Arbres de dfaillances

Bruno MAJOT
- 2005 -

1/41
 Synthse

Arborescence Retour
technique du systme Rgles de conception dexpriences
vnement Indsirable (EI), Nomenclature du
lis au dysfonctionnement du systme
systme, identifi Causes
lors dune Analyse Prliminaire de Hirarchisation
Risques (APR). ARBRE DE de causes
EI Scnarii
vnement pressenti par le DEFAILLANCES
concepteur. dapparition
Effet client rcurent. Rsultats
Fonctions du
probabilistes
Dfaillance avre. systme

Intervenants Plans
Animateur Schmas

2/41
 Plan

GENERALITES
PRINCIPES DE BASE
DEPLOIEMENT
TRAITEMENT QUALITATIF
TRAITEMENT QUANTITATIF
TABLEAUX DE SYNTHESE
INTERETS
CONSEILS ET LIMITES
DOMAINES D'APPLICATION
BIBLIOGRAPHIE

3/41
 Gnralits
Arbre de causes ou de dfaillances.
Dmarche apparue dans les annes 1960 (aux EU, WASH1400 Rapport
Rasmussen).
Domaines militaire et aronautique puis nuclaire, chimique, etc.
Analyse de :
fiabilit,
disponibilit,
scurit.

Apparition de cette mthode car il devenait ncessaire de prendre en

compte les combinaisons de pannes : augmentation de la scurit des
systmes et donc de leur complexit (ex : redondance).
Analyses qualitatives et quantitatives.

4/41
 Principes de base Bases dlaboration

Dfinition de lvnement Indsirable (EI) fondamentale.

Nota : vnement Indsirable ou vnement Redout.
Ex : Incendie ou Incendie 800C 5 minutes.

Dmarche dductive :
Dcomposition successive aux niveaux infrieurs.

Reprsentation par :
Oprateurs logiques.
vnements.
Symbole de transfert.

Larbre de dfaillance permet de mettre en vidence

les combinaisons de dfaillances.

5/41
 Principes de base Les oprateurs logiques

Reprsentation fonctionnelle Oprateur Symbole

(Dysfonctionnel)
X A
OU
Y A ET
Z X Y Z

A
ET
X Y Z A
OU

X Y Z
W
A
X
m/n A COMBINAISON
m/n
(m, n)
Y

W X Y Z
Z

6/41
 Principes de base Les vnements

Reprsentations :
Combinaison d'vnements

lmentaire

Non lmentaire mais non dvelopp

ou non dvelopp momentanment

Case configuration

vnement conditionnel

7/41
 Principes de base Les vnements (fin)

Dfinitions des vnements de base :

lmentaire :
gnralement une dfaillance,
phnomne assez connu pour ne pas le dvelopper plus (probabilit
faible - Rex).
Non lmentaire et non dvelopp :
vnement tant une cause externe au systme tudi (Ex : alimentation
HS),
porte ET avec plus de 3 branches.
Non lmentaire et non dvelopp momentanment :
pas de renseignements suffisants,
dvelopper par un fournisseur ou documenter.
Case configuration :
Permet de raliser un seul arbre pour diffrentes phases de vie.

8/41
 Principes de base Recherche des causes

Dtermination de toutes les causes menant l'EI :

vnements lmentaires.
Ils sont organiss soit en panne simple soit en combinaison de pannes.
Ils touchent des :
dfaillances de commande (rupture dalimentation, dfaillance logicielle,
etc.),
dfaillances intrinsques (conception, utilisation, agression extrieure, erreur
humaine, process, etc.).
Les dfaillances prises en compte sont fonction des limites de ltude :
agressions extrieures,
problmes de process,
erreur humaine.

9/41
 Principes de base Recherche des causes (suite)

Un systme est soit :

Non command, mauvaise commande ou pas de commande. Une
commande peut tre :
Un flux : information (lectrique, lectromagntique, etc.), matire (gaz,
liquide, etc.).
ex : pas dalimentation (carburant, lectricit etc.) lentre dun
moteur. Pas de commande issue dun calculateur. Mauvaise information
issue dun capteur.
Une interaction mcanique : contact, tension, support, etc.
ex : pas de transmission du mouvement de translation ensemble
bielle/manivelle.

10/41
 Principes de base Recherche des causes (fin)

Victime dune Dfaillance Intrinsque (DI) :

Conception (produit) (Ex : matriel inadapt, etc.).
Fabrication (process) : Agression thermique

Machine (Ex : Prcision insuffisante, etc.),

Homme (Ex : Soudure non conforme, etc.).
Utilisation : Agression Sensibilit dpasse

Usure, prise de jeu, etc. T=40C (T<30C)

Agressions extrieures (Ex : thermique, corrosion,

lectromagntisme, vibration, lectrostatisme, hygromtrie, etc.)
combines la sensibilit du systme lagression considre.
Erreur humaine (Ex : mauvaise opration, etc.).

11/41
 Dploiement Dmarches

Construction de l'arbre de dfaillances

s
A E1 E2
C
B

D E C E3 D E

A B

12/41
 Dploiement Dmarches (suite)

Dcomposition par scnario

Dcomposition par corps de mtiers
Dcomposition binaire
Dcomposition par cycle de vie

13/41
 Dploiement Dmarches (suite)

Dcomposition par scnario :

EI

Scnario 1 Scnario 2 Scnario 3

Ex : Incendie
Explosion
Court-circuit
etc.
14/41
 Dploiement Dmarches (suite)

Dcomposition par corps de mtier :

Larbre doit tre un

niveau suffisant pour
EI faire apparatre les
interfaces entre les
diffrentes
technologies (ou
fournisseurs).

Pb lectrique Pb mcanique Pb hydraulique Pb informatique /

lectronique

15/41
 Dploiement Dmarches (suite)
Dcomposition binaire
Dfaillance intrinsque.
Non commande.
Exemple pour un systme mcanique : EI = Lhlice ne tourne pas
EI Lhlice ne tourne pas
flux mcanique

MOTEUR1
ARBRE
Hlice HS* Hlice non commande (NC**)
(DI) MOTEUR2
HLICE
Suite possible
sens de dcomposition
Arbre cass Arbre NC
Par scnario, (DI)
par phase du cycle de vie
ou / et AMDEC sous-systme
systme. Moteurs casss (DI) Moteurs NC

Sens dudu
Sens flux de la
flux
de fonction
la fonction
Moteur 1 cass Moteur 2 cass rotation
rotation dede
* : HS : Hors Service ** NC : Non Command lhlice
lhlice
DI : Dfaillance Intrinsque

16/41
 Dploiement Dmarches (suite)

Exemple pour un systme lectronique

AMONT Alimentation AVAL
Entres Sorties
Capteurs Synoptique gnral
Stratgie Actionneur dun systme
Paramtres rseau lectronique
Calculateur

Masse

Effet indsirable au
AVAL niveau de lactionneur

Mauvaise commande
Dfaillance intrinsque de lactionneur
en entre actionneur
( environnement, etc.)

Mauvaise commande
Mauvaise commande
en sortie du calculateur
due la connectique

Le calculateur prend la mauvaise Les entres du calculateur ne

dcision (DI soft ou composants) refltent pas la ralit (NC)

AMONT

17/41
 Dploiement Dmarches (fin)

Dcomposition par phase du cycle de vie :

EI

Conception Fabrication Utilisation APV

18/41
 Dploiement Principes

Recherche des causes immdiates ncessaires et suffisantes :

A effectuer rigoureusement tape par tape (possibilit de considrer les paramtres physiques et les lois
qui rgissent le comportement des composants, de sous-systmes ou du systme).
Ex : dbit = f(D,p)

Perte de dbit

Diamtre Chute de
intrieure hors pression EI
tolrance minimale
Dcomposition dun vnement intermdiaire :
En vnement(s) de base ou en vnement(s) intermdiaire(s),
Puis ritration de la dmarche.

Recherche des causes des vnements intermdiaires

jusqu lobtention dvnements de base.

19/41
 Dploiement Principes (fin)

Complter les portes !

Spcifier tous les vnements dentre dune porte logique avant
dentreprendre lanalyse dtaille de lun dentre eux.

Pas de porte porte !

Pas de connexion dune porte logique une autre porte logique :
Risque de confusions,
Comprhension insuffisante du systme par lanalyste (risque davoir
oubli des tapes du raisonnement dductif).

Les causes sont antrieures aux consquences !

Rechercher les causes dun vnement revient remonter dans le temps
(en effet, les causes dun vnement doivent tre antrieures
lexistence de celui-ci).

20/41
 Dploiement Recommandations
Structurer au maximum larbre de dfaillances, viter les
rteaux.
Reboucler avec larborescence technique (vrification de
prise en compte de tous les lments du systme).
Reprer dans larbre les dfaillances qui sont dtectes par le
systme.
(Ex: allumage dun voyant).

Sassurer de lindpendance de la dtection et de

lapplication.
(recherche des modes communs ventuels).

Possibilit dutiliser des listes types de dangers.

(Ex : liste de Willie HAMMER).
21/41
 Dploiement Exemple de liste de Hammer

DANGER ARRIVEE CAUSE POSSIBLE EFFETS POSSIBLES

ELECTRICITE :
Choc : Gnr ateur s de Dfaut de dchar ge du Per sonnel
puissance cir cuit capacitif Electr ocution
Sour ces lectr iques Coupur e dans la Inter fr ence dans le
natur elles (clair ) pr otection ther mique fonctionnement
etc. etc. etc.
Ther mique : Cour t-cir cuit Equipement gr ill
Connecteur dfectueux Tempr atur es accr ues
etc. etc.
CORROSION : Mtaux qui r agissent Fuite de substances Dgr adation du
lair cor r osives ou r actives matr iau
etc. etc. Rugosit de la sur face
etc.

22/41
 Dploiement Arrt de la dcomposition
Le niveau de dcomposition est fonction des objectifs de ltude. On
considrera tre en prsence dun vnement de base, lorsque lon atteint
un niveau de dtail suffisant pour proposer un(des) plan(s) action(s) de
leve de risque.
Le plus souvent, la dcomposition est mene jusqu ce quon ait la
certitude que :
On peut retrouver le traitement des vnements de base dans les AMDEC.
On dispose dun retour dexprience suffisant (tudes SdF dj menes sur
des systmes similaires ou de technologie voisine). Lorsque lon est en
mesure de pouvoir quantifier les vnements de base.
Les vnements de base sont libells en terme de conditions fonctionnelles
non respectes et que lon peut poursuivre ltude par une vrification aux
plans.
Un vnement trouv dans le dploiement dune branche tudie savre tre
identique un autre vnement dtect dans une autre branche de larbre. On
veillera alors a les reprer et les libeller de faon identique.
Dans tous les cas, les vnements de base doivent tre indpendants : quils
ne possdent pas de mode commun.

23/41
 Traitement qualitatif tapes

Codage de larbre.
quation boolenne de l'arbre.
Rduction de l'quation.
Coupes minimales ou chemins critiques.
Tableau du nombre dapparition des vnements de base
par longueur.
Tableau d'apparition des vnements de base dans les
diffrents EI du systme.

24/41
 Traitement qualitatif Codage de larbre

Identifier les vnements de base identiques sur l'ensemble des

EI et leur attribuer le mme code.
Coder les autres vnements de base.
Utilisation des lettres de lalphabet et des chiffres.
(Ex : A1, B2, etc.)
Complexit du codage fonction de la complexit du systme.
(Ex : A Z ou A01 A99)

25/41
 Traitement qualitatif
quation et coupes minimales
quation boolenne de larbre. Rappel :
. porte ET
+ porte OU
Ei
E4 = E + F
E3 = C.D
E E2 = E3 + E4 = E + F + CD

criture de l quation de l arbre

A E1
Construction de l arbre

1
E1 = B.E2 = B.(E + F + CD)
Ei = A + E1 = A + B (E + F + CD)
B E2

Ei = A + BE + BF + BCD
E3 E4

C D E F

26/41
 Traitement qualitatif
quation et coupes minimales (suite)
Rduction de lquation.
Rappels :
A.A = A
A+A=A
A + A.B = A

criture de l quation de l arbre

Ei
Construction de l arbre

Ei = (C + D) . (C + E)
Ei = CC + CE + DC + DE

E3 E4
Ei = C + CE + DC + DE

C D C E Ei = C + CD + DE

quation rduite ER = C + DE

27/41
 Traitement qualitatif
quation et coupes minimales (fin)

Coupes minimales ou chemins critiques :

Plus petite combinaison dvnement entranant lEI,
Peuvent tre dordres diffrents :
ordre 1 : simple dfaillance entranant lEI,
ordre 2 : paire de dfaillances qui, se produisent en mme temps, entranent
lEI,
etc.

Ei = A + B.E + B.F + B.C.D

coupe d ordre 1
coupe d ordre 3
coupe d ordre 2

28/41
 Traitement qualitatif
Tableaux dapparition

Pour un EI : Pour tous les EI :

L1 L2 L3 EI1 EI2 EI3

A 1 A22 X X X
B 3 B17 X X
C 1
D 1
E 1
F 2

29/41
 Traitement qualitatif Conclusion

Traitement qualitatif indispensable :

Pour lexploitation des informations contenues dans larbre,
Pour raliser ensuite le traitement quantitatif.

Exploiter ce traitement par typologie de pannes (problme

dutilisation, problme de conception, etc.).
Possibilit, ce niveau de ltude, de proposer des plans
dactions et/ou des plans de validation.
Ne pas effectuer le traitement quantitatif si les donnes sont
trop faibles.

30/41
 Traitement quantitatif Donnes de base

Probabilit de chaque vnement de base :

Sources de donnes :
Le retour d'exprience (documenter le nombre de dfaillances, lchantillon
observ, les hypothses effectues, etc.),
Les bases de donnes CNET ou MIL HDBK,
Donnes constructeurs, industriels,

31/41
 Traitement quantitatif Formules
Probabilit des coupes minimales.
Poincar
n
P E.I P U C
i 1 i
n n j-1 n k 1 j 1
P C P C C P C C C ...
i i j i j k
i 1 j 1 i = 1 k 3 j 2 i 1
1 P C C ... C n
n
1 2
Standard n
P E.I 1 1 P C
i
i 1

m
P Ci P e i
j
j1

n m

P E.I 1 1 P
e
i

j
i 1 j1

P = lt pour l = constante
Si l << 1 alors on a : Porte OU : P < S Pi (thorme de Poincar), on prendra : P = S Pi
Porte ET : P P Pi

32/41
 Traitement quantitatif Calculs

Probabilit de chaque vnement Indsirable (EI).

tude de sensibilit.

33/41
 Tableaux de synthse Type 1

Code Evnement Probabilit EI 1 Gravit : EI 2 Gravit : EI 3 Gravit :

de Base dapparition Ordre Ordre Ordre TC Ordre Ordre Ordre TC Ordre Ordre Ordre TC
1 2 3 % 1 2 3 % 1 2 3 %

Code Libell de
associ lors Probabilit de
lvnement de lvnement de Taux de
du base base Ordre des coupes contribution maxi
traitement
minimales dans des coupes dans
de larbre
lesquelles lesquelles
lvnement de base lvnement
apparat pour lEI N1 apparat

34/41
 Tableaux de synthse Type 2
Evnement de Nb de Nb de Autre Nb dEI Taux de Gravit Innovant
base coupes coupes contribution maxi des (O/N)
minimales minimales maxi EI
dordre 1 dordre 2

A 2 2 10 % 2 O
pour EI 1
EXEMPLE

B 1 2 3 25 % 4 N
pour EI 2

C 2 3 ordre 3 2 2% 4 N
pour EI 1

etc. ...... ...... ...... ...... ...... ...... ......

Ordre de priorit : B, A, C.

35/41
 Intrts gnraux
Permet didentifier toutes les causes SIMPLES et COMBINEES
dun vnement.

Estimer, partir des probabilits des vnements de base, la

probabilit de ralisation de lEI.

Prise en contact du facteur humain, des conditions externes et

des modes communs dans les analyses de scurit.

Dceler les branches fragiles qui affectent la probabilit de

ralisation de lEI.

Complment essentiel lAMDE(C) car prise en compte des

combinaisons de dfaillances.
36/41
 Intrts par domaine

Conception :
Dceler les organes dont il faut amliorer la fiabilit ou quil faut mettre en
redondance.

Logistique :
Prvoir les organes fragiles approvisionner.

Essai :
Orienter les composants prendre en compte de faon prioritaire dans les tests.

Diagnostic :
Orienter la recherche de panne.

37/41
 Conseils et limites

Thoriquement applicable tous les systmes.

Pas de quantification des dpendances temporelles.
Dans le cas de systme complexe, ncessit de disposer
dun logiciel.

Analyse dun seul vnement redout. Pour un autre

vnement redout,il faut refaire un arbre.

La modlisation est fortement tributaire de lanalyste.

38/41
 Domaines dapplication

Tous les domaines techniques.

Arbres de dfaillances utiliss comme :
Mthode danalyse pour la scurit.
Outil de quantification en fiabilit et disponibilit.
Outil permettant la rpartition, aux diffrents acteurs de lorganisation
industrielle, des dfaillances traiter (faire faire au fournisseur).
Aide au diagnostic (moyen de localisation pour laprs-vente).

39/41
 Logiciels de traitement

AMDECEDIT LOGADYS
ARBORIS LOGAN
ARBRE METEOR
CARA MICRARBRE
CEDRE MSI REALITY
ESCAF PHAMISS
ETRA RISK SPECTRUM
FAULT TREE SERENADE
FIABEX SOFIA
FIGARO SUPERNET
FTAP TERMITES
GAMTREE TREEMASTER
GRAAFT TRIADE

40/41
 Bibliographie

Sret de Fonctionnement des systmes industriels - A.

VILLEMEUR dition Eyrolles -1988
Scurit des systmes - C. LIEVENS dition
Cepadues -1976
Liste de Mr WILLIE HAMMER
BNAe RE Aro 701.11

41/41