These Amdec

download These Amdec

of 226

Transcript of These Amdec

  • THESE prsente par

    Vincent OZOUF

    Pour obtenir le diplme de

    DOCTEUR DE LUNIVERSITE DE SAVOIE

    (Arrt ministriel du 30 mars 1992)

    Spcialit : gnie Industriel

    CCoonncceevvooiirr eett pprroodduuiirree ssrr ddee ffoonnccttiioonnnneemmeenntt ::

    CCCooommmmmmeeennnttt cccooonnnssseeerrrvvveeerrr uuunnn nnniiivvveeeaaauuu dddeee rrriiisssqqquuueeesss aaacccccceeeppptttaaabbbllleee

    dddaaannnsss uuunnn cccooonnnttteeexxxttteee dddeee cccooonnnccceeeppptttiiiooonnn /// iiinnnddduuussstttrrriiiaaallliiisssaaatttiiiooonnn dddeee

    pppllluuusss eeennn pppllluuusss rrraaapppiiidddeee ddduuunnn ppprrroooddduuuiiittt dddeee pppllluuusss eeennn pppllluuusss

    cccooommmpppllleeexxxeee

    Soutenue publiquement le 7 dcembre 2009 devant un jury compos de

    Zohra CHERFI Rapporteur Professeur luniversit Technologique de Compigne

    Alain BARREAU Rapporteur Professeur lInstitut des Sciences et Techniques de lIngnieur dAngers

    Jean-Pierre NADEAU Prsident Professeur lEcole Nationale Suprieure des Arts et Mtiers de Bordeaux

    Pierre MOREL Membre du jury Directeur Qualit du groupe SOMFY

    Maurice PILLET Directeur de thse Professeur luniversit de Savoie

    Paul SCHIMMERLING Membre du jury Chef de la cellule d'expertise " Statistiques et Optimisation de la Conception" de lingnierie mcanique du groupe RENAULT

    Prpare au sein du laboratoire SYMME

    Systme et Matriau pour la MEcatronique

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Table des matires

    Concevoir et produire sr de fonctionnement Page 2/226

    Sommaire

    Introduction 6

    La matrise de risque en conception 10 1. Introduction 11 2. Lanalyse fonctionnelle 13

    2.1. Phase 1 : Dfinir les limites du systme 14

    2.2. Phase 2 : Validation du besoin du systme 15

    2.3. Phase 3 : Rechercher les diffrentes situations de vie 16

    2.4. Phase 4 : Lister les environnants du systme 17

    2.5. Phase 5 : Rechercher les fonctions du systmes 18

    2.6. Phase 6 : libeller les fonctions 19

    2.7. Phase 7 : Caractriser les fonctions 20

    2.8. Lanalyse fonctionnelle interne ou technique 22

    2.8.1. Dcomposition du systme 23 2.8.2. Identification des flux lintrieur du systme 23

    3. LAnalyse Prliminaire de Risques 25 3.1. LAPR approche fonctionnelle 26

    3.2. LAPR approche agressions 33

    3.2.1. Agression du systme vers lextrieur 34 3.2.2. Agression du milieu extrieur sur le systme 35

    4. LAMDEC Produit 36 4.1. LAMDEC Produit : approche fonctionnelle 37

    4.1.1. Analyse qualitative de lAMDEC Produit approche fonctionnelle 38 4.1.2. Analyse quantitative de lAMDEC Produit approche fonctionnelle 43 4.1.3. Etude comparative des grilles de cotation proposes par les

    constructeurs automobile 45 4.1.4. Nos propositions en termes de grilles de cotation dAMDEC Produit 56 4.1.5. Actions correctives mettre en uvre suite lAMDEC Produit 61 4.1.6. Mise jour des AMDEC Produit 64

    4.2. LAMDEC Produit : approche composant 65

    4.3. Lien entre lapproche fonctionnelle et lapproche composant 68

    4.4. Dfinition des caractristiques spciales du produit 70

    5. Larbre de dfaillance 72 5.1. Arbre de dfaillance, arbre des causes ou arbres dvnements 72

    5.2. Construction de larbre de dfaillance 73

    5.2.1. Dfinition de lvnement redout (sommet de larbre) 74 5.2.2. Les portes logiques 74 5.2.3. Droul de lanalyse 75

    5.3. Evaluation de la robustesse de conception par le niveau de coupe 76

    5.4. Evaluation de la probabilit dapparition de l'vnement redout 77

    5.5. Allocation fiabilit des diffrents composants du systme 78

    6. Conclusion du chapitre 79

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Table des matires

    Concevoir et produire sr de fonctionnement Page 3/226

    La matrise de risque en fabrication 81 1. Introduction 82 2. Cartographie du processus 82

    2.1. Descriptif du diagramme de flux 82

    2.2. Recherche des paramtres par un plan dexpriences 86

    3. AMDEC Processus 89 3.1. Constitution du groupe de travail 90

    3.2. AMDEC Processus : Partie analyse qualitative 91

    3.3. AMDEC Processus : Partie analyse quantitative 98

    3.3.1. Cotation de loccurrence 98 3.3.2. Cotation de la gravit 99 3.3.3. Cotation de la dtection 100 3.3.4. Etude comparative des grilles de cotation proposes par les

    constructeurs automobile 100 3.3.5. Nos propositions en termes de grilles de cotation dAMDEC

    Processus 112 3.3.6. Approche originale de cotation de lAMDEC Processus : la cotation

    ppm 116 3.4. AMDEC Processus : Partie actions correctives 118

    3.5. Mise jour des AMDEC processus 122

    4. Conclusion du chapitre 122

    Vers une matrise de risque efficiente en conception 124 1. Introduction 125 2. Procdure de conception sre et rapide 126 3. Apport au niveau de lanalyse fonctionnelle 127 4. Amlioration de lefficience au niveau de lAPR fonction 127

    4.1. Positionnement de chaque fonction dans notre matrice Importance /

    Matrise 128

    4.2. Dtermination du mode de dfinition du type de validation 130

    5. Notre approche de validation des fonctions de type scuritaire par arbre de dfaillance 134

    5.1. Dtermination du niveau SIL des dfaillances racine 135

    5.2. Construction du plan de validation en fonction du niveau SIL des

    dfaillances racine 138

    6. Notre approche de dtermination des validations fonctionnelles par lAMDEC produit (approche fonctionnelle) 139

    6.1. Problmes relatifs lapproche classique 140

    6.1.1. Problme N1 : Non primeur des approches de conception robuste sur les actions de validation 140

    6.1.2. Problme N2 : Sur-qualit potentielle 141 6.1.3. Problme N3 : Perte de temps dans la ralisation des AMDEC par

    une recherche de causes parfois inutile 141 6.2. Notre approche pour raliser les AMDEC Produit 142

    6.2.1. Recherche des modes de dfaillances potentiels, de leurs effets et coter les critres doccurrence et de gravit 142

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Table des matires

    Concevoir et produire sr de fonctionnement Page 4/226

    6.2.2. Recherche des Actions Correctives pour rduire les occurrences les plus leves 143

    6.2.3. Dfinition du plan de validation 145 7. Dtermination de la relation fonction / caractristique par la matrice dimpact 153

    7.1. Cas o on dispose dune relation Y = f(x1, ,xk) connue 154

    7.1.1. Calcul des contributions dans le cas dun tolrancement statistique 154 7.1.2. Calcul des contributions dans le cas dun tolrancement au pire cas 154

    7.2. Cas o on ne dispose pas dune relation Y = f(x1, ,xk) connue 155

    8. Amlioration de lefficience au niveau de lAPR agression 157 8.1. Positionnement de chaque composant dans notre matrice Importance /

    Matrise 157

    8.2. Dtermination du mode de dfinition du type de validation 159

    9. Notre approche de dtermination des validations composants par lAMDEC produit (approche composant) 162

    9.1. Recherche des dfaillances potentielles, et en coter loccurrence 163

    9.2. Recherche des effets et valuation de la gravit de ces dfaillances grce

    la matrice dimpact 164

    9.2.1. Dtermination la note de gravit des fonctionnalits client 165 9.2.2. Dtermination de la gravit des caractristiques produit 166

    9.3. Recherche des actions correctives mettre en uvre pour rduire les

    occurrences les plus fortes 170

    9.4. Construction du plan de validation ncessaire et suffisant pour viser

    lobjectif de criticit souhait. 171

    10. Conclusion du chapitre 175

    Vers une matrise de risque efficiente en industrialisation 177 1. Introduction 178 2. Avertissement 179 3. Procdure dindustrialisation efficiente 180 4. Cration du processus de fabrication et du diagramme de flux correspondant 180 5. Traitement des dfaillances process pouvant gnrer des dfaillances

    scuritaires 183 5.1. Construction de larbre de dfaillance avec les causes process 183

    5.2. Evaluation en SIL des dfaillances process 185

    5.3. Construction du plan de surveillance en fonction du niveau SIL des

    dfaillances racine 187

    6. Notre approche de dtermination du plan de surveillance par lAMDEC processus 190

    6.1. Problmes relatifs lapproche classique 191

    6.1.1. Problme N1 : Non primeur des actions de matrise sur les actions de contrles 191

    6.1.2. Problme N2 : Sur-contrle potentiel 192 6.1.3. Problme N3 : Perte de temps dans la ralisation des AMDEC 192

    6.2. Notre approche pour raliser les AMDEC Processus 192

    6.2.1. Recherche des anomalies potentielles 193 6.2.2. Rechercher des Actions correctives pour rduire les occurrences les

    plus leves 194

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Table des matires

    Concevoir et produire sr de fonctionnement Page 5/226

    6.2.3. Construction du plan de surveillance au juste ncessaire 195 7. Approche globale de scurisation dune industrialisation par la matrice dimpact

    complte. 199 7.1. Analyse de la gravit associe chaque caractristique du produit 200

    7.2. Analyse de loccurrence relative chaque caractristique du produit 201

    7.2.1. Dtermination du mode de dfaillance process pouvant gnrer une anomalie sur la caractristique 202

    7.2.2. Dtermination dun poids chaque mode de dfaillance process 203 7.2.3. Dtermination de la difficult de ralisation de la caractristique 203 7.2.4. Calcul de loccurrence 204 7.2.5. Rduction des occurrences les plus fortes 205

    7.3. Dfinition du plan de surveillance 206

    7.3.1. Dtermination de la position des contrles 207 7.3.2. Dtermination du mode de dtection 208

    7.4. Evaluation de la satisfaction client 210

    8. Conclusion du chapitre 214

    Conclusion 216

    Bibliographie 221

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Introduction

    Concevoir et produire sr de fonctionnement Page 6/226

    INTRODUCTION

    Matrise de risques et conception rapide : est-ce antinomique ?

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Introduction

    Concevoir et produire sr de fonctionnement Page 7/226

    Matrise de risques et conception rapide : Est-ce antinomique ?

    Dans nos civilisations modernes, autant les populations acceptent de prendre les risques quelles choisissent (dans leurs activits sportives, en jouant la bourse, ...) autant elles ne supportent plus les risques subis tels que les risques de contamination par les aliments (problme de la vache folle), les risques mdicaux (scandale du sang contamin), les risques industriels (Tchernobyl, Bhopal, ..) ou les accidents lis des produits dfectueux (prtendu problme sur le rgulateur de vitesse des Renault VEL SATIS). Cette aversion des populations pour le risque subi se retrouve naturellement dans la loi. Ainsi, lorsque le lgislateur stipule que le producteur est responsable du dommage caus par son produit [Conseil europen, 1985], il transfert une partie du risque, autrefois support uniquement par le consommateur, sur lindustriel producteur du bien. Cette lgislation, rendant de fait le chef dentreprise pnalement responsable, pousse celui-ci limiter au maximum les risques lis lutilisation de son produit. Mais, fort heureusement, tous les produits ne prsentent pas de risques lis la scurit. Certains provoquent uniquement un mcontentement du client lorsquils dfaillent. Et dans une conomie de march comme la notre, un client mcontent dun produit pourrait tre tent de se retourner vers le produit concurrent, alors mme quil peut tre lgrement plus cher. La matrise des risques se retrouve donc ainsi au centre dun double enjeu :

    - Enjeu juridique avec lobligation lgale de mettre sur le march des produits scuritaires.

    - Enjeu commercial pour conserver sa place dans la comptition mondiale actuelle. Ainsi, au fil du XXe sicle, des mthodologies danalyses de risque ont vu le jour, encore actuellement plus ou moins bien dployes dans lindustrie. On peut ainsi citer lAMDEC [STAMATIS, 2003] (Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit) qui, depuis de nombreuses annes, est considre comme la mthodologie la plus efficace pour fiabiliser la conception et lindustrialisation des systmes. A ce titre, bon nombre dindustries (automobile, aronautique, ...) ont rendu obligatoire la ralisation des AMDEC dans leurs processus de dveloppement. Lapproche consiste rechercher de faon exhaustive lensemble des dfaillances potentielles, pour ensuite valuer limportance de chacune dentre elles par une cotation multicritres, afin de prioriser les points sur lesquels le concepteur devra concentrer ses efforts damlioration. Si on considre quun risque est la non ralisation dun besoin client, il est tout dabord primordial de bien connaitre ces besoins. Tel est lobjet de lanalyse fonctionnelle [Bretsche, 2000] qui par une dmarche structure, permet au groupe de travail de bien recenser

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Introduction

    Concevoir et produire sr de fonctionnement Page 8/226

    lensemble des fonctionnalits attendues par le client, fonctionnalits qui seront regroupes et formalises dans un document appel Cahier des Charges Fonctionnel. Cependant, si lAMDEC est trs efficace pour prioriser les risques, ce nest pas loutil idal pour rechercher les causes dune dfaillance avre ou potentielle. Aussi, sont apparus des outils spcifiquement conus pour la recherche de causes. Le plus classique est le diagramme causes-effets aussi appel diagramme dISHIKAWA [Perigord, 1987] qui permet dorganiser le brainstorming dun groupe de travail pour rechercher lensemble des causes dun vnement donn. Si le diagramme dISHIKAWA savre gnralement suffisant en recherche de cause au niveau process, la non prise en compte de la combinatoire entre ces causes peut en limiter lintrt, notamment en phase conception de systmes complexes. Cest pour palier cet inconvnient quest apparu larbre de dfaillance [Limnios, 2005], sorte de diagramme causes-effets prenant en compte la combinatoire des causes qui amnent un vnement redout par une srie de ET, et de OU. Ces outils ont dabord t utiliss seuls, puis les uns aprs les autres (ou plutt les uns cot des autres). Il a fallu attendre la fin des annes 80 pour voir apparaitre des mthodes mettant en musique tous ces outils.

    - Ct matrise de la production, la mthode la plus cite est le six sigma [Harry, 1988] mais on peut galement noter la mthode Shainin [Bothe, 2003].

    - Ct matrise de la conception, les outils danalyse de risque ont t organiss dans une mthode appele Suret de fonctionnement [Villemeur, 1988] ou DFSS pour Design For Six Sigma [Wang, 2005].

    Mais ces dmarches, bases sur lexhaustivit des analyses, sont fatalement chronophages, aussi cette qute de lexhaustivit est souvent incompatible avec les impratifs de cots et de dlais imposs par le march. En effet, la plupart des industriels se retrouvent actuellement dans une situation paradoxale :

    - Le march (voire la lgislation) leur impose un produit de plus en plus sr, quils ne savent assurer autrement quen ralisant des analyses de risque de plus en plus longues (quelquen soit le type).

    - Le mme march leur impose des temps de dveloppement de plus en plus courts, incompatibles avec des analyses de risque pousses.

    Do un certain nombre dimpasses pas toujours judicieuses et un taux de dfaillance rsultant inadmissible pour le client. De plus, depuis quelques annes, se rajoute cette contrainte de dlai, un facteur supplmentaire : la complexification des systmes. En effet, pour rsister la pression toujours plus forte des pays bas cots de main duvre dans la comptition globale actuelle, les entreprises occidentales nont aujourdhui quune seule alternative : INNOVER [Mascitelli, 2005]. Innover pour proposer un produit rpondant aux nouvelles aspirations des clients et ainsi souvrir de nouveaux marchs. Innover pour pouvoir continuer produire localement des produits des cots compatibles avec les nouveaux prix du march. Mais la notion de risque est malheureusement inhrente la notion dinnovation car rares sont les innovations qui marchent naturellement du premier coup.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Introduction

    Concevoir et produire sr de fonctionnement Page 9/226

    Mais alors que faire pour sortir de ce paradoxe ? Comment conserver un niveau de risque acceptable dans un contexte de dveloppement de plus en plus rapide de systmes de plus en plus complexes ? La rponse ne peut videmment pas tre monolithique mais rcemment, la problmatique de la rduction des temps de dveloppement a trouv un catalyseur au travers dapproches appeles Lean Design [Mascitelli, 2004]. De la premire revue bibliographique ralise par Baines [Baines, 2006], plusieurs lments mergent :

    - Le travail collaboratif au travers du concurrent engineering [Ma, 2008]. - Une dmarche structure de conception qui utilise des outils finalement assez

    classiques (gestion de projet type PERT [Azaron, 2006], analyses de risque type AMDEC [Granholm, 2004], etc)

    - Une dmarche de scurisation des dveloppements Mme si ce dernier point renvoie des mthodologies plus classiques dj nonces comme le DFSS, il nous semble quun certain nombre damliorations peuvent tre apportes la ralisation classique des analyses de risque et ce deux niveaux :

    - Le paramtrage du champ et de la profondeur des analyses raliser - La faon de raliser ces analyses afin de les rendre plus rapides, plus efficientes et

    donc plus finanables par lindustriel tout en tant mieux acceptes par les groupes danalyse eux-mmes.

    Notre travail dvelopp dans ce recueil se situe donc deux niveaux :

    - Un travail de synthse, encore jamais prsent notre connaissance, de lensemble cohrent des dmarches et outils concourant la scurisation dune conception ou dune industrialisation. Ainsi le premier chapitre sera constitu dun descriptif approfondi des mthodologies classiques danalyse de risque en conception, le deuxime prsentera les approches classiques en fabrication.

    - Une proposition de nouvelles approches ou damliorations dans la mise en uvre des approches classiques, permettant dadapter le problme de la scurisation dun dveloppement au contexte de rduction des dlais. Ces amliorations fruit de plus de deux dcennies de pratiques industrielles et de recherche defficiences de ces pratiques, seront abordes dans les troisime (vers une matrise de risque efficiente en conception) et quatrime (vers une matrise de risque efficiente en fabrication) chapitres de ce recueil.

    Tout comme les littratures relatives la mthodologie six sigma qui spare les approches en conception par le DFSS (Design for Six Sigma) [Chowdhury, 2003] et les approches en production par le DMAIC (Define Measure Analyze Improve Control) [Eckes, 2006] [Brulebois, 2007], nous avons scind ce recueil en matrise des risques en conception et matrise des risques en fabrication , aussi bien pour le descriptif des approches classiques que pour la partie amlioration des pratiques , les mthodologies danalyses de risque tant distinctes quant leur fonctionnement pour chacune des problmatiques ci-dessus.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 10/226

    LA MAITRISE DE RISQUE EN CONCEPTION

    Ceux la sont de bien plus grand mrite et dexprience qui savent

    prvenir les maladies, que ceux qui les gurissent

    Michel de lHospital

    1505 - 1573

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 11/226

    La matrise de risque en conception

    1. Introduction

    Toutes les entreprises sont soumises un certain nombre de risques (risques humains, techniques, conomiques, ...) ; malheureusement, la plupart des entreprises ne prennent conscience de cette notion de risque que lorsqu'un effet non dsir se produit. Les consquences en sont parfois dramatiques mais heureusement, le plus souvent, elles ne sont que "coteuses". Cependant, combien de chefs d'entreprises disent :"si j'avais pu prvoir ...". Pour palier ces dfaillances, on peut faire des "interventions pompier". Mais ces "interventions pompiers" sont gnralement trs coteuses et relativement peu efficaces. C'est donc au niveau de la prvention qu'il faut intervenir notamment en scurisant les dveloppements. Au cours du XXe Sicle, de nombreux outils et/ou mthodes ont t crs dans le but de rduire les risques techniques inhrents toute mise sur le march dun produit [Lannoy, 2008]. On peut citer ple-mle : les essais de fiabilit, les Analyses Prliminaires de Risques, les Arbres de dfaillances, les check-lists, les AMDEC, etc. Certains de ces outils ou mthodes, telle lanalyse fonctionnelle, visent concevoir bon du premier coup par la formalisation de bonne pratiques de conception, dautres comme lAMDEC, ont pour objet danalyser un premier jet de conception de faon subjective afin de mener des actions correctives pour rduire les risques a priori les plus levs, dautres enfin tels les essais de fiabilit, ont pour objet de sassurer que le systme conu rpondra au besoin client par des tests physiques. De plus, certains de ces outils sont trs rapides mettre en uvre, mais leur porte est cependant gnralement assez rduite, dautres sont beaucoup plus puissants mais ncessitent souvent beaucoup plus de temps de la part des quipes de conception. Le tableau ci-dessous prsente une liste non exhaustive de dmarches et outils que le concepteur pourra rencontrer dans les littratures, classes par type et par temps ncessaire leur mise en uvre.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 12/226

    Scurisation dun dveloppement

    Bonnes pratiques de conception

    Analyse fonctionnelle du besoin

    Quality Function Deployment (QFD)

    Diagramme de Kano

    Tolrancement fonctionnel, Chanes de cotes

    Hirarchisation des caractristiques

    Conception robuste

    Design for manufacturing Design for assembly

    Validation par analyse subjective

    Analyse Prliminaire de Risque

    AMDEC

    Arbre de dfaillance non chiffr

    Revues de projets, de conception

    Validation de la copie conforme

    Check-list

    Revues de conformit au rfrentiel de conception

    Validation par essais

    Plans dexpriences de Taguchi

    Tests en situation

    Tests didentification de fiabilit

    Tests de fiabilit acclrs

    Validation par simulation numrique

    Arbre de dfaillance chiffr

    Figure 1.1 : Mthodes et outils de scurisations dun dveloppement

    Face cette kyrielle doutils et mthodes, nous avons choisi de ne dvelopper dans ce chapitre que les principaux classiquement mis en uvre dans toute dmarche de Suret de fonctionnement, les autres pourront cependant tre cits ou prsents succinctement en fonction de leur intrt ou apport ponctuel. Ainsi, lorsquon dsire rechercher les dfaillances dun produit du sa conception, lapproche classique consiste regarder le plan dudit produit et se poser la question quest-ce qui pourrait ne pas marcher l-dedans ? . Cependant, faire un produit qui fonctionne parfaitement, sans dfaillance et ce pendant longtemps, ne sert absolument rien si ce produit ne rpond pas compltement aux attentes du march. Aussi, les approches de Suret de Fonctionnement commencent par une bonne dfinition des attentes du client. Ces attentes peuvent tre dcrites de faon intuitive mais une mthodologie plus systmatique reste videmment plus approprie. Cette mthodologie, cest lanalyse fonctionnelle [Villemeur, 1988] [PSA, 1997] [AFNOR, 2000] dont la donne de sortie est un cahier des charges fonctionnel [PSA, 1998] en bonne et due forme. LAnalyse des Modes de dfaillance, de leurs Effets et de leur Criticit (AMDEC) a pour objet danalyser les dfaillances du produit en phase conception et donc de vrifier ladquation du produit conu au cahier des charges du client avant sa mise en fabrication. En France, ce type dAMDEC est classiquement appel AMDEC Produit. Mais, les AMDEC, trs performantes en termes danalyse de risque, sont souvent critiques cause du temps pass pour les raliser. Cest pour palier cet inconvnient quune mthodologie, certes moins forte en termes de puissance danalyse, mais moins gourmande en termes de temps, est apparue. Cette mthodologie, utilise pour mettre en vidence les

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 13/226

    principaux risques trs tt dans le cycle de dveloppement, a pris le nom dAnalyse Prliminaire de Risques [Mabrouck, 1997] (APR). Cependant, lAPR comme lAMDEC produit ne sont pas des outils de recherche de causes mais plutt des outils de hirarchisation des risques afin de paramtrer les tudes de SdF mener par la suite (pour lAPR) ou pour dfinir les dfaillances qui mriteraient la mise en uvre dactions correctives (pour lAMDEC Produit). Pour rechercher les causes de manire exhaustive, loutil le plus appropri est l'arbre de dfaillance. Cest un outil qui permet d'analyser la combinatoire des causes qui amnent un vnement redout client par une srie de ET, et de OU. Aussi, cest un outil indispensable dans la matrise des dfaillances fortement impactantes pour le client comme par exemple les dfaillances scuritaires. Ainsi, lanalyse fonctionnelle constituant le point de dpart de lanalyse de risque en conception, elle fera lobjet du premier paragraphe de ce chapitre. Le deuxime paragraphe dcrira lAnalyse Prliminaire de Risques (APR), le troisime sera ddi lAMDEC Produit et le quatrime larbre de dfaillance.

    2. Lanalyse fonctionnelle

    La norme de vocabulaire ISO 9000 [ISO, 2005] stipule que la qualit est : laptitude dun ensemble des caractristiques intrinsques satisfaire des exigences . Evidemment, pour faire de la qualit et satisfaire les exigences de ses clients, il faut dj les connatre ! Comme le prcise le groupe PSA dans sa procdure interne [PSA, 1997], lanalyse fonctionnelle est un outil qui dcrit de faon exhaustive les fonctions raliser pour satisfaire les besoins rels de lutilisateur . Son principe est de considrer lobjet de ltude comme une bote noire, et de le placer dans son environnement dutilisation pour dcrire ce quil doit faire, faisant abstraction des solutions. Si lanalyse fonctionnelle doit conduire aux bons choix, elle ne les dcrit pas ! Plusieurs approches et formalismes sont dcrits dans la littrature. Citons notamment lapproche anglo-saxonne SADT (Structured Analysis of Design Technique) propose par Doug ROSS au dbut des annes 80 [Ross, 1985] et sa drive SA-RT (Structured Analysis and Real Time) plus spcialement ddie aux systmes temps rels ; cependant, nous retiendrons de la norme danalyse de la valeur NF EN 12973 [AFNOR, 2000] lapproche dveloppe par le cabinet APTE [Bretesch, 2000] (le nom de ce cabinet veut dire : APplication aux Techniques dEntreprise). Cette approche se droule en 6 phases :

    - Phase 1 : Dfinir les limites du systme. - Phase 2 : Valider le besoin du systme. - Phase 3 : Rechercher les situations de vie - Phase 4 : Par situation de vie, lister les environnants au systme. - Phase 5 : Rechercher les relations entre le systme et ses environnants : les fonctions - Phase 6 : Libeller ces fonctions

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 14/226

    - Phase 7 : Caractriser ces fonctions : le cahier des charges fonctionnel Pour une meilleure comprhension de la mthode, nous illustrerons la dmarche au travers un exemple : le rasoir jetable.

    2.1. Phase 1 : Dfinir les limites du systme

    Plaons-nous dans une approche dingnierie systme. Pour cette approche, le produit doit tre dcoup en strates (systme, sous-systme, sous-sous systme, etc...). Le principe de cette approche est le suivant : La conception dun niveau consiste spcifier les niveaux infrieurs pour rpondre aux spcifications des niveaux suprieurs . Ce principe peut tre reprsent par le clbre cycle en V, la partie gauche du V correspondant aux phases de spcifications, la partie droite aux phases de validation comme le montre le dessin ci-aprs :

    Conceptionsystme n

    Conceptionsystme n-1

    Validationsystme n-1

    ValidationSystme n

    Spcification fonctionnelledu systme n

    Besoin client oudu systme n+1

    Spcification fonctionnelledu systme n-1

    Figure 1.2 : Analyses fonctionnelles et cycle en V

    Ainsi, plaons-nous comme tant un fabricant de rasoirs jetables, notre client nous demande de dvelopper un nouveau rasoir pour lintgrer dans son kit de rasage . La dcomposition hirarchique de ce kit pourrait tre reprsente de la faon suivante :

    Kit de rasage

    RasoirMousse MiroirAfter - shave BlaireauNiveau n

    Niveau n+1

    Figure 1.3 : Dcoupage PBS du rasoir

    En gestion de projet, ce type de dcomposition est appel dcoupage PBS pour Product Breakdown Structure et sert de base la construction de lorganigramme des taches WBS (pour Work Breakdown Structure ) [Zachman, 1987], lment constitutif du mode de dtermination de la dure dun projet par un rseau PERT [Castro, 2008].

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 15/226

    Dans notre approche, nous reprenons ce type de reprsentation pour montrer ce quest notre systme (le rasoir) et ce qui nen fait pas partie (la mousse, le blaireau, etc...). Cette reprsentation montre bien que cest le niveau N+1 qui spcifie les limites du systme N. Cest notamment au niveau des interfaces que cette dfinition des limites est importante. Ainsi, dans le cadre dun accouplement mcanique par exemple, cest le niveau N+1 qui dfinira quel systme comportera la partie femelle, et quel autre comportera la partie mle. Cette dfinition des limites sera bien videmment reprise dans le cahier des charges fonctionnel mis par le niveau N+1.

    2.2. Phase 2 : Validation du besoin du systme

    Avant de se lancer dans la conception dun nouveau systme, il est vident quil est intressant de se poser la question de son utilit et de la prennit de celle-ci. Comme le prcise Subir CHOWDHURY dans son livre intitul Design For Six Sigma [Chowdhury, 2003], Cest dessin que le cabinet APTE a dvelopp un petit outil pour valider le besoin du systme. Cet outil a t appel bte cornes en liaison avec son mode de reprsentation :

    A qui a sert ?

    Systme

    - Pourquoi ?

    Sur quoi a agit ?

    But ?

    Disparition ?

    - Pour faire quoi ?

    Figure1.4 : Bte cornes

    En haut gauche, on rpond la question : A qui a sert ? Il sagit l de dfinir le client premier du systme. Evidemment, sil ny a pas de client, cest que le systme ne servira rien. Dans le cas de notre rasoir, la rponse pourrait tre : au kit de rasage qui est notre premier client, c'est--dire notre niveau n+1 dans le dcoupage hirarchique de notre produit. La rponse pourrait galement tre : A lhomme adulte . Ici, on est remont tout en haut de la chane des clients. Cest le groupe de travail qui dfinira quel est le niveau dabstraction idal pour la rponse. En haut droite du dessin, on rpond la question : Sur quoi a agit ? Lobjet est ici de dfinir quel environnant principal sera modifi par notre systme. Si notre systme ne doit modifier aucun environnant, encore une fois cest quil ne servira rien. Dans lexemple de notre rasoir, la rponse pourrait tre : Les poils . Au centre du dessin, on se pose la question de lobjet du systme. En rpondant au double pourquoi (pour quoi et pourquoi).

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 16/226

    La question Pour faire quoi ? doit prciser lobjet du systme, que doit-il faire prcisment. Encore une fois, sil ne fait rien, cest quil ne sert rien. Pour notre rasoir, la rponse serait : Couper les poils . Mais il faut galement se poser la question du pourquoi en un seul mot. Cest cette question qui va nous amener rflchir sur le but premier du systme. Pour un rasoir, la rponse pourrait tre : pour tre plus beau ou parce que les poils poussent . La dernire question concerne la disparition du systme. Cette question sert tudier la prennit du systme. Quatre points peuvent entraner la disparition de notre systme :

    - Le premier concerne le client. Ainsi, si on perd notre client kit de rasage , notre rasoir spcifique naura plus lieu dtre.

    - Le deuxime concerne lenvironnant dcrit en haut droite de la bte cornes. Si cet environnant disparat, encore une fois, le produit perd sa raison dtre (plus de poils, plus de rasoirs !)

    - Le troisime concerne la question pour quoi . En effet, si on arrive faire la mme chose dune autre manire et pour moins cher, notre produit risque dtre considr obsolte et ne se vendra plus. A terme, il disparatra. Imaginons par exemple un systme dpilation simple, pas cher, rapide et sans douleur ; nul doute que le bon vieux rasoir mcanique risque dtre renvoy au muse.

    - Le quatrime et dernier point est relatif la question pourquoi . En effet, si on perd lobjet premier du systme, encore une fois, terme, cest le systme lui-mme qui perd sa raison dtre. Ainsi, si les critres desthtique voluent de telle sorte que le port de la barbe devienne la rfrence, les fabricants de rasoirs risquent de voir leur chiffre daffaire seffondrer.

    Ainsi, si les points disparitions semblent porter une probabilit faible, lentreprise est conforte dans sa dcision de se lancer dans le dveloppement du nouveau produit. Dans le cas contraire, le projet sera stopp ou rorient. Pour notre exemple, nous pouvons considrer que le besoin en rasoir est prenne, ltude vaut donc a priori le coup dtre poursuivie....

    2.3. Phase 3 : Rechercher les diffrentes situations de vie

    Les situations de vie reprsentent les diffrentes phases dans lesquelles se trouvera le produit tout au long de son existence, chacune dentre elles pouvant influer sur son design.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 17/226

    Le schma des phases de vie de notre rasoir pourrait tre le suivant :

    Utilisation

    limination

    Situation de viedu produit

    Fabrication

    Exceptionnel

    Salle de bains

    Trousse de toilette

    Rasage

    Stockage

    Normal

    Logistique rasoir

    Intgration dans kit

    Figure 1.5 : Situations de vie du rasoir

    Plus le groupe descendra bas dans les sous-situations de vie, plus lanalyse sera fine et prcise ; cependant plus elle sera longue et fastidieuse. Mais il nexiste pas de mthodologie pour dfinir a priori le bon niveau dtude. Ce sera donc au groupe de travail de dfinir, en fonction de son exprience et de son ressenti, le niveau qui lui semble le plus adapt pour son tude. Si lanalyse fonctionnelle est mene dans le seul but davoir une donne dentre pour raliser une analyse de risque style AMDEC, le groupe choisira la ou les situations de vie a priori les plus risque et ne poursuivra lanalyse que sur lesdites situations. Mais si lanalyse fonctionnelle est faite dans son but premier quest la recherche des besoins du client en vue de rdiger un cahier des charges fonctionnel, toutes les situations en bout de branches devront tre tudies telles que ci-aprs pour constituer un cahier des charges le plus exhaustif possible.

    2.4. Phase 4 : Lister les environnants du systme

    Cette phase consiste rechercher les lments physiques qui sont en relations avec le systme dans la situation de vie tudie. Ces lments peuvent tre les autres composants du systme de niveau n+1 (la mousse raser), lambiance dans laquelle se trouve notre systme (lair ambiant), lutilisateur du systme (lhomme) ou lenvironnant qui doit tre modifi (les poils). Un environnant doit tre un lment physique, on doit pouvoir le toucher mais ne pas oublier les environnants comme les nergies, lambiance (temprature, poussires, etc),

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 18/226

    Ainsi, dans notre exemple, les environnants pourraient tre les suivants :

    Peau

    Main

    Eau

    Mousse raser

    Poils

    Oeil

    Figure 1.6 : Environnants du rasoir dans la situation de vie rasage

    Attention lors de cette phase ne pas faire lerreur classique qui consiste mettre des fonctions (ne pas rouiller) ou des critres de performance (qualit perue) comme environnant.

    2.5. Phase 5 : Rechercher les fonctions du systmes

    Les fonctions constituent les relations entre le systme et ses environnants, elles sont gnralement classes en deux catgories : les fonctions de service et les contraintes. Les fonctions de service, aussi appeles selon les littratures fonctions principales ou fonctions dusage, reprsentent lobjet du systme. Le terme principal est une rminiscence de certaines approches qui hirarchisaient les fonctions de service en fonctions principales qui rpondent au besoin premier du systme (par exemple laction de couper) et fonctions secondaires moins primordiales pour le client (comme laction dhydrater). Cependant, cette hirarchisation tant subjective, nous nous limiterons dans notre approche au terme de fonction de service retenu dans la norme NF EN 12973 [AFNOR, 2000], qui regroupe les deux notions. Cest pour ces fonctions de service que le client est prt dbourser de largent. Elles relient deux environnants au travers du systme. Ainsi, le systme permet lenvironnant 1 (la main) de modifier lenvironnant 2 (les poils). Les fonctions contraintes, quant elles ne relient quun environnant au systme. Gnralement, elles reprsentent les contraintes auxquelles le systme doit rsister. Elles ne constituent pas lobjet du systme aussi ce nest pas pour elles que le client va acheter le systme, cependant, elles peuvent participer de faon non ngligeable son cot. Aussi, le meilleur produit serait celui qui naurait que des fonctions principales et pas de contraintes. Ce produit ne pouvant tre quimmatriel, nexiste malheureusement pas.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 19/226

    Fonctions de services et fonctions de contraintes sont reprsentes dans un schma appel pieuvre comme le montre lexemple suivant :

    "RASOIR"

    Poils

    PeauMousse raser

    OeilEau

    FC1

    FC4

    FC5 FC3

    FC2

    FS1

    FS2

    Main

    Figure 1.7 : Pieuvre du rasoir en situation de vie rasage

    2.6. Phase 6 : libeller les fonctions

    Comme toute phrase, le libell des fonctions est constitu de la construction classique : sujet, verbe, complments.

    - Le sujet, cest le systme. Cest celui qui se trouve dans la bulle centrale de la pieuvre. Comme le sujet va de soit, il nest gnralement pas crit ; cependant, pour les dbutants en analyse fonctionnelle, nous conseillons de lcrire afin dviter quil ne glisse sur un autre des environnants.

    - Le verbe transcrit la donne de sortie de la fonction, ce que le produit doit faire. Aussi, les verbes seront des verbes daction. Comme le sujet nest gnralement pas crit, le verbe se retrouvera linfinitif.

    - Les complments reprennent les lments des bulles environnants. Ainsi, pour une fonction contrainte qui ne relie quun seul environnant au systme, il ny aura quun seul complment dans la phrase ; alors que pour une fonction de service, la phrase contiendra deux complments correspondant aux deux environnants.

    Ainsi la fonction de service n1 pourra tre libelle de la faon suivante : Couper les poils avec la main . Cependant, pour une meilleure comprhension de la phrase, le verbe permettre pourra tre rajout, libellant la fonction de la fonction suivante : Permettre la main de couper les poils . En utilisant la mme approche pour lensemble des fonctions de notre rasoir, chacune des fonctions pourra tre libelle de la faon telle qucrit ci-aprs :

    FP1 : (le rasoir) permet la main de couper les poils

    FP2 : (le rasoir) permet la main dhydrater la peau

    FC1 : (le rasoir) doit tre prhensible par la main

    FC2 : (le rasoir) doit prserver la peau

    FC3 : (le rasoir) doit rsister l'eau

    FC4 : (le rasoir) doit rsister la crme

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 20/226

    FC5 : (le rasoir) doit plaire l'il

    Pour une meilleure comprhension du lecteur, nous avons mis les parties verbales en rouge et les complments en bleu ou vert pour rappeler les couleurs utilises dans la pieuvre pour chaque environnant. Cette approche par couleur est trs pratique pour conserver un certain lien entre toutes les tapes de lanalyse fonctionnelle.

    2.7. Phase 7 : Caractriser les fonctions

    Cette phase consiste dfinir des critres de performance pour chacune des fonctions dfinies ci-dessus, den dfinir les niveaux attendus ainsi quune flexibilit (niveau de ngociation possible). En ce sens elle constitue la meilleure faon dcrire le cahier des charges. Les critres de performance correspondant la partie verbale qualifient les donnes de sortie de la fonction, ce quon attend du systme. A contrario, les critres de performance associs aux parties nominales servent qualifier lenvironnant correspondant, ils dcrivent donc les donnes dentre de la fonction. Ainsi, dans le cadre dune dmarche de validation, lexprimentateur se placera dans les conditions dcrites par les critres associs aux parties nominales, il ira valuer les critres correspondant aux parties verbales et prononcera la qualification du produit si les niveaux desdits critres sont atteints. Attention ne pas dfinir trop de critres nouveaux lorsquon est dans le cadre dune volution de produit. En effet, si lvolution est trop forte, le produit risque dtre trop long et trop cher dvelopper. A linverse, si les volutions sont trop faibles, le client risque de ne pas tre capable de voir la diffrence avec le produit de gnration prcdente et ne sera donc pas tent dacheter le nouveau systme [Gautam, 2008]. Tout est donc affaire de dosage entre fonctionnalits nouvelles et cot de dveloppement. Pour mesurer le niveau dvolution du produit, on peut retenir lindicateur dvolution propos par Javier FREIRE and Luis F. ALARCO [Freire, 2002] :

    prcdente_rationu_CdC_gncritres_dNombre_de_dentetion_prcCdC_gnra / odifiscritres_mNombre_de_

    olutionCritre_v =

    - Si ce critre est infrieur 10%, on pourra considrer que lvolution est faible et que le nouveau systme conu ne sera quun restyling du systme de gnration prcdente.

    - Si le critre est compris entre 10 et 30%, on pourra considrer que le nouveau systme est une volution du systme de gnration prcdente.

    - Si ce critre est suprieur 30%, le nouveau systme devra alors tre considr comme une innovation majeure. Dans ce dernier cas, une tude de march est vivement conseille avant de dcider du lancement du processus de dveloppement.

    A chaque critre de performance est associ un niveau. Ce niveau doit tre tolranc pour permettre au concepteur dvaluer sa capabilit [AFNOR, 1995]. Pour viter les contestations lies de possibles diffrences dinterprtation des niveaux, il convient dviter au maximum les critres subjectifs. Dterminer un niveau pertinent nest pas toujours chose aise. En effet, gnralement, plus le niveau est lev, plus le cot de la fonction sera lev mais plus fort devrait tre le niveau

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 21/226

    de satisfaction du client et lattractivit du produit. Dfinir le niveau est donc un savant quilibre entre cot et positionnement du produit sur le march. Le diagramme de Kano [Kano, 1984] qui positionne le produit en termes de performance technique et de valorisation client est un outil marketing qui peut aider le groupe dfinir un niveau idoine.

    Excellente performance technique

    Pitre performance technique

    Forte valorisation Client

    Faible valorisation Client

    Zone de qualit basique

    Zone de qualit

    passion

    Systmeprcdent

    MeilleureconcurrencePositionner son

    nouveau systme

    Figure 1.8 : Diagramme de Kano

    A chaque critre est galement associ un niveau de ngociation possible entre le spcificateur et le concepteur. Ce niveau de ngociation est aussi appel flexibilit . Quatre niveaux de flexibilit sont retenus dans la norme NFX 50-151 [AFNOR, 2007] :

    F0 : Flexibilit nulle : Niveau impratif.

    F1 : Flexibilit faible : Niveau peu ngociable.

    F2 : Flexibilit bonne : Niveau ngociable.

    F3 : Flexibilit forte : Niveau trs ngociable. Bien que fort peu utilise (le spcificateur ayant souvent trop peur que le concepteur profite dun niveau de ngociation possible pour proposer un produit moins performant quattendu), la flexibilit est une notion trs intressante dans le cadre dune dmarche danalyse de la valeur [AFNOR, 2007]. Cest elle qui permet dorganiser le dialogue dans la recherche dune vritable optimisation. Labsence de cette flexibilit peut conduire le rdacteur du Cahier des Charges fonctionnel spcifier des niveaux survalus, ce qui irait lencontre de loptimisation recherche. Pour aider le spcificateur dfinir les niveaux de flexibilit, nous proposons lchelle suivante, notamment valable dans le cadre de la conception dun systme complexe :

    - F3 : Flexibilit forte : La modification du niveau correspondant au critre de performance na pas dinteractions avec les autres systmes de mme niveau dans le dcoupage hirarchique du produit (PBS) => dcision par le chef de projet du systme concern seul.

    - F2 : Flexibilit bonne : La modification du niveau associ au critre impacte les autres systmes de mme niveau dans le PBS => le chef de projet du systme concern doit ngocier la modification avec ses homologues des autres systmes de mme niveau, la dcision finale tant prise par le chef de projet du systme de niveau N+1.

    - F1 : Flexibilit faible : La modification du niveau du critre impacte la performance globale du programme => Dcision par le chef de programme.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 22/226

    - F0 : Flexibilit nulle : Impact rglementaire ou scuritaire => Pas de ngociation possible sur le niveau dudit critre de performance.

    Un extrait du cahier des charges relatif notre rasoir pourrait tre le suivant :

    Cahier des Charges FonctionnelProduit : Rasoir Pilote : Nicolas S. Animateur : Franois F..Rfrence : BIC-JET Date : 14/07/2008 Indice : A

    SV Fonction Groupe de mots Critres Niveaux FlexibilitRasage Fp1 Couper Temps de coupe 5 min 2 min F1

    Effort de coupe 20N maxi F2Durabilit 1 an mini F3

    Coupures intempestives < 10-9 coupure / rasage F0MTTF (Fiabilit) 10 rasages 2 F1

    Main % gaucher 20% 3%Acidit Ph = 6,2 0,1

    Poil Longueur 3mm maxiFp2 Hydrater Confort de rasage > 90% hommes F1

    Fiabilit 10 rasages 2 F2Taux d'hygromtrie

    surfacique de la peau 85% 3% F2

    Main % gaucher 20% 3%Acidit Ph = 6,2 0,1

    Peau Surface Visage homme adulteAcidit Ph = 6,2 0,1

    Fc1 .... ..... .... ....

    Tableau 4.27 : Cahier des charges fonctionnel du rasoir

    La mthodologie dcrite ci-dessus est classiquement appele Analyse fonctionnelle externe ou analyse fonctionnelle du besoin. Cette analyse, effectue avant la conception car thoriquement mene par le spcificateur, est gnralement complte dune autre analyse fonctionnelle appele Analyse fonctionnelle interne ou analyse fonctionnelle technique ; cette seconde analyse tant effectue aprs design.

    2.8. Lanalyse fonctionnelle interne ou technique

    Si lanalyse fonctionnelle externe prsente le systme tudi comme une bote noire , lanalyse fonctionnelle interne le montre comme une bote blanche ou plus exactement comme une bote transparente car lanalyse fonctionnelle interne nous fait pntrer lintrieur de ladite boite. Lobjet de cette analyse est de dcrire comment les composants du systme participent la ralisation des fonctions. Evidemment, ce stade, il faut avoir dfini le nombre de composants et le mode de fonctionnement du systme. Cette analyse seffectue donc aprs conception, ou tout au moins, aprs une premire esquisse de larchitecture du systme. Outre les tapes de constitution du groupe de travail et de dfinition de la finalit de lanalyse, lanalyse fonctionnelle interne comporte deux tapes techniques principales :

    La dcomposition du systme.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 23/226

    Lidentification des flux lintrieur du systme.

    2.8.1. Dcomposition du systme

    Lobjet de cette dcomposition est de dfinir les lments constitutifs (systmes de niveau n-1) qui composent le systme. Ces lments peuvent tre, suivant le niveau de dtail que lon veut atteindre, fonctionnels, organiques, voire un mlange des deux. Le groupe PSA dans son manuel de rfrence traitant de lanalyse fonctionnelle Interne [PSA, 2005] prconise dviter davoir un trop grand nombre dlments manipuler (10 tant dj beaucoup) et quil vaut mieux alors procder par dcompositions successives, chaque lment de la dcomposition tant son tour dcompos en ses constituants, et ainsi de suite jusquau niveau de dtail souhait . Dans le cadre de lingnierie systme, on considre les systmes de niveau n-1 comme tant les systmes que lon dessine en interne ou qui font lobjet dun cahier des charges destination dune autre entit (entit pouvant appartenir la socit ou tre extrieure). En terme de reprsentation, nous prconisons de reprendre le dcoupage PBS utilis pour la premire tape de lanalyse fonctionnelle externe, complt des composants de niveau n-1 comme le montre le dessin ci-aprs :

    Manche CapuchonLame 1Lubrifiant Lame 3 Contre-lames TteLame 2

    : Niveau trop bas

    Tocophrol Aloe BHTPolysorbatePEG-115M

    Kit de rasage

    RasoirMousse MiroirAfter - shave BlaireauNiveau n

    Niveau n+1

    Niveau n-1

    Niveau n-2

    Figure 1.9 : Dcoupage PBS du rasoir

    2.8.2. Identification des flux lintrieur du systme

    Lobjet de cette tape est de dfinir comment chaque fonction dfinie lors de lanalyse fonctionnelle externe, est ralise par les diffrents composants . En intgrant les composants dans la bulle centrale de la pieuvre, on reprsente le chemin suivi par chacune des fonctions. Ce chemin reprsente les flux lintrieur du systme, flux qui, daprs les rgles usuelles de la systmique, sont de trois types :

    Matire : transport de matire

    nergie : transport dnergie

    Information : transport dinformation (ce dernier type ncessitant en outre lexistence dun flux dun des types prcdents).

    Les fonctions sont alors matrialiss dans le dessin par des traits reprsentants les contacts entre les lments eux-mmes, et entre les lments et les diffrents environnants ; un

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 24/226

    contact pouvant tre rel (matrialis, physique) ou virtuel (contact visuel, lectromagntique,). Un tel schma est alors classiquement appel bloc diagramme fonctionnel . Dans le cas de systmes trs complexes, il est conseill pour ne pas surcharger les dessins, de reprsenter les fonctions une par une sur des schmas indpendants pourvu que lensemble soit complet (un schma pour la premire fonction de service, un pour la seconde, un pour les fonctions contraintes, etc...). Sur le schma ci-aprs, et pour des raisons de lisibilit, nous avons reprsent les fonctions contraintes par des renvois associs des symboles gomtriques. De plus, nous avons gris les composants reconduits du produit de gnration prcdente, afin daider le groupe de travail reprer les composants innovants lors des analyses de risque.

    Main Poil

    PeauCrme raser

    Vue

    Eau

    FC4

    FC5

    FC3

    FC2

    FP1

    Lame 1Manche

    TteLame 3

    Contre-lame

    Capuchon Lubrifiant

    Lame 2

    Situation de vie : Utilisation

    : Composant et fonction reconduite

    FP2

    Figure 1.10 : Bloc diagramme du rasoir en situation de vie rasage

    Sur un tel schma, on peut reprer des lments (comme le capuchon dans notre exemple) qui ne sont relis rien dautre dans la situation considre. Cela ne signifie pas encore quils sont inutiles. Il se peut en effet quils ne rendent service que dans une autre situation de vie non encore analyse. Par contre, un lment qui ne participe aucune fonction, et ce dans toutes les situations de vie, est un lment qui ne sert rien. Cependant, mme si il ne sert rien, il a tout de mme un cot qui impactera inutilement le cot global du produit. Mme si ce recueil est focalis sur les analyses de dfaillances, on voit ici que loutil analyse fonctionnelle est un outil incontournable pour lanalyse de la valeur. Une reprsentation telle que le bloc diagramme fonctionnel peut tre dlicate raliser, notamment pour les systmes complexes o les flches reprsentant les fonctions lintrieur du systme risquent dtre trop nombreuses. Aussi, la participation des composants la ralisation des fonctions peut tre rsume dans un tableau appel Tableau dAnalyse Fonctionnelle (TAF).

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 25/226

    Dans le cas de notre rasoir, le TAF correspondant pourrait tre le suivant :

    FonctionComposant Fp1 Fp2 Fc1 Fc2 Fc3 Fc4 Fc5

    Manche X X X X X

    Tte X X X X X X

    Contre-lames X X X X X X

    Lame 1 X X X X

    Lame 2 X X X X

    Lame 3 X X X X

    Capuchon X

    Lubrifiant X X X X

    Tableau 1.1 : Tableau danalyse fonctionnelle du rasoir

    Ainsi, on pourra utiliser, selon ses prfrences : - soit le bloc diagramme fonctionnel, plus intuitif et plus imag mais plus compliqu

    dessiner avec un ordinateur. - soit le tableau danalyse fonctionnel, plus facile raliser avec un tableur type EXCEL

    qui est peut tre une reprsentation plus sure pour de ne rien oublier. En effet :

    toute fonction doit tre affecte un composant au moins.

    tout composant doit participer au moins une fonction. Ainsi, cette dernire reprsentation est un des outils essentiels pour loptimisation de la conception. Par exemple en analyse de la valeur, la contribution de chaque composant sera affecte en termes de cot. Il est galement possible dvaluer cette contribution en tout autre grandeur dintrt pour ltude en cours comme par exemple la masse, ou la probabilit intrinsque de dfaillance utilise en AMDEC Produit dans son approche composant .

    3. LAnalyse Prliminaire de Risques

    Comme le prcise Habib HADJ-MABROUK [Mabrouck, 1997], lAnalyse Prliminaire de Risques (APR) a pour but :

    - Didentifier les accidents potentiels susceptibles daffecter le systme. - De mettre en vidence les causes envisageables des accidents potentiels. - Dvaluer la probabilit doccurrence des accidents potentiels et la gravit des

    dommages quils pourraient causer. - De dterminer les mesures qui permettront de rduire la probabilit des accidents

    potentiels ou la gravit des dommages quils pourraient causer. . LAPR se prsente classiquement sous la forme dun tableau colonnes facilement ralisable avec un tableur type EXCEL. C. LIEVENS [Lievens, 1976] dans son recueil intitul Scurit des systmes propose le formalisme suivant :

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 26/226

    1 2 3 4 5 6 7 8 9 10 11Sous-

    systme ou

    fonction

    Phase Elments dange-reux

    Evne-ment

    causant une

    situation dange-reuse

    Situation dange-reuse

    Evne-ment

    causant un

    accident potentiel

    Accident potentiel

    Cons-quences

    Classifi-cation

    par gravit

    Mesure prven-

    tives

    Applica-tion de

    ces

    mesures

    Tableau 1.2 : Formalisme APR propos par C. LIEVENS

    Cependant, la ressemblance entre les notions dlments dangereux, de situation dangereuse, daccident potentiel et de consquence fait quun tableau de ce type nous semble difficile utiliser correctement par les quipes de conception. Dans son recueil, LIEVENS lui-mme en convient en crivant page 127 : Il ne faut pas chercher de dfinitions claires permettant de distinguer sans ambigut laquelle des colonnes 3, 4, 5, 6, 7 convient pour placer un vnement particulier . Du formalisme propos par C. LIEVENS, nous prfrons un formalisme plus simple inspir de la procdure du groupe PSA [PSA, 1999]. Cette procdure propose deux approches complmentaires pour la ralisation des ARP :

    - une approche fonctionnelle : analyse des consquences des dfaillances des fonctions du systme,

    - une approche agression :

    Analyse des consquences des agressions du systme vers lextrieur (lments potentiellement dangereux),

    Analyse des consquences des agressions du milieu extrieur vers le systme (lments sensibles).

    3.1. LAPR approche fonctionnelle

    Lapproche fonctionnelle a pour objet dtudier les consquences de chaque mode de dfaillance des fonctions dcrites dans lanalyse fonctionnelle, elle est donc effectue pour chaque fonction du systme dans chaque situation de vie. Par mode de dfaillance on entend :

    - Labsence de fonction a la sollicitation (a ne marche pas). - La perte de fonction en fonctionnement (a ne marche plus). - Le fonctionnement dgrad (a marche mal) - Le fonctionnement intempestif (a marche alors quon a rien demand). - Le fonctionnement intermittent (a sarrte et a repart tout seul).

    Limpact de chacun des modes de dfaillance sera dcrit au travers le tableau suivant :

    Page :Date :

    Fonction Mode de dfaillance de la fonction

    Evnement initiateur Consquence systme et description du scnario

    Evnement Redout G F Actions de matrise des risques

    G F'

    1 2 3 4 5 6 7 8 9 10

    Systme :

    Situation de vie : Pilote :

    Tableau 1.3 : Formalisme APR fonction propos par PSA

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 27/226

    Dans la colonne 1 seront reprises toutes les fonctions dcrites dans lanalyse fonctionnelle. Mme si lanalyse de lensemble des fonctions, fonctions de services comme fonctions contraintes, peut paraitre trop long, nous suggrons de ne pas liminer de fonctions a priori cette tape, notamment les fonctions contrainte. En effet, la perte de certaines fonctions contrainte peut entrainer de graves dysfonctionnements dans la vie future du systme. Ainsi, cest par lAPR que le concepteur pourra objectiver le fait de ne pas retenir telle ou telle fonction dans ses analyses futures telles que les AMDEC. Dans la colonne 2 seront nots les modes de dfaillances des fonctions demandes au systme. Pour tendre vers lexhaustivit de lanalyse, lanimateur doit faire attention a bien prendre en compte lensemble des modes de dfaillance tels que not plus haut (absence, arrt, dgrad, intempestif et intermittent). Mais, certains modes de dfaillances peuvent paraitre impossibles (le rasoir ne coupe pas) ou compltement farfelus (le rasoir coupe en bandes correspondant un fonctionnement intermittent). Il va de soi que ces modes de dfaillances ne seront pas analyss. Cependant, pour montrer au client (ou aux personnes qui seraient susceptibles de reprendre lanalyse par la suite) que lanalyse a t mene de faon mthodique, nous conseillons de noter lensemble des modes de dfaillance du systme et de mettre la mention sans objet sur les lignes correspondant aux modes de dfaillances impossible. Le tableau ci-aprs montre les modes de dfaillance inhrents notre rasoir jetable :

    Page : 1Date : 15/08/08

    Fonction Mode de dfaillance de la fonction

    Evnement initiateur Consquence systme et description du scnario

    Evnement Redout G F Actions de matrise des risques

    G F'

    1 2 3 4 5 6 7 8 9 10Ne rase plus (arrt fonction)Rase mal (fonction dgrade)Coupe sans qu'on le demande

    (fonction intempestive)Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)

    N'hydrate pas (Absence de fonction la sollicitation)

    N'hydrate plus (arrt fonction)Hydrate mal (fonction

    Hydrate sans qu'on le demande (fonction intempestive)

    Hydrate de temps en temps (fonction intermittente)

    N'est plus prhensible par la main (arrt de fonction)

    Est mal prhensible par la main (fonction dgrade)

    N'est pas prhensible par la main (abscence de fonction)

    Est prhensible par la main sans qu'on lui demande (fonction

    intempestiveEst prhensible de temps en

    temps (fonction intermittente)

    Systme : Rasoir Bic-Jet

    Situation de vie : Rasage Pilote : Nicolas S.

    FP1 : permet la main de couper les poils Sans objet

    Sans objet

    FC1 : Doit tre prhensible par la main

    Sans objet

    Sans objet

    Sans objet

    Sans objet

    Sans objet

    FP2 : Permet la main d'hydrater la peau

    Tableau 1.4 : Modes de dfaillance du rasoir

    La colonne 3 dcrit le ou les vnements initiateurs qui pourraient entrainer le mode de dfaillance. Lvnement initiateur se situe au niveau N-1 par rapport systme dans le dcoupage hirarchique du produit (PBS). Aussi, lvnement initiateur correspond la dfaillance dun des composants ou la dsolidarisation dune des liaisons inter-composants du systme, gnres soit par une mauvaise fabrication ou montage dudit composant, soit par une dfaillance intrinsque de ce composant ou liaison par sous-dimensionnement ou par sur-sollicitation (par rapport au niveau dfini dans le cahier des charges).

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 28/226

    Dans la colonne 4, on recherche limpact de lvnement initiateur, tout dabord sur le systme, puis sur lensemble des systmes N+1, N+2, , N+k (niveau correspondant au systme dtenu par le client utilisateur dans la situation de vie tudie). Cest ce que PSA appelle la description du scnario . Attention, lanalyse prliminaire de risque se doit dtre une tude rapide ayant pour but de reprer les macro-risques majeurs inhrents au systme. Aussi, il nest pas ncessaire de fouiller la description de ces colonnes 3 et 4, lanalyse serait alors trop proche dune AMDEC ; mais de forcer le groupe rflchir en terme de robustesse du systme pour objectiver la note de frquence renseigne dans la colonne 7. La colonne 5 dcrit lvnement redout par le client. Par client, on entend lutilisateur final du macro-systme dans la situation de vie tudie. Lvnement redout sexprime donc en termes de gne pour le client, allant depuis un lger agacement jusqu la non possibilit dutiliser son systme, voire jusque latteinte de intgrit de lui-mme ou de ses proches en passant par la dgradation dautres systmes de son entourage (dgts matriels) pour les systmes scuritaires. Le tableau ci-aprs prsente la partie qualitative de lanalyse prliminaire de risque quaurait pu raliser un groupe danalyse de notre rasoir jetable :

    Page : 1Date : 15/08/08

    Fonction Mode de dfaillance de la fonction

    Evnement initiateur Consquence systme et description du scnario

    Evnement Redout G F Actions de matrise des risques

    G F'

    1 2 3 4 5 6 7 8 9 10

    Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable

    Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasageCoupe sans qu'on le demande

    (fonction intempestive)Dsolidarisation liaison corps /

    contre-lame Dsolidarisation des lames Coupure de l'utilisateur

    Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)

    N'hydrate pas (Absence de fonction la sollicitation)

    Mauvaise accroche de la plaquette lubrifiante sur la tte

    Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable

    N'hydrate plus (arrt fonction)Dfaillance de la plaquette

    lubrifiante par dpassement de la dure de vie de la tte

    Sensation de brlure l'utilisation

    Hydrate mal (fonction dgrade)

    Evaporation d'un composant de la plaquette lubrifiante

    Perte du caractre glissant du rasoir

    Sensation d'accroche l'utilisation

    Hydrate sans qu'on le demande (fonction intempestive)

    Hydrate de temps en temps (fonction intermittente)

    N'est plus prhensible par la main (arrt de fonction)

    Dsolidarisation liaison manche / tte Rasoir inutilisable

    Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation

    N'est pas prhensible par la main (abscence de fonction)

    Est prhensible par la main sans qu'on lui demande (fonction

    intempestiveEst prhensible de temps en

    temps (fonction intermittente)

    FP2 : Permet la main d'hydrater la peau

    Sans objet

    Sans objet

    FC1 : Doit tre prhensible par la main

    Sans objet

    Sans objet

    Sans objet

    Systme : Rasoir Bic-Jet

    Situation de vie : Rasage Pilote : Nicolas S.

    FP1 : permet la main de couper les poils Sans objet

    Sans objet

    Tableau 1.5 : Analyse prliminaire de risque partie analyse qualitative

    Les colonnes 6 et 7 constituent la partie quantitative de lanalyse prliminaire de risque. Leur objet est de hirarchiser les risques pour permettre au groupe danalyse de prioriser ses actions. La colonne 6 note G comme Gravit caractrise le niveau de gne du mode de dfaillance pour le client. La note renseigne dans cette colonne dcoule donc directement de limpact client dfini dans la colonne 5.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 29/226

    En APR, les notes de gravit sont classiquement values sur une chelle de 1 4 ; 4 correspondant la gne la plus forte pour le client (et donc aux problmes de scurit dans le cas de systmes prsentant un caractre scuritaire) et 1 limpact le plus faible. Pour limiter la variabilit dans la cotation, il est conseill de constituer des grilles de cotation les plus objectives possibles. Cependant, il a t impossible au normalisateur de dfinir des grilles idales qui seraient utilisables par chacun. En effet, les impacts tant forcment diffrents entre la dfaillance dune fuse ou dun stylo, les grilles doivent tre construites en fonction du type de produits (ou du secteur dactivit) par les entreprises elles-mmes. Dans le cas dun produit automobile, le groupe PSA propose la grille suivante [PSA, 1999] :

    Niveau Critres de slection Performances gnrales du systme (ex. vhicule) conserves ; lutilisateur peut continuer utiliser son systme ; il ny a pas dimpratif une intervention rapide. Cot limit au dpannage ou remplacement de litem dfaillant ; lvnement redout nentrane pas de dommages au systme (ex. vhicule ou organe). Pas de risque pour lhomme (utilisateurs, occupants, ...). Dgradation des performances, apparition de symptmes inquitants, gne importante ; lutilisateur peut continuer utiliser son systme, mais une intervention simpose rapidement. Lvnement redout peut conduire des dommages ou interventions supplmentaires sur le systme (ex. imposer une contre visite au contrle technique). Pas de risque pour lhomme (utilisateurs, occupants, ...). Lvnement redout conduit un arrt total du systme ncessitant une intervention pour le rendre nouveau utilisable (notion de panne ). Lvnement redout peut conduire des dommages importants au systme (ex. vhicule ou organe) entranant des cots levs de rparations (pices et main-duvre) , voire lirrparabilit. Risque ngligeable pour lhomme (utilisateurs, occupants, ...).

    4 Lvnement redout est susceptible dentraner des risques de morts ou de dommages corporels pour lhomme (utilisateurs, occupants, ...).

    1

    2

    3

    Tableau : Grille de gravit propos par PSA

    De notre ct, nous avons tabli une grille de cotation de la gravit issue dune simplification de la grille propose par PSA, permettant, notre avis, une utilisation non cantonne au secteur de lautomobile (tout en restant cependant lie la conception de produits industriels grand public) :

    Note Importance

    1 Performances gnrales du systme conserves ; lutilisateur peut continuer utiliser son systme ; il ny aura pas d'intervention si la dfaillance intervient en dehors de la priode de garantie.

    2 Dgradation des performances, apparition de symptmes inquitants, gne importante ; lutilisateur peut continuer utiliser son systme, mais une intervention simpose rapidement.

    3 Lvnement redout conduit un arrt total du systme ncessitant une intervention pour le rendre nouveau utilisable (notion de panne ).

    4 Lvnement redout est susceptible dentraner des risques de morts ou de dommages corporels pour lhomme (utilisateurs, occupants, ...).

    Tableau 1.6 : Proposition de grille de cotation de la gravit

    Dans la colonne 7 note F comme Frquence, on value loccurrence de lapparition du mode de dfaillance. Ici encore, les notes de Frquences seront classiquement values sur

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 30/226

    une chelle de 1 4, cette valuation se faisant en fonction du nombre et de la probabilit dapparition des vnements initiateurs. Comme pour la gravit, il est conseill dobjectiver ses grilles de cotation pour limiter la variabilit des notes proposes. Le groupe PSA propose des grilles construites en fonction des taux de dfaillances pressentis par le groupe de travail :

    Niveau Critre de slection

    1 Il est pratiquement impossible que l'vnement se produise au cours de la dure de vie de la population totale des systmes.

    2 L'vnement est trs rare mais possible au cours de la dure de vie de la population totale des systmes.

    3 L'vnement se produira plusieurs fois sur la population totale des systmes (au plus une fois sur la dure de vie dun systme).4 L'vnement se produira plusieurs fois sur chacun des exemplaires au cours de sa dure de vie.

    Tableau 1.7 : Grille de frquence propos par PSA

    Cependant, il nous semble que lvaluation de la frquence base sur lutilisation dune grille articule autour du taux de dfaillance ressenti, est trs dlicate pour le groupe de travail. Aussi, plutt que de baser ce critre sur la frquence des dfaillances potentielles, nos rflexions nous ont amen une grille de cotation indite que nous avons appele grille de matrise. Cette grille est base sur le niveau dinnovation du systme et sur limpact du nombre potentiel de dfaillances sur la sant financire de lentreprise. De plus, au niveau du degr dinnovation, nous dissocions la reprise dlments de la reprise de concepts. La reprise dlments prouvs (reprise de plan) dans les mmes conditions dutilisations donne a priori une excellente garantie sur labsence de dfaillance de lensemble tudi. La reprise dun concept (par exemple liaison par vis crou) prouv mais avec modification de pices lmentaires introduit ncessairement un risque plus grand sur la matrise.

    Note Niveau de matrise

    1Reprise d'lments prouvs en srie :=> Il est pratiquement impossible que l'vnement se produise au cours de la dure de vie de l'ensemble de la population des systmes

    2Reprise de concepts prouvs

    dont les quelques dfaillances n'engendrent pas de pnalisation du march=> Il est possible que quelques systmes dfaillent au cours de leur dure de vie

    3Forte modifications de concepts connus=> Il est possible qu'une part non ngligeable de systmes prsentent une dfaillance au cours de leur vie impactant la rentabilit du produit (retours garantie)

    4Conception innovante=> Il est possible qu'une majorit de systmes prsentent des dfaillances au cours de leur vie engendrant un problme d'image de marque du produit voire de l'entreprise

    Tableau 1.8 : Proposition de grille de cotation de la frquence

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 31/226

    Le tableau ci-aprs prsente les cotations values par le groupe danalyse de notre rasoir jetable :

    Page : 1Date : 15/08/08

    Fonction Mode de dfaillance de la fonction

    Evnement initiateur Consquence systme et description du scnario

    Evnement Redout G F Actions de matrise des risques

    G F'

    1 2 3 4 5 6 7 8 9 10

    Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1

    Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasage 2 3Coupe sans qu'on le demande

    (fonction intempestive)Dsolidarisation liaison corps /

    contre-lame Dsolidarisation des lames Coupure de l'utilisateur 4 4

    Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)

    N'hydrate pas (Absence de fonction la sollicitation)

    Mauvaise accroche de la plaquette lubrifiante sur la tte

    Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable 3 4

    N'hydrate plus (arrt fonction)Dfaillance de la plaquette

    lubrifiante par dpassement de la dure de vie de la tte

    Sensation de brlure l'utilisation 2 3

    Hydrate mal (fonction dgrade)

    Evaporation d'un composant de la plaquette lubrifiante

    Perte du caractre glissant du rasoir

    Sensation d'accroche l'utilisation 1 3

    Hydrate sans qu'on le demande (fonction intempestive)

    Hydrate de temps en temps (fonction intermittente)

    N'est plus prhensible par la main (arrt de fonction)

    Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1

    Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation 1 1

    N'est pas prhensible par la main (abscence de fonction)

    Est prhensible par la main sans qu'on lui demande (fonction

    intempestiveEst prhensible de temps en

    temps (fonction intermittente)

    Systme : Rasoir Bic-Jet

    Situation de vie : Rasage Pilote : Nicolas S.

    FP1 : permet la main de couper les poils Sans objet

    Sans objet

    FP2 : Permet la main d'hydrater la peau

    Sans objet

    Sans objet

    FC1 : Doit tre prhensible par la main

    Sans objet

    Sans objet

    Sans objet

    Tableau 1.9 : Analyse prliminaire de risque partie analyse quantitative

    Selon la norme NFX 60-500 [AFNOR, 1988], la fiabilit dun systme est dfinie comme tant l aptitude dune entit accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn . Aussi, la note de gravit reprsentant la puissance de limpact du mode de dfaillance sur le client utilisateur final, il est classique que les objectifs de fiabilit du systme soient allous en fonction de cette note. Ainsi, le groupe Renault propose de faon gnrique les objectifs de fiabilit suivant (les niveaux dimpacts proposs par Renault ne sont pas nots de 1 4 mais de A D) :

    Grade Dfaillance Dure objectif Proportion maxi de dfaillantsA Dfaut de scurit 400 000 km20 ans

    B1 Panne immobilisante 300 000 km20 ans

    B2 Perte de confiance dans le vhicule faisant s'arrter le conducteur220 000 km

    15 ans

    C Dfaillance majeure : Ncessit de rparer rapidement

    100 000 km10 ans

    C1 Non respect des normes d'mission En fonction des normes en vigueur en Europe

    D Dfaillance mineure : Gnant mais n'empchant pas de rouler

    60 000 km5 ans

    0,03%

    Pas de dfaillances de scurit autorises

    Tableau 1.10 : Objectifs de fiabilit classiquement allous par Renault

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 32/226

    Cependant, qui dit objectifs dit obligation pour le fournisseur dapporter la preuve que sont systme y rpond ! Cette preuve pourra tre amene soit de faon qualitative par un arbre de dfaillance, soit de faon quantitative par des essais physiques (larbre de dfaillance fera lobjet du paragraphe 5 du prsent chapitre, mais les essais physiques, pouvant tre considrs comme une dmarche part entire, ne seront pas abords). Ainsi, il nest pas rare que les constructeurs de systmes demandent leurs fournisseurs quipementiers de prsenter des arbres de dfaillances relatifs chaque mode de dfaillance dont la note de gravit serait gale 3 (panne du systme) ou 4 (problme de scurit). La colonne 8 de notre tableau danalyse prliminaire de risque dcrit les actions de matrise de risque mise en uvre par le concepteur du systme. Ces actions peuvent tre dordre technique (cration dune redondance, mise ne place dun protecteur, ) ou organisationnelle (analyse des dfaillances intrinsques chaque composants par une AMDEC, ), et doivent aboutir une diminution de la Frquence F et / ou de la Gravit G. Le seuil de dclenchement dune action spcifique doit tre mene en fonction du couple Frquence / Gravit. Le groupe PSA a ainsi dfini son seuil de dclenchement par la matrice suivante :

    1 2 3 4 Risque jug acceptable pour lequel aucune action nest entreprendre

    1

    2 Risque jug inacceptable pour lequel une action est entreprendre

    3

    4

    Risque jug acceptable uniquement si toutes les actions de conception pouvant rduire la gravit ont t explores et ont fait lobjet dune valuation probabiliste chiffre

    F

    G

    Tableau 1.11 : Matrice de dclenchement dactions de matrise de PSA

    Pour juger de la pertinence de laction envisage, il est ncessaire de rvaluer le niveau du risque que le mode de dfaillance pourrait prsenter une fois laction mise en uvre. Ces nouvelles cotations F et G seront renseignes dans les colonnes 9 et 10.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 33/226

    Le tableau ci-aprs prsente les actions correctives proposes par le groupe danalyse afin de rduire le niveau de risques relatif notre rasoir jetable :

    Page : 1Date : 15/08/08

    Fonction Mode de dfaillance de la fonction

    Evnement initiateur Consquence systme et description du scnario

    Evnement Redout G F Actions de matrise des risques

    G F'

    1 2 3 4 5 6 7 8 9 10

    Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1

    Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasage 2 3 Utilisation de lames en carbures 2 2Coupe sans qu'on le demande

    (fonction intempestive)Dsolidarisation liaison corps /

    contre-lame Dsolidarisation des lames Coupure de l'utilisateur 4 4Conception sans dfaillances

    lmentaire de niveau 1 (validation par arbre)

    4 1

    Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)

    N'hydrate pas (Absence de fonction la sollicitation)

    Mauvaise accroche de la plaquette lubrifiante sur la tte

    Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable 3 4

    Reprise plaquette prouve sur rasoir classique 3 1

    N'hydrate plus (arrt fonction)Dfaillance de la plaquette

    lubrifiante par dpassement de la dure de vie de la tte

    Sensation de brlure l'utilisation 2 3

    Reprise plaquette prouve sur rasoir classique 2 1

    Hydrate mal (fonction dgrade)

    Evaporation d'un composant de la plaquette lubrifiante

    Perte du caractre glissant du rasoir

    Sensation d'accroche l'utilisation 1 3

    Hydrate sans qu'on le demande (fonction intempestive)

    Hydrate de temps en temps (fonction intermittente)

    N'est plus prhensible par la main (arrt de fonction)

    Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1

    Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation 1 1

    N'est pas prhensible par la main (absence de fonction)

    Est prhensible par la main sans qu'on lui demande (fonction

    intempestiveEst prhensible de temps en

    temps (fonction intermittente)

    FP2 : Permet la main d'hydrater la peau

    Sans objet

    Sans objet

    FC1 : Doit tre prhensible par la main

    Sans objet

    Sans objet

    Sans objet

    Systme : Rasoir Bic-Jet

    Situation de vie : Rasage Pilote : Nicolas S.

    FP1 : permet la main de couper les poils Sans objet

    Sans objet

    Tableau 1.12 : Approche fonctionnelle de lAPR du rasoir

    Malgr lapparence chronologique de la numrotation des colonnes, nous conseillons de ne pas remplir les colonnes dans lordre. En effet, les colonnes 1 ; 2 ; 5 ; 6 sont inhrentes au besoin du client. Ces colonnes devraient donc tre ralises par celui-ci la suite directe de lanalyse fonctionnelle externe et transmises au concepteur en mme temps que le cahier des charges fonctionnel. Les colonnes 3 ; 4 et 7 sont quant elles dpendantes des concepts techniques mis en uvre dans le produit, elles ne pourront donc tre renseignes que par le concepteur aprs un premier jet de conception reprsent par lanalyse fonctionnelle interne.

    3.2. LAPR approche agressions

    Comme prcis en introduction lAPR, il existe deux approches agressions complmentaires lapproche fonctionnelle dcrite ci-dessus :

    Une approche agression du systme vers lextrieur, appele galement agressions externe qui tudie limpact sur lenvironnement dune dfaillance dun lment potentiellement dangereux.

    Une approche agressions du milieu extrieur vers le systme, appele galement agressions interne qui des tudie les consquences des agressions potentielles que le milieu extrieur peut induire sur les lments sensibles du systme.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 34/226

    3.2.1. Agression du systme vers lextrieur

    Comme pour lapproche fonctionnelle, nous prfrons le formalisme propos par PSA pour raliser cette analyse :

    Systme :

    Pilote :Elment

    potentiellement dangereux

    Evnement initiateuragression systme

    Consquence systmeet

    description du scnario

    Evnement Redout(au niveau du client) G F

    Actions dematrise des risques G F'

    1 2 3 4 5 6 7 8 9

    Page : Date :Situation de vie :

    Tableau 1.13 : Formalisme APR agressions externes propos par PSA

    Dans la colonne 1, le groupe de travail recherchera lensemble des lments prsentant une forme, ou contenant suffisamment dnergie latente, pour prsenter un danger potentiel. Par nergie latente, on entend une nergie capable dtre libre de faon incontrle (rsistance chauffante, ressort tendu, lment sous pression, etc) Dans la colonne 2, on recherchera le ou les vnements initiateurs (dfaillance interne au systme, mauvaise manipulation de lutilisateur, modification du milieu environnant, ) qui pourraient librer cette nergie latente, pouvant ainsi provoquer lvnement redout au niveau du client utilisateur. A partir de la colonne 3 incluse, on retrouve les mmes items que dans lapproche fonctionnelle. Ainsi, le scnario de la colonne 3 dcrit la succession dvnements depuis la transformation de lvnement initiateur jusqu lvnement redout final pour le client, en passant par les impacts au niveau des systmes de niveau N, N+1, N+2, , N+k (niveau correspondant au systme dtenu par le client utilisateur dans la situation de vie tudie). Comme pour lapproche fonctionnelle, il nest pas ncessaire de faire des excs de zle pour remplir cette colonne (lAPR se devant dtre ralise rapidement), celle-ci servant essentiellement au groupe de travail mieux apprhender la probabilit dapparition de lvnement (cotation F). Dans la colonne 4, on retrouve la description de lvnement redout au niveau du client en termes de gne dans lutilisation de son systme (dgradation ou chec de la mission), de risque corporel, de pertes financires, etc Les lments entrant dans la partie cotation comme la partie action corrective (colonnes 5 9) restent identiques ceux prsents dans les colonnes correspondantes de lapproche fonctionnelle.

    tel-0

    0450

    032,

    ver

    sion

    1 - 2

    5 Ja

    n 20

    10

  • Chapitre 1 La matrise de risque en conception

    Concevoir et produire sr de fonctionnement Page 35/226

    Le tableau ci-aprs prsente un exemple de lapproche agression externe qui aurait pu tre ralise lors de lanalyse prliminaire de notre rasoir jetable :

    Elment potentiellement

    dangereux

    Evnement initiateuragression systme

    Consquence systmeet

    description du scnario

    Evnement Redout(au niveau du client) G F

    Actions dematrise des risques G F'

    1 2 3 4 5 6 7 8 9Lames Lames trop aiguise Coupure de l'utilisateur 4 1

    Montage lames non parallle Coincement de la peau entre les lames Coupure de l'utilisateur 4 3Mise en place protecteur de

    lames 2 1

    Plaquette lubrifiante Plaquette allergne

    Plaquette contenant un composant chimique

    provoquant certaines allergiesInflammation de la peau 4 3 Reprise plaquette prouve sur

    rasoir classique 4 1

    Situation de vie : Rasage

    Page : Date : 15/08/08Pilote : Nicolas S.

    Systme : Rasoir Bic-jet

    Tableau 1.14 : Approche agression externe de lAPR du rasoir

    Au niveau phasage de cette approche dans le projet de dveloppement, on remarquera que contrairement lapproche fonctionnelle qui se positionne ds la phase spcification, lapproche agression externe ne peut tre ralise quaprs une premire base de conception car son point dentre est la liste des lments constitutifs du systme (synthtise par lanalyse fonctionnelle interne). Comme le montrera le paragrap