Chapitre 7

Analyse par Arbre de panne

Sources :
• Clifton A.
A Ericson II
II, Hazard Analysis Techniques for System Safety
Safety,
John Wiley&Sons Inc., 2005
• Hammer Willie , Product Safety Management and Engineering,
Prentice-Hall Inc.
• Norme CEI 1078, Technique d’analyse de la sûreté de fonctionnement
– Méthode du diagramme de fiabilité, 1991
• Norme CEI 1025, Analyse par arbre de panne (AAP), 1990

I t d ti
Introduction
Présenter la vue d’ensemble
d ensemble de la technique
d’analyse par arbre de panne (ADP)

¾ Objectifs
¾ Avantages et désavantages
¾ Contexte d’utilisation
 Origine

L’analyse
L analyse par arbre des pannes a été
• Inventée et développée par H. Watson et Allison B.
Mearn de Bell Laboratories à la demande l’armée
l armée de l’air
l air
des États-Unis pour déterminer les possibilités et les
probabilités d’un lancement imprévu ou non autorisé d’un
missile « Minuteman » ou d’autres
d autres armes nucléaires.
nucléaires
• Utisée par Dave Haasl de Boeing Co. pour mener une
analyse quantitative de sécurité du système d’armement
d armement
nucléaire « Minuteman »

Objectifs
‰ ADP pendant la phase de conception du produit (approche
proactive)

¾ Évaluer le potentiel de défaillance du système

¾ Comprendre les cause probables des événements
indésirables
¾ Améliorer les faiblesses pouvant causer les événements
indésirables

‰ ADP pendant la phase d’opération

d opération du produit (approche
réactive)

¾ Identifier les causes d’accidents afin d’apporter des

corrections visant à éviter les accidents dans le futur
¾ Identifier les causes possibles d’anomalies ou pannes en
temps réel afin d’atténuer les risques d’accidents
 Description
• Outil analytique
• Évaluation pour les systèmes complexes
• Identification des événements qui pourraient causer un état indésirable du système
• Support pour les études portant sur la sécurité, la fiabilité, la disponibilité et les accidents
• Identification des causes
• Technique déductive

• Évaluation des risques (qualitative : coupes minimales) (quantitative : probabilité)

• Modèle
• Visuel
• Présentation des relations « cause
cause-effet
effet »
• Contenant des pannes, événements normaux et des chemins critiques
• Contenant des éléments de dangers et des erreurs humaines ainsi que l’environnement

• Méthodologie
• Détaillée, structurée et rigoureuse
• Utilisation de l’algèbre de Boole, probabilité, fiabilité, logique
• Respect des lois scientifiques et des techniques de génie

Exemple
Système

Événement indésirable : Absence de lumière

Modèle d’
d ADP

Coupes
Groupes d’événements qui, lorsqu’ils se produisent sont (peuvent être) à l’origine
de l’événement
l événement de tête
tête.
 Symboles préférentiels

Défaillance primaire Défaillance secondaire Événement normal

Porte OU Porte Et Porte Non Porte OU exclusif Porte Et prioritaire

Libellé de l’événement Condition Report

Structure

Événement de tête

Extrant

Porte
Intrant

Événement de base-Défaillance du composant

 T h i
Techniques d’analyse
d’ l inductive
i d ti ett déductive
déd ti

Logique :
• Raisonnement déductif :
• Prémisse Conclusion
Les chiens sont les animaux. Celui-ci est un
chien.
hi Il estt d
donc un animal.
i l
• Fausse prémisse Fausse conclusion
Les hommes sont les singes. Celui-ci est un
homme. Il est donc un singe.

Logique :
• Raisonnement inductif :
• Conclusion
C l i h hypothétique
théti
Tous les corbeaux observés sont noirs. Donc,
les corbeaux sont noirs
noirs.
Analyse déductive :
• Objectif : vise à trouver la (les) cause(s) et les facteurs
contributifs pour un danger identifié.
• Question à poser pour faire l’analyse
• Comment arrive-t-elle la panne?
• Quelles sont les causes de l’évènement?
Analyse
a yse inductive
duct e :
• Objectif : vise à postuler les hypothèses relatives aux
causes possibles (sans preuve nécessaire)
• Question à poser pour faire l’analyse
• Quelles sont les conséquences de l’évènement?
l évènement?

Analyse inductive vs Analyse déductive Niveau de détail

Effet Système (haut)

Logique Logique
déductive inductive Sous-système

C
Cause C
Cause Unité

Assemblage

Cause Cause Composants

Du sommet à De la base au
la base sommet
 Aperçu de l’arbre de panne
Système
Événement de tête
(indésirable)

Arbre de panne

Résultats
Coupe minimale = A.B.C.Y
Probabilité = 1,7 x 10-5

Approche déductive

S1 S2 S3 S4 Système

S2
C
A B E Sous-système • Du général vers
D spécifique
• Analyse à partir
A
A12 Unité de l’événement de
tête au(x)
cause(s) initiale(s)
A12
T7 Composant
 ADP pendant le cycle de vie du produit
Phase de design
• ADP doit être utilisée dès le début du programme de développement
• L’objectif est d’identifier les problèmes potentiels et de les corriger avant que les
coûts de modifications deviennent coûteux
• Effectuer les mises à jour au fur et à mesure que les travaux de design
progressent
• Chaque nouvelle version contient de détails additionnels
• ll’ADP
ADP établie pendant la phase conceptuelle contenant seulement les niveaux
supérieurs fournit quand même des informations utiles
Phase d’opération
• ADP pendant le temps de service du produit est utile pour l’analyse des causes de
problèmes
• ADP permet d’identifier et d’éliminer les causes des problèmes

Design Design Design final Déploiement

conceptuel préliminaire
ADP initiale ADP mise ADP mise ADP mise ADP opération
à jour à jour à jour

Source SAE ARP-4761

Exemple d’ADP

Crevaison
du pneu

Défaillance Pneu
du pneu endommagé

Défaut de Coupé par Dommage

fabrication
Usure débris sur route infligé

Collision
Sabotage
accidentée
 Résumé

Estimation
de risque

ADP

Données Analyse de Données

de design sécurité de fiabilité

• Dessins • AMDEC
• Croquis • Événements indésirables
• Cause-effet • Modes de défaillance
• Manuels • Taux de défaillance
• Emploi du temps • Modes de défaillances
• Prédictions
• Diagramme • D
Données
é collectées
ll té
fonctionnel • Jugements des experts

ADP est un technique d’estimation de risque

Procédure

¾ Notions de base
¾ Présentation des huit étapes de la
procédure
 Procédure

Exemples

SAMPLE TOP EVENTS FOR FAULT TREES

1. Injury to_______
2. Radiation injury _______
3. inadvertent start of ___.
4. (Equipment to be named) activated inadvertently.
5. Accidental explosion of ______.
6 Loss of control of _____
6.
7. Rupture of______.
8. Damage to .___.
9 Damage to ____ from ____.
9.
10. Thermal damage to _____.
11. Failure of __ to operate (stop) (close) (open).
12. R
12 Radiation
di ti d damage tto _____
13. Loss of pressure in ______
14. Over pressurization of___.
15. Unscheduled release of ______
16. Premature (Delayed) release of _____
17 Collapse of _____
17.
18. Overheating of ____
19. Uncontrolled venting of _____ (toxic, flammable, or high
pressure gas).
)
20. (Operation to be named) inhibited by damage.

EXIGENCES CRITÈRES DU Événement de

DESIGN l’ADP
All doors should All doors shall p
Door opens while
remain closed remain closed train is in motion.
when the train is in when the train is in
motion. motion.
Upon station Doors shall be Door opens while
arrival, the doors capable of opening improperly aligned
should be operable only after train is with station
only after the train stopped and platform.
is stopped and all properly aligned in
doors are properly station, or for
aligned with the emergency as
station platform. noted below.
The train should stayy The train shall not Train starts
motionless while the be capable of with door
doors are open. moving with any open.
door open.
Initiation of a door close Door areas shall Door close
command should occur be clear before initiated
onlyy when the door door closing
g when
areas are clear. begins. occupied.
If door closure is An obstructed Obstructed
prevented by an door shall reopen door fails to
obstruction, the to permit removal reopen.
appropriate door should of the obstruction,
reopen to allow removal and then
of the obstruction before automatically
reclosing. reclose.

The train should be Doors shall be Train

allowed to proceed closed and locked enabled to
only after all doors are before train is proceed with
known to be closed, allowed to door open or
locked, and free of proceed. unlocked.
residual obstruction.

It should be possible to Means shall be Doors cannot

open the doors, when provided to permit be opened
the train is stopped opening doors for
anywhere, for safe anywhere for emergency
emergency train emergency evacuation.
evacuation
evacuation. evacuation
evacuation.
 Événement de tête Commentaire
Bateau coule Problème trop grand et vague
Système de communication ne approprié
fonctionne pas
Un moteur s’arrête
s arrête approprié
Les deux moteurs s’arrêtent en approprié
même temps
Système
S tè d
de di
direction
ti ne approprié
ié
fonctionne pas
Tous les passagers meurent Problème trop grand et vague

Procédure itérative

Effet Effet Niveau 1

Cause
Cause

Niveau 2
Effet Effet

Cause Cause

Niveau 3

Effet

Niveau 4
Cause
 Type d
d’évaluation
évaluation

‰ Qualitative
¾ Génération des coupes
¾ Validation des coupes
¾ Évaluation des coupes

‰ Quantitative
¾ Application des données de défaillance à l’arbre des
événement
¾ Calcul des probabilité
¾ Évaluation des mesures importantes

‰ Estimation des risque

¾ Criticité,
C sévérité, sensitivité, probabilité

Méthodes d
d’évaluation
évaluation

‰ Manuelle
¾ Possible pour les arbres simples et de petite taille

‰ À l’aide de l’ordinateur
¾ Nécessaire pour les grandes arbres complexes
¾ Deux approches : analytique et simulation

‰ Méthodes
¾ Calcul des coupes
ƒ Réduction à l’aide de l’algèbre de Boole
ƒ Algorithmes (MOCUS et..)
ƒ Diagramme de décision binaire
¾ Calcul
C des probabilités
ƒ Réduction à l’aide de l’algèbre de Boole
ƒ Approximation
 Résumé
1

8 Définition du système 2
Définition de
Documentation/application l’événement de tête
7
Système 3
Modification (Design/Data) Établissement des limites
6 4
Validation Construction de l’arbre

Rapport

Liste
des
Évaluation
coupes
Proba- 5
bilités

Définitions

¾ Libellé
¾ Symboles
¾ Logique
 Événements de base

1. Événement de défaillance
1. Événement
É de défaillance de base primaire (cercle)
2. Événement de défaillance de base secondaire (losange)

2. Événement normal
1. Événement décrivant l’état normal prévu du système
2. Opération ou fonction normalement prévu du système Ex: fournir
la puissance au temps T1.
3. En g
général soit « ouvert » soit « fermé » dont la p
probabilité est 1
ou 0
4. Symbole (maison)

Portes

¾ Une porte est un opérateur logique combinant les intrants

¾ Types :
™ ET, OU, NON, ET prioritaire, OU exclusif
™ Autres (utilité limitée)
¾ Une porte représente un état dont l’expansion est possible

Conditions

• S’attache à une porte

• Établissement d’une condition à satisfaire en l’occurrence de la porte
 Report
p

¾ Indication d’une branche spécifique

p q
¾ Représenté par un triangle
¾ Objectifs : un report indique
™ Début d’une nouvelle page
™ Branche semblable utilisée à plusieurs places dans l’arbre
sans qu’elle
’ ll soit
it d
dessinée
i é (t
(transfert
f t iinterne)
t )
™ Un module d’intrant provenant d’une autre analyse
(transfert externe)

Présentation de l’ADP

Les arbres de panne peuvent être disposés

soitit verticalement
ti l t soit
it h
horizontalement.
i t l t Si on
choisit la disposition verticale, il convient que
ll’événement
événement de tête est placé en haut de la
page et les événements de base en bas.
Dans le cas d’une p présentation horizontale,,
l’événement de tête peut être situé à gauche
ou à droite de la page.
 Présentation de l’ADP
Les symboles utilisés pour ces exemples
comprennent :
• une case comportant le libellé de l’événement;
• un symbole logique utilisé pour représenter les
liaisons entre les événements (portes);
• une ligne d’entrée des portes;
• un symbole de report différé (cause commune);
• un symbole de report;
• un symbole de fin d’information (par exemple
événement de base).

Symboles des événements de base

Résistor R88 reste ouvert Défaillance inhérente
Défaillance primaire
du composant

Résistor R88 ne reste ouvert à Défaillance secondaire Défaillance causée

cause de IEM par une force externe

Défaillance qui
Ordinateur C2 ne fonctionne pas Défaillance secondaire nécessite une
enquête plus
approfondie

La puissance
L i estt ffournie
i au Fonction
Événement normal
système au moment T = 150 normalement prévu
 Symbole
y de Porte ET :
A B C
0 0 0
1 0 0
0 1 0
1 1 1 PAPB

Arbre des pannes

• A et B sont tous les deux nécessaires à l’occurrence de C

• A et B do
doivent
e t su
survenir
e ssimultanément
u ta é e t

P = PAPB 2 intrants
P = PAPBPC 3 intrants

Exemple porte ET
p de p

Absence de
lumière
Lampe

A
Interrupteur A Interrupteur B
coincé ouvert coincé ouvert
B

Coupe minimale : A,B

P = PA x PB
 Porte ET
‰ Porte ET spécifie la relation causale entre l’intrant et
l’extrant :
¾ Les pannes à l’entrée
l entrée représentent conjointement
la cause de la panne à la sortie

Symbole
y de Porte ou :
A B C
0 0 0
1 0 1
PAPB=PA(1-PB)
0 1 1 PAPB=(1-PA)PB
1 1 1 PAPB =P
PAPB

• Seul A ou B est nécessaire et suffisant à l’occurrence de C

• A et B ensemble peuvent également causer C

P = PA(1-P
(1 PB)+(1-P
)+(1 PA)PB+PAPB= PA + PB - PA x PB 2 intrants

P = PA + PB + PC – (PA x PB + PA x PC + PB x PC) + PA x PB x PC 3 intrants

 Exemple porte ou
p de p

Lampe
p

A B

Coupe minimale : A
B

P = PA + PB - PA x PB

Porte ou
‰ Porte OU laisse passer la relation causale entre l’intrant et l’extrant :

Les pannes à l’entrée

l entrée sont de même nature que celle à la sortie;
seulement elles sont plus spécifiquement définies. Elles ne
peuvent pas être la cause de la panne à la sortie
 Symbole
y de Porte ou exclusif :
A B C
0 0 0
1 0 1 PAPB=PA(1-PB)
0 1 1 PAPB=(1-PA)PB
1 1 0

• Seul A ou B est nécessaire ou suffisant pour produire C

• Mais A et B ne peuvent survenir simultanément
• Utilisée pour deux intrants seulement (en cascade pour plusieurs
intrants)
P = PA+PB-2(PAPB) 2 intrants

Symbole
y de Porte Et avec p
priorité :

C A B C
0 0 0
A avant B
1 0 0
0 1 0
A B
1 1 1 PAPB

• Les deux intrants A et B sont requis à l’occurrence de C

• Mais A doit survenir avant B
• O d de
Ordre d priorité
i ité dde gauche
h àd
droite
it

P=PAPB / N! où N est nombre d’intrants et λA = λB

 Symbole de Porte Si

• Les deux intrants C et Y1 sont requis

à l’occurrence de D
• Y1 est la condition ou probabilité
p
• Passage ouvert si la condition est
satisfaite

P = PAPY

Symbole
y de Report
p

Symbole Fonction Description

Report Même événement défini ailleurs dans ce
même arbre de panne (internal transfert)

Report Même événement défini ailleurs dans un

autre arbre de panne (external transfert)
différé
Report Branche de même structure à répéter
(similar transfert)
similaire
 Report (transfert)
A
Report

Ordinateur X
R ne fonctionne
pas

Ordinateur X
B Conducteur P1
est défectueux
ne fonctionne
pas

Conducteur P1
est défectueux

C E
C B Report
(internal
Report
Report différé (external transfert)
similaire
transfert)

Défaillance vs panne
• Défaillance (failure) : incapacité, défaut d’exécution, d’un composant
de base. Ex : interrupteur ne se déclenche pas.
• Panne (f
P (fault)
lt) : état
ét t indésirable
i dé i bl suite
it à une déf
défaillance
ill d’
d’un
composant, d’un sous système ou du système. Ex : le manque de
lumière est l’état indésirable suite à la défaillance de l’ampoule, à la
perte de l’électricité ou à une mauvaise manœuvre de l’opérateur
p p
• Défaillance primaire : défaillance au niveau le plus bas (inhérente) du
composant
• Défaillance secondaire : défaillance causé par un autre composant
du système ou par un agent externe du système.
• Panne commandée : défaillance causée par une commande erronée
(en temps ou manière)
manière).
 Défaillance vs panne

Lumière n’est panne

pas allumée

Lampe

Interrupteur A
Lumière A reste ouvert par commande de l’ordinateur
brûlée

ordinateur

Batterie ne Ordinateur commande l’ouverture

fonctionne pas de A (faute dans logiciel)
Défaillance
(primaire)

Remarque :Toutes les défaillances sont des pannes.

L’inverse n’est pas nécessairement vrai

Défaillance
é a a ce indépendante
dépe da te / dépe
dépendante
da te

¾ Une défaillance indépendante est celle qui n’est pas causée

directement ou indirectement par un autre événement ou
composant
¾ Une défaillance dépendante est :
ƒ Une défaillance qui est causé directement ou indirectement
par un autre événement ou composant
ƒ Exemplep : un composant
p du circuit électrique
q q qui est court-
circuité, laisse passer une intensité excessive du courant
impliquant la rupture de la résistance R4.
 Défaillance
é a a ce p primaire
a e:

¾ Mode de défaillance inhérente du composant

¾ Élément de base élémentaire
¾ Élément dont la subdivision ne peut pas être faite
¾ Exemple : diode cesse de fonctionner à cause de
défauts de son matériau constituant

Défaillance secondaire :
¾ Défaillance d’un
d un composant causée par une force externe du
système
¾ Élément de base non élémentaire
¾ Exemple : Circuit imprimé fonctionne mal à cause de l’IEM
¾ Événement
É dont la subdivision plus poussée n’a pas été faite (en
général, parce que cela n’était pas jugé utile)

MOE, MOB et Module

MOE (Multiple Occurring

Event) : événements
id ti
identiques apparaissant
i tddans
les branches différentes

MOB ((Multiple
p Occurrence
Branch) : branches identiques
apparaissant à plusieurs
places dans l’arbre

Module : une sous arbre

indépendante ou une branche
qui ne contient pas de MOE
ou MOB d’ailleurs et qui n’est
pas une MOB

Source : Clif Ericson

 Coupes

• Coupe : est un groupe d’événement qui, lorsqu’ils se

produisent sont (p
p (peuvent être)) à l’origine
g de l’événement de
tête. Il est également connu comme chemin de panne.
• Coupe minimale : est la plus petite des coupes dont tous les
événements doivent se produire (dans le bon ordre) pour que
l’événement de tête ait lieu. Si l’un de ces événements ne
survient pas, l’événement de tête ne peut arriver.
• Ordre
O d ded lla coupe : nombre
b d’é
d’événement
é tddans une coupe.
Une coupe de premier ordre est nommé « single point failure »
(dangereux)

• Chemin critique : coupe dont la probabilité de

défaillance est la plus importante. Il est
important de réduire cette probabilité afin
d’améliorer
d améliorer la performance en sécurité du
système.

Coupes:
A : premier ordre (A )
BD
B,D : second
d ordre
d (B ett D)
C,D : second ordre (C et D)
 Construction

¾ Règles et méthode de construction

Technique de construction
• L’arbre de panne comprend les étages, les niveaux (supérieur,
intermédiaire et de base) et les branches
• Développer
pp chacune des branches de façon ç itérative et identifier toutes
les causes – effets événements et leurs relations
• Pour chacun des événements analysé :
• Identifier toutes les causes possibles de cet événement
(déduction)
• Étudier seulement l’événement voisin immédiat, pas plus loin
• Ne pas sauter les étages
• Posez-vous la question « qu’est ce qui est nécessaire et
suffisant pour »
• Déterminer la logique et le type de porte
• Construire l’arbre avec ces événements et portes logiques
 • Réviser continuellement toutes les étapes afin d’assurer qu’aucun
événement soit répété
p
• Une branche est complétée lorsque le niveau d’événement de base
est atteint et que les limites établies sont atteintes

Effet Effet I-N-S

P-S-C
Cause S-S/C
Cause

Effet Effet I-N-S

P-S-C
P SC
S-S/C
Cause Cause

I-N-S
Effet P-S-C
S-S/C

Cause

Quoi et Comment
Quoi et Comment
• Quelles sont les pannes/défaillances causant cet événement?
• Comment les pannes se sont combinées?
• Ne pas oublier : immédiate, nécessaire et suffisante
Quoi
• Contenu de chacun des intrants de l’événement.
Comment (type de portes logiques)
• ET : tous les intrants sont requis
• OU : un seul des intrants est requis à l’occurrence de l’événement
X
Comment?
Quoi?
A B C
 Recherche de la relation « Cause - Effet »
Les Effet
morceaux
du puzzle
Possibilité logique

Cause potentiel

Produit final Mots clés :

ISC
I-S-C
S-P-C
État
Fonction

Identification de la relation « cause - effet »

C et D sont
nécessaires
immédiatement pour
B D produire E

intrant A E extrant
C
Événement de tête
E C et D causent E

• Commencez par l’événement de tête E

C D
• Suivez la direction de la flèche (vers
A B l’aval)
• Prenez un composant à la fois
intrant A

intrant
 Système en série
direction du signal

Pas d’extrant de B
A B
ou

Défaillance de B Pas d’intrant à B direction de l’analyse

P d’extrant
Pas d’ t t

Conducteur brisé Pas d’extrant de A

Défaillance de A Pas d’intrant

d intrant à A

Exemple
Système en série-parallèle di ti d
direction du signal
i l

C
OU B

direction de l’analyse
ET

OU OU
 Méthodologie pour le développement des portes
l i
logiques
La construction à chaque porte comprend trois étapes :
• Étape 1 : Immédiate, Nécessaire et Suffisante (I-N-S) ?
• Étape 2 : Primaire, secondaire et commande (P-S-C)?
• Étape 3 : État du composant ou du système (S-C/S)?

Étape 1
• Lire attentivement le libellé de la porte
• Identifier les événements immédiats, nécessaires et suffisants
pour causer l’événement extrant de la porte
• Immédiat : ne pas sauter les événements déjà considérés
• Nécessaire : inclure seulement les événements nécessaires
• Suffisant : inclure au minimum les événements nécessaires

Étape 1

Intrant Extrant

Effet Effet

• C et D sont immédiats à E
C
Cause
Cause • C et D sont nécessaires à
l’occurrence de E
• C et D sont suffisants à la
production de E
Étape 2
‰ Identifier les événements Primaire, secondaire et commande à l’entrée de
la porte :
¾ Panne/défaillance primaire : défectuosité inhérente du composant
¾ Panne/défaillance secondaire : défaillance causée par une force
externe
¾ Panne de commande : état de fonctionnement commandé par une
panne ou défaillance en aval
‰ L
L’existence
existence des trois intrants P-S-C
P S C en même temps implique une porte OU

panne
S
extrant
C P Commande
P : primaire
S : secondaire
C : commande

Exemple : P – S- C

A: inhérent
Diode Résistor D

C: intrant
B: externe
 Étape 2
Pas extrant
de E
Intrant Extrant

P S C
Défaillance Pas intrant
Défaillance de E à
de E
cause de chaleur àE Le p
passageg des
pannes de
commande
P C indique la
Défaillance du S Défaillance direction des
conducteur d’intrant à E
causes

C C
Pas intrant Pas intrant
de C de D

Étape 3
Identifier l’état de l’événement.
• Une panne causée par une défaillance inhérente du composant est un SC
(state of the component/état du composant). Un SC est généralement
représenté par une porte OU.
Contact du relais ouvert

Relais reste ouvert (brisé) Relais énergisé par IEM cause l’ouverture
du relais

• Une panne qui ne peut être causée par la défaillance du composant est un
SS (system status/état du système). Type de porte dépende du design
système.
Commande exécutée

Présence de l’énergie Présence du signal

 Isolation et Analyse
y d’un composant
p

S
Isolation d’un
composant

C E

P
Direction de l’analyse
ƒ Primaire : regard vers l’intérieur
ƒ Secondaire : regard vers l’extérieur
ƒ Commande : regard en amont
ƒ Extrant
E : regard
d en avall

Utilisation du diagramme fonctionnel

Diagramme bloc fonctionnel

ƒ Décomposition du système suivant

l ffonctions
les ti
ƒ Application des relations « cause-
effet »
Documents
Croquis ƒ Arbre est moins étendue et contient
plusieurs niveaux
ƒ Démarche structurée, rigoureuse,
applicable pour la majorité des cas
 Utilisation du type de composants du
système
‰ Identification du type
y des composants est souvent utile à
l’élaboration de l’ADP

¾ Composant actif (initiateur) :

ƒ Composant qui fournit ou couper de l’énergie
l énergie, force ou
puissance nécessaire à l’opération du système
ƒ Ex: relais, pompe, source électrique etc..

¾ Composant passif (facilitateur) :

ƒ Composant qui permet la transmission de l’énergie, force
et puissance etc..
ƒ Ex : conducteur,
conducteur tuyau

‰ Porte OU s’applique aux cas où plusieurs intrants se manifestent

Utilisation du type de composants du

système

Batterie
Lumière

initiateur Interrupteur A

F ilit t
Facilitateur
 Exemple de construction d’ADP

Lampe

A B

I-N-S

Panne de
Défaillance
commande
première

Exemple

Lampe

Porte analysée
A B

État du système

Pannes (état du système)

 Exemple
Lampe

A B

État du système

I-N-S

À développer

Pas de
lumière
Exemple
Lampe
Défaillance de Ampoule ne reçoit
l’ampoule pas du courant

A B
Absence du Circuit n’est pas
courant fermé
À développer

Interrupteurs sont Conducteur de

ouverts retour coupé

Interrupteur A est Interrupteur B est

ouvert ouvert

Opérateur
p ouvre Interrupteur
p A Opérateur
p ouvre Interrupteur
p B
interrupteur A coincé ouvert interrupteur B coincé ouvert
Exemple
Lampe

A B

Exemple
Lampe

A B
 Mauvais exemple (approche non structurée)

¾ approche de liste d’épicerie, manque de

rigueur
Lampe
¾ conclusion trop simpliste, manque
plusieurs détails et événements tels que
les passages du courant, erreurs
A B h
humaines
i etc..
t

Absence
de lumière

Ampoule Interrupteur Interrupteur Batterie Conducteur

brûlée A est ouvert B est ouvert épuisé coupé

A B C D E

Résumé
Méthode d
d’analyse
analyse Démarche Itérative Construction des blocs
porte

événements
Lecture attentive du
libellé de la p
porte

Identification:
1) Cause
S 2) logique
Isolation d’un
composant
C E Définition portes
exacte et
P descriptive des
événements

I-N-S
P-S-C
Est-ce que
S-C/S
ll’événement
événement de
•approche par fonctions
base est atteint
•Étape par étape, pas de grand saut N
• libellé de transition
o
B
Branche
h complétée
lété
 Évaluation

¾ Méthodes d’évaluation de l’ADP

¾ Importance des coupes
¾ Génération de coupes et calcul de
probabilités de l’ADP

Coupes : produit important de l’ADP

‰ Coupe : est un groupe d’événement qui, lorsqu’ils se produisent

sont (peuvent être) à l’origine de l’événement de tête. Il est
également connu comme chemin de panne.
‰ Coupes identifient les événements critiques et les point faibles du
système (grandes probabilités, possibilité de contourner
redondances,, combinaisons difficiles à considérer))
‰ Coupes permettent le calcul de probabilités de l’ADP :
¾ En général, plus le nombre d’événements contenus dans le
coupe soit grand,
grand plus la probabilité du coupe soit faible
 Évaluation

Qualitative
• Coupes

Quantitative
• Coupes
• Probabilité

Évaluation qualitative
‰ Non numérique
‰ Subjective
‰ Procédure :
¾ Génération des coupes minimales de l’ADP l ADP
¾ Évaluation qualitative de ces coupes minimales et analyse relative au
design/problèmes
‰ Importance de l’ordre des coupes :
¾ Plus son ordre soit faible, plus son danger qu’il représente soit grand
(ex: l’ordre du coupe contenant un défaillance/erreur unique est 1)
‰ Présence de composant important qui se trouve dans plusieurs coupes
‰ Valeurs :
¾ Identifications des combinaisons de causes originaires (root cause) qui
sont difficiles à percevoir
¾ Identifications des points faibles du design
¾ Identification
Id tifi ti de d possibilités
ibilité d
de contournement
t tdde redondance
d d d
des
moyens de sécurité
¾ Identification de problèmes de cause commune (défaillance pouvant
affecter tous les redondances))
 Évaluation quantitative
‰ Numérique : probabilité de l’occurrence des coupes et celle de l’événement
de tête non désirable
‰ Procédure :
¾ Avec les couples :
ƒ Génération de la liste des coupes minimales
ƒ Calcul de probabilités de l’ADP à partir de celles des coupes
minimales
¾ Sans couples :
ƒ Calcul direct à l’aide de la réduction booléenne de l’ADP
‰ Les données relatives aux composants telles que le taux de défaillance et le
temps d’exposition
d exposition sont requis
‰ Estimation probabillistiques des risques (ADP, couples, portes événements,
chemin critique)
‰ Objective
‰ Permettant
P tt t l’évaluation
l’é l ti quantitative
tit ti ddu d
degré
édde l’l’atteint
tt i t de
d l’l’objectif
bj tif ddu
design

Détermination de coupes minimales

‰ Coupes :
¾ C
Coupe minimale
i i l : estt la
l plus
l petite
tit des
d coupes dontd t ttous les
l
événements doivent se produire (dans le bon ordre) pour
que l’événement de tête ait lieu. Si l’un de ces événements
ne survient p
pas,, l’événement de tête ne p peut arriver.
¾ Super coupe : coupe qui contient des MOE
¾ Coupe en double
‰ Nécessité d’élimination des super coupes et des coupes en
double :
¾ Lois d’algèbre
g de Boole
¾ Fournir une valeur conservatrice de la probabilité de l’ADP
 Détermination de coupes minimales

A B C
A B A B

Coupes : Coupes minimales

A A
A,B ---------- super coupe
A,B,C ---------- super coupe
A,B
, ---------- coupe
p en double

Méthodes pour déterminer de coupes

minimales: Réduction de l’ADP
‰ Il est souvent nécessaire de réduire pour simplification de
l’ADP
¾ Réduction à l’aide de l’algèbre de Boole
‰ Il est nécessaire de réduire l’ADP pour la résolution de
MOE et MOB
¾ Modification de l’équation Booléenne afin d’éliminer
les MOE dans l’équation
¾ Absolument nécessaire pour le calcul de probabilités
de l’ADP
‰ La logique fonctionnelle du système utilisée pour
l’élaboration de l’ADP est perdue
 Réduction de l’ADP

G1
Formule équivalente en mathématique

G1
G3
G2

A B C D E
C G4
A B

D E

N t : les
Note l ffonctions
ti logiques
l i de
d l’ADP sontt perdues
d après
è lla réduction
éd ti

Réduction de l’ADP

G1
Formule équivalente en mathématique

G1

G2 G3

A XX
A B A C

B C

N t :
Note
ƒ Élimination des MOE
ƒ les fonctions logiques de l’ADP sont perdues après la réduction
 Réduction booléenne
a.a = a Formule équivalente
Logique en mathématique
a+a=a

a + ab = a
a(a+b)
( )=a
G1

G1

A XX
A XX
A

A B
A B

Réduction des MOE

G1

A XX [1] A
[1] A A
[2] A,B
A B

G1

[1] A,A [1] A

A XX
[2] A,B A

A B
 Réduction des MOE

G1

A XX
[1] A,A,B [1] A,B
A B

G1

[1] A [1] A
A XX
[2] A [2] B
[3] B
A B

Méthode pour l’obtention des coupes minimales

avec le diagramme MOCUS
• Réduction à partir du sommet

1. Inscription du non de l’événement de

tête
2. Remplacement de G1 par ses intrants
T t les
Toutes l coupes G2 ett G3
3. Remplacement de G2 par ses intrants 1
Coupes minimales
et 2
4. Remplacement de G3 par ses intrants 3
ett 4
5. Ces coupes ne sont pas toutes les
coupes minimales
6. Élimination des coupes qui ne sont pas
d coupes minimales
des i i l
 Exemple avec diagramme Mocus (de haut en bas)

G1 ⇒ G2,G3
G2 G3 ⇒ A G3 ⇒ A
A,G3 A,C
C A,C
A,G5 ⇒ A,A,B ⇒ A,B A,B
G4,G3 ⇒ B,G3 ⇒ B, C B,C
C
B,G5 ⇒ B,A,B ⇒ A,B A
A,B
A,B
C, G3 ⇒ C, C ⇒ C C
Coupes minimales
C,G5 ⇒ C,A,B ⇒ A,B,C A,B,C

Réduction à partir du fond vers le sommet

E
Exemple
l :

G5 = A,B
G3 = C + G5 = C + A,B
G4 = B + C
G2 = A + G4 = A + B + C
G1 = G2.G3
= (A + B + C) (C + A,B)
= A,C ÷ A,A,B + B,C + B,A,B + C,C + C,A,B A,C + A,B + B,C + A,B + C + A,B,C
= C + A,C
C + B,CC + A,B + AB,C
C = C + A,B
 Probabilité de défaillance :

P = 1 − R = 1 − e−λT
où T est le temps d’exposition

Quand λ T< 0.001 P ≈ λT

Probabilité de la porte ET
P = PAPBPCPDPE….P
PN

Probabilité de la porte OU
P = (∑1er terme) - (∑2e terme) + (∑3e terme)
- (∑4e terme) + (∑5e terme) - (∑6e terme)…

Erreur d’évaluation : Exemple

Mauvais résultat car il faut effectuer la
réduction avant de calculer les probabilités
PG1=PG2.PG3=321.41x10-10

PG2 =PA+PB-PAPB PG3 =PA+PC-PAP

=(15+4)x10-5 – 15x4x10-8 =(15+2)x10-5 – 15x2x10-8

=18.94x10-5 =16.97x10-5

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4

T=10-1
PA=1.5 x 10-3 x 10-1= 15 x10-5
PB=4 x 10-4 x 10-1= 4 x10-5
PC=2 x 10-4 x 10-1= 2 x10-5
 Exemple (suite)

Bonne évaluation

négligeable

Coupes minimales : G1 PK =P
PA+P
PG2-P
PA.P
PG2
A =15x10-5 + 8x10-10
B,C =15x10-5
A G2 PG2 =PB.P
PC
=4x10-5x2x10-5
=8x10-10
B C

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4

P=1
1,0
0 − e-λT
λT ≈ λT
T=10-1
PA=1.5 x 10-3 x 10-1= 15 x10-5
PB=4 x 10-4 x 10-1= 4 x10-5
PC=2 x 10-4 x 10-1= 2 x10-5

Exemple :

G1

A B C D E

λ=1x10-6 λ=1x10-7 λ=1x10-7 λ=1x10-8 λ=1x10-9

T=2h T=2h T=2h T=2h T=2h
PA=2x10-6 PA=2x10-7 PA=2x10-7 PA=2x10-8 PA=2x10-9
 Coupes minimales :
A
B
C
D
E

Exercices

7.1 Dessinez l’ADP des systèmes suivants :

a)

i. Un seul moteur est suffisant pour que le

b) système fonctionne
ii. Deux moteur doivent fonctionner pour que le
système fonctionne

c)

Tous les composants en série et au moins un

moteur doivent fonctionner pour que le système
fonctionne
7.2 Déterminez les coupes minimales et calculez
la probabilité de l’événement
l événement de tête des ADP suivantes :

a)

PA = PB = PC = 2 x 10-6

b)

PA = PB = PC = 2 x 10-6