Sûreté de Fonctionnement (SdF)qliolyon2.e-monsite.com/medias/files/cours-de-surete-de... · pour...

Sûreté de

Fonctionnement (SdF)

Youness EL ATTABI – Novembre 2011

QUALITÉ, LOGISTIQUE INDUSTRIELLE ET ORGANISATION

Avant de commencer...

Présentations :

� Mon parcours

� Le programme des sessions

� Votre présentation

� Prénom, nom, entreprise d’accueil, fonction� Mes attentes, mes objectifs� Facteurs de réussite

Contenu

0 Etalonnage ; contenu du module / connaissances actuellesQuestions/Réponses

1. Introduction1.1 Généralités ou comment construire ensemble la définition de la sûreté de fonctionnement1.2 Historique 1.3 Définitions – Abréviations

2 Méthodes et outils de la sûreté de fonctionnement2.1 Principe de la sûreté de fonctionnement2.2 But de la sûreté de fonctionnement2.3 Etudes de sûreté de fonctionnement2.4 Outils utilisés en sûreté de fonctionnement

2.4.1 Analyse fonctionnelle externe (AFE)2.4.2 Analyse fonctionnelle interne (AFI)2.4.3 Analyse préliminaire de risques (APR)2.4.4 Arbre de défaillances (ADD)2.4.5 Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)

3 Fiabilité prévisionnelle et opérationnelle3.1 Probabilités : généralités3.2 Modes de défaillance3.3 Fonctions de base de fiabilité3.4 Lois rencontrées en SdF3.5 Notion de robustesse

0. Etalonnage :

contenu du module / connaissances actuelles

Expression du besoin

Analyse du besoinAnalyse fonctionnelle

du besoin

Livrable : Prestations

attendues

Prestations attendues

Fonctions attendues : CDCF

Analyse fonctionnelle

du produit

Solutions techniques

Analyse

dysfonctionnelle

Identification des risques

Modélisation

Diagramme de fiabilité

Utilisation électrique

Consommation

électrique diverse...FC 32 : Résister au

Tsunami

FC 33 : .....

ST 68 : Béton α

Ferraillage β

ST 69 : ...

Mode de défaillance :

D45 : casse structure

D46 : ...

Pour ST défini

P(D45) = 3.10-4

P(D46) = ...

Périmètre illustré de l’enseignement

Périmètre illustré de l’enseignement

Assurance Qualité d’une étude de sûreté de

fonctionnement

Phase 1 Définition du besoin

Phase 2 Analyse Fonctionnelle

Phase 3 Analyse des défaillances

Phase 4 Validation des objectifs

Analyse Fonctionnelle

Décompositionsfonctionnelle et

Matérielle

O/N

Analyse

préliminaire des risques

O/N

Protéger des ambiances ext.

Etre étanche àl’eau, l’air, poussière

Ruissèlement d’eau

Rayon de courbure plan (XZ)

Largeur du contact du joint

« Vis de

12 »

Joint

…

A qui rend service le produit ? Sur quoi agit le sys tème ?

Pare-

brise

PRODUIT

L’utilisateur Véhicule

Ce n’est pas que de la théorie...

Défaillance 1 : Fuite d’eau

Défaillance 2 : Fuites d’air

Défaillance 3 : .....

Niveau Définition Commentaires pour info, liste non exhaustive

G1 vert

Insatisfaction ou dégradation d'une prestation ou d'une fonctionnalité du véhicule

Performances générales du véhicule conservées ; L’utilisateur peut continuer à utiliser son véhicule ; il n’y a pas d’impératif à une intervention

G2 jaune

Perte d'une prestation ou d'une fonctionnalité du véhicule

Apparition de symptômes gênant ; l’utilisateur peut continuer à utiliser son véhicule, mais une intervention s’impose rapidement

G3 orange

Fiabilité /

disponibilité

Le véhicule est indisponible pour l'utilisateur

- Impossibilité de commencer un trajet - Impossibilité de finir un trajet par la perte d'une fonction principale ou par le non respect de la réglementation (risque de contravention) - Impossibilité de stationner le véhicule en l'état (risque d'inviolabilité)

G4 rouge

Sécurité Risque de dommages corporels pour l’homme

- Peut potentiellement entraîner un accident de la circulation - Risque de dommage corporel sans accident de la circulation

Analyse

Qualitative et Quantitative des défaillances

Calcul de la criticitédes défaillances

O/N

AMDEC

Analyse des modes

de défaillance de

leurs effets et de la criticité

O/N

Fuite d’eau

Problème d'étanchéitédu au joint de feuillure

Déformation du PB sous

contrainte

Mauvais designpiste de collage

Continuité

Orientation

PréparationsurfaceEtat

surface IPR = G x O x DIPR = G x O x D

Gravité

Occurrence

Détection

Ce n’est pas que de la théorie...

Effet Mode Cause Validation G O D IPR Action Etat Responsable Date G O D IPRVéhicule en roulageFonction F1 : Isoler l'habitacle et les occupants de l'environnement extérieur

Essai Véhicule : douche usine OK Client 12/1/1998

Augmentaion epaisseur : passage en 2.1/2.1 OK Client/Fournisseur 12/3/1998

Mauvais design piste de collage

Validation collage 7 3 2 42 NA NA NA NA 7 3 2 42

28210 7 2 2

Situation de vie/Fonction/Critère

F1.1-Etre étanche à l'air et à l'eauMécontentement

client

Rentrée d'eau oud'air dans le

véhicule

Déformation PB sous

contrainte*Calcul

7 5 6

Défaillance Initial Evolution Initial

1. Introduction

1.1 Généralités

� Avez-vous déjà entendu parlé dans les médias d’accidents corrélés au mauvais fonctionnement d’un système dans les industries pétrochimiques, nucléaires, automobiles, spatiales, aéronautiques...?

� Que s’est-il passé pour chacun de ces systèmes?

� Les systèmes qui nous entourent peuvent-ils également contenir les mêmes risques de défaillance? Peut-on être sûr de leur fonctionnement?

� Que feriez-vous en tant que Qualiticien pour rassurer les Lyonnais par exemple quand au fonctionnement de la centrale nucléaire de Bugey, de l’aéroport Saint-Exupéry, ou du réseau de distribution d’eau?

�Durée 5mn/Présentation 5mn/Présentation par groupe de travail

1.1 Généralités - Réponses

� Evénements médiatiques catastrophiques impliquant l a défaillance de systèmes :� Bhopal (Inde, 1984) : usine de pesticides, 2 000 victimes officiellement ; � Navette Challenger (USA,1986) : explosion et perte de l’équipage ; � Tchernobyl (URSS, 1986) : explosion et fusion du cœur du réacteur suivies de fuites radioactives ;� Exxon Valdez (Alaska, 1989) : 40 000 t de brut, marée noire ;

� Que s’est-il passé pour chacun de ces systèmes :Le zéro défaut ou le risque zéro n’existe malheureusement pas pour les activités industrielles à cause de l’occurrence de défaillances humaines ou matérielles. Ces défaillances internes ont conduit les systèmes à ne plus remplir une ou plusieurs fonctions pour lesquelles ils ont été conçu.

� Peut-on être sûr du fonctionnement des systèmes qui nous entourent?Le lien de confiance qui existe entre les utilisateurs d’un système et le système en question est lié àl’occurrence de ses défaillances. Il est totalement rationnel que des usagers délivrent une confiance réduite à un système dont la défaillance a été constatée. Ainsi un débat sur l’énergie nucléaire a été vif dans un grand nombre de pays suite à la catastrophe de Fukushima au Japon.

� Quel rôle doit tenir le qualiticien� Comme tout bon qualiticien, le qualiticien Lyonnais fait preuve de rigueur et procède par étapes :

1. Définir un objectif : Tenter de réduire les risques (leur élimination totale étant illusoire) à un niveau le plus faible possible et acceptable par l’opinion publique2. Evaluer les risques potentiels3. Prévoir l’occurrence des défaillances4. Tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent.

1.1 Généralités

� Fort de ces réponses proposez une définition de la Sûreté de fonctionnement.

�Durée 5mn/Présentation 5mn/Présentation par groupe de travail

1.1 Généralités

� Définition de la sûreté de fonctionnement

� La Sûreté de Fonctionnement est l'aptitude d'un système à satisfaire à une ou plusieurs fonctions requises dans des conditions données

� La Sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les défaillances des systèmes technologiques et les défaillances humaines.

� La Sûreté de fonctionnement est appelée la science des « défaillances ». D’autres désignations existent suivant les domaines d’applications : � analyse de risque (milieu pétrolier), � aléatique,� cyndinique (science du danger),� FMDS (Fiabilité, Maintenabilité, Disponibilité, Sécurité), en anglais RAMS (Reliability, Availability,

Maintainability and Safety) : � La fiabilité est la probabilité de non-défaillance d’un équipement sur un intervalle de

temps donné� La disponibilité se définit par la probabilité d’être en état d’accomplir sa fonction à un

instant donné. � La maintenabilité est l’aptitude d’un système à être maintenu en état : Elle correspond

à la probabilité que la remise en état d’une entité en panne soit effectuée dans un intervalle de temps.

� La sécurité implique actuellement les aspects réglementaires de la sécurité des personnes

1.2 HistoriqueLes premières démarches de fiabilité : (début du siè cle)

• Transport ferroviaire : recueils statistiques des pièces mécaniques• Production/Distribution électrique : Redondances de transformateurs et de lignes de distribution.

��Théorie fausse de l’époque : la fiabilité d’une chaî ne dépendait directement de celle du maillon le plu s faible

Introduction de la statistique : les années 30

• Transports aériens : évaluation de la sécurité opérationnelle des vols d’aéronefs propulsés par un, deux, trois et quatre moteurs. A cette occasion et pour la première fois, on a introduit des objectifs chiffrés en termes de probabilité d’occurrence d’accident par heure de fonctionnement (1 accident pour 100 000 h de vol en 1939).

• Industrie militaire : Fin du concept du maillon le plus faible ; le mathématicien Robert Lusser lors de son étude pour analyser les problèmes de fiabilité de la fusée V1 définit la loi de probabilités de défaillance d’éléments placés en série. Il démontra que pour N éléments mis en série et ayant la même probabilité de défaillance P, la probabilité de défaillance des N éléments en série était égale à PN.

• Industrie aérospatial : En 1949, le capitaine Murphy énonça sa fameuse loi « If anything can go wrong, it will »(Si un problème risque de se produire, cela arrivera).

Notions de fiabilité en électronique : les années 50

L’avènement de l’électronique à tubes dans des équipements techniques de plus en plus complexes fit prendreconscience de l’importance de leur fiabilité. On arriva à des situations telles que de nombreux systèmes n’étaientdisponibles qu’environ 30% de leur temps. En vue de quantifier la fiabilité des composants, les premiers indicateurs chiffrés firent leur apparition (temps moyen de fonctionnement entre défaillance (FMED) ou enanglais, MTBF (mean time between failure) pour servir de base aux premières clauses contractuelles de fiabilité.

1.2 Historique

Analyse des défaillances : les années 60• Aéronautique/Spatial : Les programmes de missiles intercontinentaux et la conquête spatiale (programmes

Mercury et Gemini) des États-Unis ont formalisé l’essentiel des méthodes d’analyse de la Sûreté de fonctionnement utilisées encore aujourd’hui : analyse des modes de défaillance et de leurs effets (aéronautique et LEM) ; arbres des causes (aéronautique, missile Minuteman), méthode des combinaisons de pannes (SNIAS : Concorde, puis Airbus), méthode du diagramme du succès et méthode THERP (Technique for human error rate prediction).

• L’académie française accepta pour la première fois l’usage du terme fiabilité.

Evaluation des risques : les années 70• Applications nucléaires : Diffusion des techniques d’évaluation opérationnelles et prévisionnelles de la fiabilité et

acceptation de la notion probabiliste de la sécurité dans les secteurs industriels présentant des risques pour les biens, les personnes et l’environnement. Apparition des arbres de défaillance et arbres de conséquence à cette époque.

Formalisation, généralisation de la Sdf dans tous l es secteurs d’activité : De 1980 à nos joursLes deux dernières décennies avant l’avènement du troisième millénaire ont été marquées par la prise en compte dans lesétudes de Sûreté de fonctionnement de la pénétration de l’informatique industrielle et des facteurs humains, avecl’apparition de nouveaux outils : chaînes de Markov, réseaux de Pétri, simulation... ; HCR, HEART (pour les facteurshumains) ; utilisation de logiciels de calcul de fiabilité ; modélisation et simulation des accidents (dispersion degaz...).

En conclusion, il n’existe désormais pratiquement a ucun domaine d’activité industrielle dans lespays développés où la Sûreté de fonctionnement n’est pas prise en compte (même partiellement)dans tout le cycle de vie du produit (conception, f abrication, exploitation, maintenance et mise aurebut).

1.2 Définitions - Abréviations

� SdF : Sûreté de Fonctionnement (Dependability), aptitude d'une entité à satisfaire à une ou plusieurs fonctions requises dans des conditions données.

� FMDS (RAMS) : Fiabilité, Maintenabilité, Disponibilité et Sécurité, acronyme pour désigner la sûreté de fonctionnement.

� PPM (ou K‰) : Pièces Par Million, valeur de 1 million de fois le rapport entre un nombre cumulé d’incidents et un nombre de produits finis.

� AFE (EFA) : Analyse Fonctionnelle Externe (External Functional Analysis), méthode visant à décrire de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur. Elle peut être également appelée Analyse Fonctionnelle du Besoin.

� AFI (IFA) : Analyse Fonctionnelle Interne (Internal Functional Analysis), analyse visant à décrire comment les composants du système étudié participent à la réalisation des fonctions. Elle peut être également appelée Analyse Fonctionnelle Technique.

� APR (PRA) : Analyse Préliminaire de Risques (Preliminary Risks Analysis), méthode visant à fournir l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système étudié.

� ADD (FTA) : Arbre De Défaillances (Fault Tree Analysis), outil destiné à déterminer les causes ainsi que la combinaison entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER).

�

� AMDEC (FMECA) : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Failure Modes, Effects and Criticality Analysis)Méthode d'analyse d'un système qui comprend une analyse des modes de défaillance et de leurs effets, complétée par une analyse de criticité des modes de défaillance.

� ER (RE) : Evénement Redouté (Risk Event), l’évènement redouté se définit comme la manifestation de la défaillance. Il s’exprime donc en termes de gêne pour le client.

� Défaillance (Failure) : Cessation de l’aptitude d’une entité à accomplir une fonction requise.

� Mode de défaillance (Failure Mode) : Manière de dont un système peut arrêter d’assurer ses fonctions. Il s’exprime en termes physiques (rupture, fatigue, coincement, fuite, court-circuit…), chimiques ou autres ayant entraînés une défaillance.

1.2 Définitions - Abréviations

� Fiabilité R(t) (Reliability) : La fiabilité est l'aptitude d'un composant ou d'un système à fonctionner pendant un intervalle de temps. Plus précisément, la fiabilité est l'aptitude d'une entité à accomplir une fonction requise, dans des conditions données, durant un intervalle de temps donné. Le terme fiabilité est également utilisé pour désigner la valeur de la fiabilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné. La notion de fiabilité est associée à celle de taux de défaillance.

� Maintenabilité (Maintainability) : La maintenabilité est l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de fonctionnement. Plus précisément, la maintenabilité est, dans des conditions données d'utilisation, l'aptitude d'une entité à être maintenue ou rétablie dans un état ou elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, en utilisant des procédures et des moyens prescrits. Le terme maintenabilité est également utilisé pour désigner la valeur de la maintenabilité. C'est alors, pour une entité donnée, utilisée dans des conditions données d’utilisation, la probabilité pour qu’une opération de maintenance active puisse être effectuée pendant un intervalle de temps donné, lorsque la maintenance est assurée dans des conditions données et avec l’utilisation de procédures et des moyens prescrits.

� Disponibilité (Availability) : La disponibilité est l'aptitude d'un composant ou d'un système à être en état de marche à un instant donné. Plus précisément, la disponibilité est l'aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données, àun instant donné, en supposant que la fourniture des moyens nécessaires est assurée. Le terme disponibilité est également utilisé pour désigner la valeur de la disponibilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, à un instant donné.

� Sécurité (Safety) : La sécurité est l'aptitude d'une entité à ne pas conduire à des accidents inacceptables. Plus précisément, la sécuritéest l'aptitude d'un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer une agression du personnel ou une dégradation majeure du produit ou de son environnement.

� Durabilité (Durability) : Aptitude d’une entité à accomplir une fonction requise dans des conditions données d’utilisation et de maintenance, jusqu’à ce qu’un état limite soit atteint. Lorsque le système est réparable, l’état limite est au-delà duquel on ne répare plus.

� Fonction défaillance F(t) (Unreliability) : La fonction défaillance représente la probabilité d’être défaillant avant un temps, kilométrage ou un nombre de sollicitations donné. Rq : si on désigne la fonction fiabilité par R (Reliability), la fonction défaillance F (Failure) est égale à 1-R. Chez certains clients, elle peut se retrouver sous la dénomination « défiabilité ».

2. Notions et outils

fondamentaux

2.1 Principe de la sûreté de fonctionnement

� La sûreté de fonctionnement (SdF) est l'aptitude d'une entité àsatisfaire à une ou plusieurs fonctions requises dans des conditions données.

� La sûreté de fonctionnement regroupe quatre notions :� La fiabilité� La maintenabilité� La disponibilité� La sécurité.

2.2 But de la sûreté de fonctionnement

� Le but de la sûreté de fonctionnement : mesurer la qualité de service délivré par un système, de manière à ce que l’utilisateur ait en lui une confiance justifiée.

� Cette confiance justifiée s’obtient à travers une analyse qualitative et quantitative des différentes propriétés du service délivré par le système, mesurée par les grandeurs probabilistes associées : fiabilité, maintenabilité, disponibilité, sécurité.

2.3 Etudes de sûreté de fonctionnement

� Les études de sûreté de fonctionnement regroupent les activités d'évaluation prévisionnelle de la fiabilité, de la maintenabilité, de la disponibilité et de la sécuritéd'une organisation, d'un système, d'un produit ou d'un moyen.

� Ces évaluations permettent, par comparaison aux objectifs ou dans l'absolu, d'identifier les actions de conception ou d'amélioration de l'entité pour atteindre le niveau voulu.

� Ces études consistent généralement à analyser les effets des pannes, dysfonctionnements, erreurs d'utilisation ou agressions de l'entité étudiée.

� L’étude de sûreté de fonctionnement comporte deux volets complémentaires :� Analyse fonctionnelle va détailler la manière dont le système va opérer dans

toutes ses phases de vie ainsi que les autres systèmes avec lesquels il va pouvoir interagir,

� Analyse dysfonctionnelle vise à imaginer l’ensemble des défaillances pouvant survenir n’importe où dans le système, seules ou combinées entre elles, et àanalyser leur impact.

� Les résultats de ces deux études sont mis en commun dans une modélisation du système qui va représenter virtuellement celui-ci avant sa réalisation, tant dans son fonctionnement attendu que dans les pannes susceptibles de lui arriver.

� En étudiant cette modélisation, il devient alors possible de valider ou invalider une solution technique, optimiser des choix architecturaux, remplacer des composants critiques, ceci dans le but de :� réduire au maximum les risques ;� réduire au maximum les coûts d’exploitation ;� tolérer, dans la mesure du possible, certaines fautes en autorisant un

fonctionnement en mode dégradé sous certaines conditions.

2.4 Outils utilisés en sûreté de fonctionnement

2.4.1 Analyse fonctionnelle externe (AFE)

� L’analyse fonctionnelle externe (ou analyse fonctionnelle du besoin) est un outil qui décrit de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur.

� Son principe est de considérer l’objet de l’étude comme une boîte noire, et de le placer dans son environnement d’utilisation pour décrire ce qu’il doit faire, faisant abstraction des solutions.

� Cette approche se déroule en 7 phases :

� Phase 1 : Définir les limites du système� Phase 2 : Valider le besoin du système� Phase 3 : Rechercher les situations de vie� Phase 4 : Lister les environnants au système par situation de vie� Phase 5 : Rechercher les relations entre le système et ses environnants (les

fonctions)� Phase 6 : Libeller ces fonctions� Phase 7 : Caractériser ces fonctions.



Phase 1 : Définir les limites du système

� Cette phase a pour but de définir ce qu’est notre système et ce qui n’en fait pas partie.� Pour cela, nous pouvons utiliser une décomposition hiérarchique du produit appelée découpage

PBS (Product Breakdown Structure). C’est notamment au niveau des interfaces que cette définition des limites est importante.

Feuille de verre ext.

Pare-brise

Feuille de verre int.

Feuille PVB

Emaillage

Rétroviseur

Capteur DDP

Balais essui-vitre

Joint étanchéité

Embase rétroviseur

Support capteur DDP

Colle



Phase 2 : Valider le besoin du système

• Avant de se lancer dans la conception d’un nouveau système, il est évident qu’il est intéressant de se poser la question de son utilité et de la pérennité de celui-ci.

• L’outil destiné à valider le besoin d’un système est appelé « bête à cornes » en liaison avec son mode de représentation.

Système

But ?- Pour faire quoi ?

- Pourquoi ?

Disparition ?

« Bête à cornes »

A qui ça sert ?

Sur quoi ça agit ?




• « A qui ça sert ? »Il s’agit de définir le client premier du système. Evidemment, s’il n’y a pas de client, c’est que le

système ne servira à rien.• « Sur quoi ça agit ? »Le but est de définir quel environnant principal sera modifié par le système étudié. Si le système

ne doit modifier aucun environnant, encore une fois il ne servira à rien.• « Pour faire quoi ? »Cette question doit préciser l’objet du système, que doit-il faire précisément. Encore une fois, s’il

ne fait rien, c’est qu’il ne sert à rien.• « Pourquoi ? »Cette question va nous amener à réfléchir sur le but premier du système.• « Disparition »Cette question sert à étudier la pérennité du système. Cette disparition peut être entraînée par la

perte du client (A qui ça sert ?), par la perte de l’environnant (Sur quoi ça agit ?), par le fait de faire la même chose d’une autre manière (Pour faire quoi ?) ou par la perte de l’objet premier du système (Pourquoi ?).

Ainsi, si les points de disparition semblent porter une probabilité faible, ce système pourra être lancé ou, dans le cas contraire, il sera stoppé ou réorienté.




Exercice : Faire la bête à cornes du système représenté ci-dessous




Corrigé :

Système

But ?- Pour faire quoi ?

- Pourquoi ?

Disparition ?

A qui ça sert ?

Sur quoi ça agit ?

A l‘homme Sur un support d'écriture(ex : feuille de papier)

« Pour faire quoi ? » : Pour laisser des traces sur un support d'écriture de la pensée, du savoir, …de l'Homme

« Pourquoi ? » : Parce que l'Homme ne peut garder présent à l'esprit et pour toujours, l'ensemble de ce qu'il pense, de ce qu'il sait...

«Disparition ? » : •Perte de l’homme : Probabilité faible•Perte du support d’écriture : Probabilité faible•Perte du but :

-il est possible de faire la même chose différemment => outil informatique-le but premier du système n’est pas remis en cause



Phase 3 : Rechercher les situations de vie

Les situations de vie représentent les différentes phases dans lesquelles se trouverale produit tout au long de son existence (allant de sa fabrication jusqu’àsa destruction et recyclage), chacune d’entre elles pouvant influer sur son design.

Fabrication Situations de vie du

Pare-brise

Logistique / stockage

Montage en usine

Véhicule à l'arrêt

Véhicule en roulage

Réparation

Recyclage

Roulage normal

Chocs

Utilisation du Pare-brise

Chocs parking

Lavage / entretien



Phase 4 : Lister les environnants au système par situat ion de vie

� Cette phase consiste à rechercher les éléments physiques qui sont en relation avec le système dans la situation de vie étudiée.

� Ces éléments peuvent être les autres composants du système de niveau n+1, l’ambiance dans laquelle se trouve le système, l’utilisateur du système ou l’environnant qui doit être modifié.

Ambiance extérieure

Pare-brise

Utilisateur

Monteur

...



Phase 5 : Rechercher les relations entre le système et ses environnants (les fonctions)

� Les fonctions constituent les relations entre le système et ses environnants.

� Elles sont classées en deux catégories :� Fonctions de service (ou principales) : elles représentent l’objet du système. Elles relient deux

environnants au travers du système.� Fonctions contraintes : elles représentent les contraintes auxquelles le système doit résister. Elles ne

relient qu’un environnant au système.

� Les fonctions de service et contraintes sont représentées dans un schéma appelé « pieuvre »..

FP2FC4

FC1

FC2FC3

...

Pare-brise

FP3FP1

Monteur

Ambiance extérieur

Reste duvéhicule

Utilisateur



Phase 6 : Libeller ces fonctions

Le libellé des fonctions est constitué de la construction suivante : � Sujet : c’est le système étudié qui se trouve dans la bulle centrale de la pieuvre.� Verbe d’action : il transcrit la donnée de sortie de la fonction (ce que le produit doit faire).� Compléments : ils reprennent les éléments des bulles environnants. Cependant, pour simplifier la

phrase, le sujet peut être sous-entendu, donc omis dans la phrase.� Ce travail doit être effectué pour chaque situation de vie du système.� En reprenant notre exemple du pare-brise, chacune des fonctions pourra être libellée comme ci-

après :� FP1 : le PB doit assurer une bonne visibilité du milieu extérieur au conducteur.� FP2 : le PB doit plaire à l’utilisateur en s’intégrant esthétiquement au reste du véhicule.� FP3 : le PB doit respecter l’intégrité physique du monteur� FC1 : le PB doit isoler de l’ambiance extérieure (eau, air…).� FC2 : le PB doit respecter l’utilisateur.� FC3 : le PB doit résister à l’utilisateur.� FC4 : le PB doit s’adapter au reste du véhicule.� …



Phases 5/6 : Rechercher les relations entre le système et ses environnants (les fonctions)

� Exercice : Rechercher les fonctions principales et contraintes du système représenté ci-dessous :



Phase 5/6 : Rechercher les relations entre le système et ses en vironnants (les fonctions)

� Corrigé : Attention ! Il faut commencer par lister les situat ions de vie du système :� Situation d’écriture� Situation de repos (posé, accroché...)

FP1

FC1

Oeil

Stylo

Utilisateur

Ambiance extérieur

Support d'écrtiure

Main

FC2

FC3

FC1

Poche/Sac

Stylo

Vêtements Objets divers

Ambiance extérieur

FC2

FC3

Fp1 = permettre à la main de l'Homme de laisser des traces sur un support d'écritureFc1 = résister à l’ambiance extérieureFc 2 = être agréable à l'œilFc3 = respecter l’utilisateur

En situation d'écriture En situation Repos (Accroché ou posé)

Fc1 = résister à l’ambiance ext.Fc2 = s’accrocher à une pocheFc3 = préserver les vêtements ou objets divers



Phase 7 : Caractériser ces fonctions� Cette dernière phase consiste à déterminer des critères de performance pour chacune des fonctions

définies ci-avant, d’en préciser les niveaux attendus ainsi qu’une flexibilité (niveau de négociation possible).

� Les critères de performance correspondant à la partie verbale qualifient les données de sortie de la fonction (ce que l’on attend du système). A contrario, les critères de performance associés aux parties nominales servent à qualifier l’environnant correspondant, ils décrivent donc les données d’entrée de la fonction.

� A chaque critère de performance est associé un niveau qui doit être tolérancé pour permettre au concepteur d’évaluer sa capabilité.

� Enfin, à chaque critère est également associé un niveau de négociation possible entre le spécificateur et le concepteur (appelé niveau de flexibilité) :� F0 : flexibilité nulle : niveau impératif� F1 : flexibilité faible : niveau peu négociable� F2 : flexibilité bonne : niveau négociable� F3 : flexibilité forte : niveau très négociable.

� La donnée de sortie de l’analyse fonctionnelle exte rne est le cahier des charges fonctionnel du système étudié.



Phase 7 : Caractériser ces fonctions – Le tableau fonctionnel

FonctionDécomposition fonctionnelle

Critères Niveaux Flexibilité

Situation de vie : Véhicule à l'arrêtTe=50±3 F2

Re=5±3 F2

Etre étanche au bruit ... ... F2Conformité aux spécif./Normes

CEE 92226 F0

... ... ...

... ... ...

... ... ...

FP2 : Participer à la sécurité

passive

Participer au maintien de l'occupant à l'int. du

véhicule

Respecter les performances thermiques

Etre étanche à l'eau

...

aucune infiltration d’eau admise

F0

Mesures des performances thermiques.

FP1 : Résister à l'ambiance ext.

Mesure de l'intrusion d'eau


2.4.2 Analyse fonctionnelle interne (AFI)

� L’objet de cette analyse est de décrire comment les composants du système participent àla réalisation des fonctions.

� Evidemment, à ce stade, il faut avoir défini le nombre de composants et le mode de fonctionnement du système.

� Cette analyse comporte deux étapes principales : la décomposition du système et l’identification des flux à l’intérieur du système.� Décomposition du système

� L’objet de cette décomposition est de définir les éléments constitutifs qui composent le système. Cette décomposition va constituer la nomenclature produit.

Feuille de verre ext.

Pare-brise

Feuille de verre int.

Feuille PVB

Emaillage

Embase rétroviseur

Embase DDP

Colle

Colle



� Identification des flux à l’intérieur du système� L’objet de cette étude est de déterminer comment chaque fonction définie lors de l’analyse

fonctionnelle externe, est réalisée par les différents composants.� En intégrant les composants dans la bulle centrale de la pieuvre, on illustre le chemin suivi

par chacune des fonctions. Ce chemin représente les flux à l’intérieur du système, flux qui sont de trois types : matière, énergie ou information.

� Les fonctions sont alors matérialisées dans le dessin par des traits représentant les contacts entre les éléments eux-mêmes et entre les éléments et les différents environnants. Ce schéma est classiquement appelé « bloc diagramme fonctionnel ».

FP1

Conducteur

Ambiance extérieur ...

Reste duvéhicule

Feuille int..

Embase rétroviseur

Feuille ext.

Embase DDP

PVB.

Utilisateur

…



� Pour des systèmes complexes, on préférera plutôt le tableau d’analyse fonctionnelle, qui synthétise la participation des composants à la réalisation des fonctions, à la place du bloc diagramme fonctionnel.

� Ainsi, selon les produits étudiés, on pourra utiliser soit le bloc diagramme fonctionnel, plus intuitif et plus imagé mais plus compliqué à dessiner avec un ordinateur, soit le tableau d’analyse fonctionnelle, plus facile à réaliser avec un tableur type Excel.

� Ce genre de représentation est peut-être plus sûr pour ne rien oublier. En effet : toute fonction doit être affectée à un composant au moins ; tout composant doit participer au moins à une fonction.

FonctionsComposantsFeuille ext. X X XPVB X X XFeuille int. X XEmaillage X XEmbase DDP X XEmbase Rétroviseur X XJoint XColle…

FC2 …FP1 FP2 FP3 FC1

2.4 Outils utilisés en sûreté de fonctionnement2.4.2 Analyse fonctionnelle interne (AFI)

� Pour des raisons visuelles et d’efficience on préfèrera une fois l’AFE terminée basculer directement sur un outil riche de l’AFI : le FAST.

� FAST= Analyse Fonctionnelle des systèmes techniques ( Function Analysis System Technic )� Cet outil permet une fois le recensement et l’identification des fonctions faites de construire

une décomposition fonctionnelle qui aboutira sur l’établissement de solutions techniques.� Méthodologie :

� La fonction est placée dans un cadre.� Ce cadre est disposée sur la gauche d’un tableau .� Le groupe de travail doit répondre aux questions posées.� Les réponses ou solutions sont disposées sur une colonne à droite.� Chaque nouvelle solution est décortiquée en sous catégorie pour obtenir les éléments qui constituent la

ou les solutions à étudier.

DE LA FONCTION GLOBALE A LA SOLUTIONDE LA FONCTION GLOBALE A LA SOLUTIONFonction globale → décomposition fonctionnelle → Solutions techniques

Technique interrogative :

Intérêt : Relation BESOIN �� SOLUTION

Comment?

2.4 Outils utilisés en sûreté de fonctionnement2.4.2 Analyse fonctionnelle interne (AFI)



� Exercice : Réaliser le FAST du système ci-dessous.� Identifier les différentes situations de vie� Lister les fonctions pour chaque situation de vie� Faire le FAST complet Diviser les fonctions

par groupe de travail



� Corrigé

Feuille de calcul

Microsoft Excel


2.4.3 Analyse Préliminaire des Risques (APR)

� L’analyse préliminaire de risques est une méthode visant à fournir l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système étudié.

� Cette analyse se décompose en deux approches complémentaires :� une approche fonctionnelle : analyse des conséquences des défaillances des

fonctions du système,� une approche agressions :

� analyse des conséquences des agressions du système vers l’extérieur (éléments potentiellement dangereux) ;

� analyse des conséquences des agressions du milieu extérieur vers le système (éléments sensibles).

� Ces approches ont pour avantages d’obtenir un examen rapide des situations dangereuses, ne nécessitant pas un niveau de description détaillé du système étudié.

� Par contre, pour des systèmes complexes, elles ne permettent pas de décrire finement les enchaînements qui conduisent à une défaillance majeure : l’utilisation ultérieure d’outils tels que l’AMDEC ou arbre de défaillances sont nécessaires.



2.4.3.1 L’APR approche fonctionnelle

� L’approche fonctionnelle a pour but d’étudier les conséquences de chaque mode de défaillance des fonctions décrites dans l’analyse fonctionnelle. Elle est donc effectuée pour chaque fonction du système dans chaque situation de vie.

� Par mode de défaillance, on entend :� Absence de fonction à la sollicitation : ça ne marche pas,� Perte de fonction en fonctionnement : ça ne marche plus,� Fonctionnement dégradé : ça marche mal,� Fonctionnement intempestif : ça marche alors que l’on a rien demandé,� Fonctionnement intermittent : ça s’arrête et ça repart tout seul.

� Toutes les fonctions de service et les fonctions contraintes listées dans l’analyse fonctionnelle externe sont reprises comme données d’entrée pour l’APR approche fonctionnelle.

� Pour chaque fonction, les modes de défaillance seront déterminés en tenant compte des différents types définis ci-avant (absence, perte, dégradé, intempestif et intermittent).

� Ensuite, l’événement redouté par le client est identifié pour chaque mode de défaillance. Par client, on entend l’utilisateur final du macro-système dans la situation de vie étudiée. L’événement redoutés’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégritéphysique de l’utilisateur ou des personnes environnantes.




Niveau Définition Commentaires pour info, liste non exhaustive

G1 vert

Insatisfaction ou dégradation d'une prestation ou d'une fonctionnalité du véhicule

Performances générales du véhicule conservées ; L’utilisateur peut continuer à utiliser son véhicule ; il n’y a pas d’impératif à une intervention

G2 jaune

Perte d'une prestation ou d'une fonctionnalité du véhicule

Apparition de symptômes gênant ; l’utilisateur peut continuer à utiliser son véhicule, mais une intervention s’impose rapidement

G3 orange

Fiabilité /

disponibilité

Le véhicule est indisponible pour l'utilisateur

- Impossibilité de commencer un trajet - Impossibilité de finir un trajet par la perte d'une fonction principale ou par le non respect de la réglementation (risque de contravention) - Impossibilité de stationner le véhicule en l'état (risque d'inviolabilité)

G4 rouge

Sécurité Risque de dommages corporels pour l’homme

- Peut potentiellement entraîner un accident de la circulation - Risque de dommage corporel sans accident de la circulation

� Cette première partie de l’APR correspond à la partie qualitative.� La partie quantitative de l’APR a, quant à elle, pour objet de hiérarchiser les risques pour permettre au groupe

d’analyse d’adapter la méthodologie de traitement en conséquence et ainsi les actions à mettre en œuvre.

� Pour chaque mode de défaillance, on renseignera donc un niveau de gravité caractérisant le niveau de gêne du mode de défaillance pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté.

� Les niveaux de gravité sont évalués à partir des critères définis dans la grille ci-après.




� Après la gravité, on renseignera également le niveau d’occurrence. Cette évaluation correspond à la probabilité d’apparition du mode de défaillance lié à l’événement initiateur.

� Les niveaux d’occurrence sont évalués à partir des critères définis dans la grille ci-après.

Niveau Niveau d’innovation Taux de défaillance ressenti

O1 vert

Reprise d’éléments éprouvés en série

Il est pratiquement impossible que l’événement se produise au cours de la durée de vie de l’ensemble de la population des systèmes

O2 jaune

Reprise de concepts éprouvés dont les quelques défaillances n’engendrent pas de pénalisation du marché

Il est possible que quelques systèmes défaillent au cours de leur durée de vie

O3 orange

Fortes modifications de concepts connus

Il est possible qu’une part non négligeable de systèmes présente une défaillance au cours de leur vie impactant la rentabilité du produit (retours garantie par exemple)

O4 rouge

Conception innovante

Il est possible qu’une majorité de systèmes présente des défaillances au cours de leur vie engendrant un problème d’image de marque du produit




� Ainsi, compte tenu des niveaux de gravité et d’occurrence estimés, le groupe de travail traitera les risques « majeurs » en priorité en utilisant les démarches et outils appropriés.

� Bien entendu, les défaillances ayant une gravité élevée seront traitées en priorité par le groupe de travail.

� Etant donné que notre objectif premier dans la mise en œuvre de l’APR est la recherche et la hiérarchisation des événements redoutés, notre analyse s’est volontairement limitée à identifier les modes de défaillance, les événements initiateurs et leurs niveaux d’occurrence associés, les événements redoutés et leurs niveaux de gravité associés.

� L’identification des conséquences système et des scénarios (succession d’événements), et la définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.

Fonction Mode de défaillance Evénement initiateurEvénement Redouté

(ER)Gravité

Occur-rence

Situation de vie : Véhicule à l'arrêt

Non tenue de la R43 : casse non dispersée en fragements à l'impact

Process : TempageProduit : design, épaisseur...

agression des vitres latérales sur les ocuupants lors d'un accident

G4 O1

... ... ...

Assurer la sécurité passive des occupants



2.4.3.2 L’APR menace/agressions

� Il existe deux approches complémentaires à l’approche fonctionnelle décrite ci-avant :

� Une approche agressions du système vers l’extérieur, appelée également agressions externes, qui étudie l’impact sur l’environnement d’une défaillance d’un élément potentiellement dangereux.

� Une approche agressions du milieu extérieur vers le système, appeléégalement agressions internes, qui étudie les conséquences des agressions potentielles que le milieu extérieur peut induire sur les éléments sensibles du système.




Approche agressions du système vers l’extérieur (ag ressions externes) :

� Dans l’approche agressions du système vers l’extérieur, le groupe de travail recherchera l’ensemble des éléments ayant une géométrie, ou contenant suffisamment d’énergie latente, présentant un danger potentiel. Par énergie latente, on entend une énergie capable d’être libérée de façon incontrôlée (résistance chauffante, ressort tendu, élément sous pression, dégagement de produits nocifs…).

� Ensuite, on recherchera le ou les événements initiateurs qui pourraient libérer cette énergie latente, risquant ainsi de provoquer l’événement redouté au niveau du client utilisateur. Les événements initiateurs peuvent être liés à une défaillance interne au système, mauvaise manipulation de l’utilisateur, modification du milieu environnant…

� Tout comme l’approche fonctionnelle, l’événement redouté par le client est alors identifié pour chaque élément potentiellement dangereux. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes.

� Pour chaque élément potentiellement dangereux, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne de l’élément potentiellement dangereux pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté.

� Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans les mêmes grilles que celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse Préliminaire des Risques).

� Comme pour l’approche fonctionnelle, notre analyse s’est volontairement limitée aux éléments décrits ci-avant.





Approche agressions du milieu extérieur sur le syst ème (agressions internes) :

� Dans l’approche agressions du milieu extérieur sur le système, le groupe de travail recherchera l’ensemble des composants constitutifs du système qui pourraient être sensibles à une agression extérieure, pouvant provenir de l’environnement ou des autres systèmes interfacés avec le système étudié.

� Ensuite, on recherchera le ou les événements initiateurs extérieurs au système qui pourraient dégrader l’élément fragile. Par événement extérieur, on entend aussi bien les éléments du milieu ambiant (température, agressions mécaniques ou chimiques…) que les défaillances des autres systèmes avec lequel le système étudié est en interaction (vibrations…).

� Tout comme l’approche agressions externes, l’événement redouté par le client est alors identifié pour chaque élément fragile. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes.

� Pour chaque élément fragile, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne de l’élément fragile pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté.

� Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans la même grille que celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse Préliminaire des Risques).

� Comme pour l’approche agressions externes, notre analyse s’est volontairement limitée aux éléments décrits ci-avant.





� Etude cas : Etude de sûreté de fonctionnement de la société BIQ� AFE :

� Bête à cornes : OK� Pieuvre : OK� CDCF : OK

� AFI : � Bloc diagramme fonctionnel : OK� FAST : OK

� L’analyse fonctionnelle étant réalisée le groupe BI Q souhaite mettre en œuvre l’étude des risques.

� 23 Qualiticiens sont responsables de l’étude et BIQ attend leurs conclusions.


2.4.4 Arbre de défaillances (ADD)

� L’arbre de défaillances est un outil destiné à déterminer les causes ainsi que la combinatoire entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER). Ces combinaisons d’événements sont représentées graphiquement àl’aide d’une structure de type arbre, dans lequel les relations causes/effets sont schématisées par des portes logiques ET ou OU.

� Cet outil permet de :

� visualiser la « mécanique » pouvant amener à la défaillance,� allouer une fiabilité aux différents composants du système par une quantification

« Top Down »,� évaluer la fiabilité de l’événement redouté par une quantification « Bottom Up ».



2.4.4.1 Construction de l’arbre de défaillances

� L’arbre de défaillances est un outil déductif et itératif : on part d’un effet pour en trouver ses causes en se posant la question « Pourquoi ? ». A la différence du diagramme « Causes – Effets » ou de l’outil « 5 Pourquoi ? » où chaque cause peut individuellement entraîner l’effet non désiré, l’arbre de défaillances permet, en plus, de mettre en évidence la combinatoire de ces causes.

� Même si classiquement, un arbre de défaillances est représenté verticalement, on conviendra d’une représentation de l’arbre couché où l’événement redouté est à gauche et les causes s’enchaînent vers la droite.

Définition de l’événement redouté (« sommet de l’arbr e »)� L’événement redouté (ER) est l’événement indésirable pour lequel on recherche toutes les causes,

et leur combinatoire, qui y conduisent. Cet événement est unique pour un arbre de défaillances et se trouve à gauche de l’arbre (ou au sommet). Il doit être défini de façon précise afin d’éviter d’avoir une analyse gigantesque ou impossible à faire.

� Cet événement provient généralement de l’analyse préliminaire de risques utilisée en amont de l’arbre de défaillances.

Portes logiques� L’arbre de défaillances est particulièrement bien adapté aux événements combinatoires, mais

devient délicat à mettre en œuvre quand il s’agit d’événements séquentiels.




� Porte « OU » : l’événement E1 se produit dès qu’un événement A, B ou C se produit.Porte « OU »

� Porte « ET » : l’événement E1 ne se produit que si les événements A, B et C se produisent simultanément.

Porte « ET »

� Pour éviter de recopier inutilement des parties de dessin identiques d’une branche à l’autre de l’arbre du dessin, on peut utiliser un système de renvoi.

Renvoi d’une partie de l’arbre




Déroulé de l’analyse

� L’analyse débute par la recherche des causes immédiates nécessaires et suffisantes pour obtenir l’événement redouté. Ces causes constituent des événements intermédiaires dont on recherchera les causes et leur combinatoire, et ainsi de suite. A chaque étape, la question pertinente pour rechercher les causes du niveau inférieure est « pourquoi ? ».

� Les causes correspondant au niveau le plus à droite (ou plus bas) de l’analyse sont appelées événements élémentaires ou causes racines. Ces causes racines seront identifiées d’une couleur spécifique dans l’arbre (la couleur jaune sera préconisée).

� La difficulté de l’arbre de défaillances est de définir le niveau de détail adapté. De façon générale, nous considérons que les événements élémentaires correspondent aux défaillances des composants, un composant étant un sous-système réparable ou interchangeable.

� Dans le cas d’un arbre de défaillances mis en œuvre dans le cadre d’une démarche Sureté de Fonctionnement, les événements de base correspondent aux défaillances des sous-systèmes de niveau N-1 définis dans notre décomposition hiérarchique du produit appelée découpage PBS (Product Breakdown Structure).

� Dans la réalisation de l’arbre, le groupe de travail veillera à bien rester dans ses limites de responsabilité tout en communiquant les causes identifiées à d’autres intervenants : client, fournisseur...



2.4.4.2 Allocation fiabilité des différents composants du système

� Une des utilisations de l’arbre des défaillances est l’allocation des objectifs de fiabilité à chacun des composants du système par une quantification de type « Top Down » : en partant de l’objectif alloué au système complet (gauche de l’arbre), on donne un objectif de fiabilité à chacune des causes élémentaires (racines de l’arbre).

Ainsi, conformément à l’algèbre de Boole :� Probabilité (A et B) = P (A) x P (B)� Probabilité (A ou B) = P (A) + P (B) - P (A) x P (B)* = P (A) + P (B)(*) Simplification du théorème de Poincaré : P (A) x P (B) est négligeable étant donné que les probabilités P (A) et P (B) sont faibles.

� Par conséquent, à chaque passage de ET, on prend la racine carré de l’objectif de l’événement supérieur (à gauche) ou on divise cet objectif en traversant un OU. Une répartition peut également être effectuée au prorata des retours observés sur les systèmes de génération précédente.

� Cette approche peut donc permettre d’objectiver les valeurs des objectifs de fiabilité alloués aux fournisseurs de sous-systèmes.



2.4.4.3 Evaluation de la probabilité d’apparition de l’événement redouté

� A l’inverse de l’allocation, l’arbre de défaillances permet également d’évaluer la probabilité d’apparition de l’événement redouté.

� A partir de la probabilité d’apparition de chacune des causes élémentaires, on calcule la probabilité d’apparition de l’événement redouté en remontant l’arbre grâce à l’algèbre de Boole : quantification « Bottom Up ».

� Ainsi, les probabilités se multiplient quand on passe une porte ET et les probabilités s’additionnent lorsqu’on passe une porte OU.

� Toute la difficulté de cette quantification réside dans l’évaluation de la probabilitéd’apparition de chacune des causes élémentaires.




� Exercice : faire l’ADD de l’ER4 « coupure sur l’util isateur »




� Corrigé


2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)

� L’AMDEC est définie comme étant une méthode rigoureuse et préventive visant à recenser puis à évaluer les défaillances d’un système.

� Cette méthode est considérée par la plupart des industriels comme l’outil d’analyse de risque le plus pertinent.



2.4.5.1AMDEC Produit

� L’AMDEC Produit est utilisée pour fiabiliser les systèmes par l’analyse des défaillances dues aux erreurs de conception. Ce type d’AMDEC est donc initialisé en phase de développement produit au moment de sa conception.

� Elle a pour objet de s’assurer que le « Design » répond à l’ensemble des critères du cahier des charges : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise réalisation des critères de performance associés aux fonctions décrites dans l’analyse fonctionnelle du produit.

� Cette analyse se décompose en trois parties :� Analyse qualitative : à partir des fonctions du produit, identification des modes de défaillance potentiels, de leurs

effets, de leurs causes, des contrôles de conception existants (prévention et détection),� Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection �

IPR),� Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception

du produit et actions pour améliorer les démarches de validation prévues.� Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Produit, à moins qu’une exigence

particulière ne soit imposée par le client.



2.4.5.2AMDEC Process

� L’AMDEC Process est utilisée pour analyser les défaillances générées par le processus de fabrication. Ce type d’AMDEC est idéalement initialisé en phase d’industrialisation au moment de la définition du processus de fabrication et de la conception des moyens.

� Elle a pour objet de s’assurer que le processus de fabrication répond à l’ensemble des exigences définies pour la réalisation des opérations : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise réalisation des exigences produit/process associées aux opérations décrites dans la décomposition fonctionnelle du processus de fabrication (incluant la réception, les flux inter-postes, les contrôles et la livraison).

� Cette analyse se décompose en trois parties :� Analyse qualitative : à partir des opérations élémentaires de fabrication, identification des

modes de défaillance potentiels, de leurs effets, de leurs causes, des contrôles de processus existants (prévention et détection),

� Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection � IPR),

� Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception du produit/process et actions pour améliorer les détections prévues (contrôles).

� Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Process, quelque soit l’exigence du client.

3. Fiabilité Prévisionnelle et

Opérationnelle

3.1 Probabilités : généralités

� L’ensemble des définitions et démarches détaillées depuis le début de l’enseignement ne trouvent delégitimité que par les notions probabilistes d’apparition d’une défaillance à un instant t.

� Considérons un système dont le fonctionnement au cours du temps sera représenté par la variable P(t ) : � L’état normal de fonctionnement sera représenté par P (t ) = 1 � L’état défaillant sera noté par P (t ) = 0.

L’instant t d’occurrence d’une défaillance (sauf action délibérée et programmée dans le temps)n’est jamais prévisible et correspond à un événement aléatoire.

Temps (t)0

1En fonctionnement Défaillant

t

Etat P(t)

� Une variable aléatoire est une variable réelle dont la valeur est liée au résultat d’une expérience (dans le cas du jet de dé la variable aléatoire peut prendre les valeurs entières 1, 2, 3, 4, 5 et 6).

� En Sûreté de fonctionnement les variables aléatoires peuvent être discrètes ou continues dans le temps.

� La probabilité d’un événement est un nombre réel toujours comprise entre 0 et 1 : 0 <P (A) < 1

3.2 Modes de défaillances

� Comme nous l’avons vu l’apparition d’une défaillance soumise à une probabilité P(t) peut être la conséquence de plusieurs causes voir de l’association de causes.

� Les études quantitatives de fiabilité dans une démarche de Sdf ont pour objet de mettre en évidence les distributions de défaillance : � De jeunesse : erreurs de conception et de fabrication� Occasionnelle ou anormale de la fabrication� Intrinsèque à la technologie� D’usure

� Concernant l’usure en mécanique par exemple les causes affectant les solutions techniques peuvent être :� Corrosion : piqûres, contraintes, attaques chimiques� Flambage� Fatigue : thermique, usure� Ecaillage� Choc thermique� Radiation� Fatigue vibratoire� Déformation élastique� ...

� Les conséquences associées seront : � Rupture fragile� Rupture ductile� Rupture par fatigue

3.3 Fonctions de base de la Fiabilité

Fonction fiabilité R(t) :

� Considérons l’instant T d’occurrence de la défaillance ; cette variable aléatoire permet de définir la notion de fiabilité qui s’interprète comme la probabilité que l’entité considérée ne tombe pas en panne avant un instant t donné ou bien comme la probabilité qu’elle tombe en panne après l’instant t.

� Par extension, on appelle également fiabilité la probabilité associée R (t ) à cette notion.

� Elle est définie par :R (t ) = P (E non défaillante sur la durée [0, t], en supposant qu’elle n’est pas défaillante àl’instant t = 0).

� Ce qui peut s’exprimer par :R (t ) = P (T > t )

� L’aptitude contraire est appelée défiabilité, et est définie par :R (t ) = 1 –R (t ) = P (t <T ) = F (t)

� Il est possible de donner une approche intuitive de la notion de fiabilité d’un parc composé de N entités identiques en fonctionnement et non réparées après défaillance. En considérant N(0) le nombre d’entités fonctionnant à l’instant t = 0 et N (t ) le nombre d’entités survivant à l’instant t, le quotient N(t )/N(0) représente une mesure expérimentale de la fiabilité des entités identiques.


Exercice :On considère le nombre de défaillancesobservées sur les diodes laserutilisées pour la lecture de disquesoptiques numériques pour un parc de270 lecteurs tableau ci dessous).

Représentez la loi R (t ) approximée parune représentation avec 8 classes

d’intervalles des temps.

Intervalle (h) Nombres de défaillances par intervalle

0 à 500 50500 à 1 000 100

1 000 à 1 500 501 500 à 2 000 302 000 à 2 500 202 500 à 3 000 103 000 à 3 500 53 500 à 4 000 5

Total 270

Nombre de défaillancespar classe de temps de fonctionnement


Nombres de défaillances par intervalle

0

20

40

60

80

100

120

0 à 500 500 à 1000

1 000 à1 500

1 500 à2 000

2 000 à2 500

2 500 à3 000

3 000 à3 500

3 500 à4 000



0

20

40

60

80

100

120

0 à 500 500 à 1000

1 000 à 1500

1 500 à 2000

2 000 à 2500

2 500 à 3000

3 000 à 3500

3 500 à 4000

Nombres de défaillances parintervalle

� Corrigé

3.3 Fonctions de base de la FiabilitéDensité de défaillance f(t) :

� C’est la probabilité ramenée à l’unité de temps qu’un système défaille à t. � La densité de probabilité de l’instant de la défaillance T s’obtient en dérivant la fonction de répartition

F (t ) :f (t ) = dF (t )/dt = - dR(t )/dt

Taux de défaillance :� A partir de la connaissance des termes R (t ), f (t ) et F (t ), on peut définir la notion de taux de défaillance au temps t

qui est noté universellement par λ(t ). � C’est la probabilité ramenée à l’unité de temps, qu’un système ayant survécu jusqu’à t défaille entre t et t+dt. � En appliquant le théorème des probabilités conditionnelles, il vient, si dt est petit :

λ (t ) = -1/R t ( ) x dR(t )/dt� Pendant la durée de vie d’une entité, on constate que son taux de défaillance évolue au cours du temps. � Après la première mise en service, sur une période appelée période de jeunesse, le taux de défaillance est élevé puis

à tendance à décroître. Cela correspond àla période de rodage des systèmes mécaniques ou au déverminage de cartes électroniques.

� Ensuite le taux de défaillance de la majorité des entités est caractérisé par une valeur constante, ce qui signifie que la probabilité d’une défaillance est identique pour chaque instant considéré. C’est la période de défaillance à taux constant.

� Ensuite, en raison du vieillissement des matériaux des composants ou de leur usure, on observe généralement un taux de défaillance qui se met à croître de façon significative. Cette période de la vie de l’entité est appelée la période de vieillissement ou d’usure.

� Cette évolution est connue sous le nom de « courbe en baignoire »

3.4 Les lois rencontrées en SdF� Loi binomiale de paramètres p et n : Elle correspond à la probabilité de réalisation

d’un événement de probabilité p au cours de n expériences

� Loi de Poisson de paramètre m : Elle correspond au nombre d’occurrences sur une période donnée d’un événement dont la probabilité par unité de temps est constante.

� Loi de Weibull : Cette loi est très utilisée pour représenter le comportement des matériels pendant toute leur période de vie avec une loi de densité de probabilité définie par :

R(t) = e-((t-γ)/η)^β λ (t ) = (β/η) x ((t-γ)/η)^(β-1)On peut donner une interprétation de λ en fonction de β :

- λ(t) croissant pour β>1- λ(t) constant pour β=1

- λ(t) décroissant pour β<1

β paramètre de forme (sans unité), η paramètre d’échelle (en unités de temps)γ paramètre de position (en unité de temps)

3.4 Les lois rencontrées en SdFLoi de Weibull : signification physique des valeurs de β� Pannes de jeunesse : β <1 : Défaut d’assemblage ou de fabrication

(défaut de serrage, étanchéité, pollution d’huile, propreté)=Processdéfaillant ou définition du produit inadéquat.

� Pannes aléatoires : β=1 : erreur humaine, événements naturels (foudre... )

� Pannes de fatigue lente : 1 < β <2, Grand nombre de cycles

� Pannes de fatigue moyenne : β=2, Etanchéité, tenue des soudures

� Pannes de fatigue rapide : β>2, utilisation du produit dans son domaine plastique, abrasion, corrosion

3.5 Notion de robustesse

� Non dégradation des performances du produit en fonc tion de :� Des variabilités de fabrication� Des variabilités d’utilisation� Du vieillissement des composants du produit

� Logique de robustesse :� Trouver le compromis entre performance satisfaisante et insensibilité aux bruits� Valider ce compromis pas essais, calcul, simulations, modélisation...� Dimensionnement en contrainte/résistance

� Robustesse et modélisation :� Trouver un critère mesurable : exemple=>nombre de manipulation du rétroviseur

intérieur véhicule � Définir le profile de mission : processus physique + facteurs endommageants� Identifier la loi de propagation de ce processus physique� Estimer la loi d’apparition des défaillances� Rechercher des solutions si objectifs de fiabilité non tenus

Sûreté de Fonctionnement (SdF)qliolyon2.e-monsite.com/medias/files/cours-de-surete-de... · pour...

Documents

Transcript of Sûreté de Fonctionnement (SdF)qliolyon2.e-monsite.com/medias/files/cours-de-surete-de... · pour...