tâches

• L'AMDEC n'apporte pas les mêmes résultats ou conséquences

suivant la phase où elle est effectuée.
Recommandation : Clarifier dès le début les objectifs de l'AMDEC
 Observations
• Dans la démarche de construction de la Sûreté de
Fonction-nement, l'AMDEC peut être complétée
efficacement par :

– Des arbres de défaillance, permettant de déterminer des

combinaisons de défaillances

– La mise en place de procédures : assurance qualité, contrôle,

maintenance

– L'établissement de Listes d'Effets de Défaillances (LED) ; aide à

la modélisation
– ...
AMDEC – EXTENSIONS
 Méthodes dérivées
• Selon le secteur industriel, les principes de l’AMDEC sont
repris selon des outils adaptés similaires ou proches.
On citera pour les principaux :

– Informatique : AEEL (Analyse des Erreurs et de leurs Effets sur

les Logiciels)

– Pétrochimie : HAZOP (Hazard & Operability study)

– Agroalimentaire : HACCP (Hazard Analysis Critical Control

Points)
AMDEC – SYNTHESE

POINTS FAIBLES –
POINTS FORTS
 Synthèse
• Principes :
– Analyse de type inductive (bottom-up) allant du particulier au
général et permettant d'analyser l'impact des modes de défaillance
des constituants élémentaires sur les fonctionnalités globales du
système.
– Peut porter sur des éléments physiques, des fonctions, des tâches.

• Application :
– Analyse tabulaire reprenant en colonne les différentes rubriques
avec au minimum :
• l'élément étudié,
• le mode de défaillance,
• l'effet.
 AMDEC : les points faibles
• Lourdeur de gestion pour des systèmes
complexes
– Beaucoup de composants
– Multiples fonctions
– Différentes politiques de réparation et d'entretien
– Plusieurs modes opérationnels
Recommandations  Bien délimiter le cadre de l'étude

• L'AMDEC ne met pas en évidence les combinaisons éventuelles de

défaillances, entraînant la défaillance globale du système.
Recommandations Compléter l'AMDEC, si possible, par des arbres de
défaillances pour les événements les plus
critiques
 AMDEC : les points faibles
• Volume d'informations très important et souvent
non homogène

• Risque de perte d'information par synthèse

=> Recommandations
– Ne pas se perdre dans les détails
– Traiter les AMDEC (LED, LAC,...)
 AMDEC : les points forts
• Outil très performant lorsqu'il est utilisé dès la phase de
conception.

• Connaissance des états dégradés du système.

• L'AMDEC permet la constitution de bases de données

sur les connaissances relatives aux produits, aux
procédés et à l'organisation, en particulier utiles pour
d'autres AMDEC.

• Outil de base pour la construction de la maintenance.

 AMDEC : les points forts
• Établissement d'une liste de points critiques. (liste d'articles
critiques - LAC ) ; Synthèse pour des revues de conception

• Mise en évidence de priorités : contrôle, vérification,

fabrication, points de tests, pièces de rechange de premier
niveau,...

• La mise en place d'un groupe de travail facilite les relations

:
– entre les différents services, vis à vis du système,
– entre les différents spécialistes techniques.