Outils

méthodologiques
pour l’analyse des
comportements
Définition (NF X 60-510)
L’analyse des comportements est un outil qui permet de
construire la qualité des produits fabriqués ou des services rendus
et favorise la maîtrise de la fiabilité en vue d’abaisser le coût
global.

Objectifs généraux
Dans le cadre d’une politique de qualité totale des entreprises,
les responsables de la maintenance auront à mettre en œuvre
les outils méthodologiques et d’analyse pour permettre à la
fonction maintenance d’optimiser la disponibilité des moyens
de l’entreprise et d’assurer l’intégration des moyens
nouveaux.
Cette méthode conçue pour l’aéronautique américaine en 1960: est
devenue aujourd’hui :

 Réglementaire dans les études de sûreté des industries « à risque »

(aérospatial, nucléaire, chimie)
 Contractuelle (pour les fournisseurs automobiles par exemple)

Etablie en équipe et menée à différents niveaux d’avancement, Elle

permet de définir les priorités d’actions par la confrontation des opinions
et elle est applicable :

• A un produit : AMDEC produit

• A un processus : AMDEC processus
• A un système de production : AMDEC moyen de production
 AMDEC ? AMDEC MACHINE ?

C’est un des outils de l'amélioration continue. Les

exigences de la norme ISO 9000 portent sur la capacité à
s'améliorer de manière continue.

Elle est une méthode inductive permettant, pour chaque

composant d’un système, de recenser son mode de défaillance
et son effet sur le fonctionnement ou la sécurité du système.

L ’analyse quantitative de l’AMDEC va permettre d ’une

part, d’approfondir la notion de criticité des défaillances, et
d’autre part de mieux comprendre les processus de
propagation des défaillances grâce à l’utilisation d’arbres de
défaillances
 La pratique de l’AMDEC devra être itérative,
car c'est dans la répétition de cette méthode que
se fera l'amélioration continue. La logique
d'amélioration continue va reposer sur la
répétition à opérer pour mener à bien les
AMDEC.

 AMDEC est un outil d'amélioration continue

dans le chapitre de la prévention. Elle devra être
poursuivie et complétée, durant le cycle de vie
du produit, tant que le procédé évolue.
Le PDCA (Plan, Do, Check, Action) est la base de la logique d'amélioration continue.

ISO 9001 V2000

Actions correctives :
L'organisme doit établir un processus pour réduire ou éliminer
les causes de non-conformité afin d'empêcher leur réapparition.
La procédure doit définir les exigences pour :
 identifier les non-conformités (y compris les réclamations
clients)
 déterminer les causes des non-conformités
 évaluer la nécessité de mener des actions pour s'assurer que
les non-conformités ne se reproduisent pas
 mettre en œuvre toutes actions nécessaires pour y parvenir
 enregistrer les résultats des actions mises en œuvre
 examiner si les actions correctives sont efficaces et
enregistrées
Actions préventives :

L'organisme doit établir un processus pour éliminer les causes

de non-conformités potentielles pour éviter qu'elles ne
surviennent. La procédure doit définir les exigences pour :

• identifier les non-conformités potentielles

• déterminer les causes de non-conformités potentielles
identifiées et enregistrer les résultats
• déterminer les actions préventives nécessaires pour éliminer
les causes de non-conformités potentielles
• mettre en œuvre ces actions préventives
• déterminer l'efficacité des actions préventives.
Quand doit-on effectuer une AMDEC ?

Systématiquement lorsqu’il y a un nouveau produit

ou nouveau processus

Lorsqu'il y a modification du produit

Lorsqu'il y a modification importante du processus

(nouveau procédé, nouvelle machine...)

Lorsqu'il y a réclamations répétitives ou incident

grave en clientèle (accident par exemple)
 Méthodologie de la réalisation d'une AMDEC

 Choix du sous-système à étudier et des objectifs à atteindre

II s'agit de choisir et de délimiter l'étude à mener, en fonction des objectifs
fixés et du délai accordé.
Exemple: de l'ensemble des fonctions d'une pelle mécanique, on peut se
limiter à l'étude des pertes de fonctions hydrauliques, puis à celle d'un
sous-système donné, puis à celle d'un simple vérin.
 Constitution du groupe de travail
Sa composition dépendra des expertises requises en fonction des
technologies présentes. Il faudra également définir le mode de
fonctionnement du groupe, et en particulier la fréquence, la durée des
réunions et le délai.
 Mise au point de la fiche d'analyse
Une AMDEC est réparties en quatre grandes familles : analyse
fonctionnelle, analyse de défaillance potentielle, estimation de la criticité
et mesures à appliquer.
Un exemple standard de feuille AMDEC (tableau 1).

Tableau 1 : Exemple de feuille AMDEC – moyen de production

 Analyse fonctionnelle
Les colonnes 1 et 2 se déduisent de l'analyse fonctionnelle préliminaire nécessaire
à la conception du système. Elles reprennent la liste des sous-ensembles ou des
composants du système étudié, avec leurs fonctions associées.

 Analyse des défaillances potentielles

 Colonne 3 : modes de défaillance
Elle se déduit de la colonne 2 par identification des dégradations et des pertes de
fonction envisageables.
 Colonne 4 : causes de défaillance
Elle se déduit de la colonne 3 ; à un mode de défaillance peuvent être associées
plusieurs causes.
 Colonnes 5 et 6 : effets de la défaillance
Elles se déduisent de la colonne3, les effets étant envisagés localement au niveau
du sous-système étudié (colonne 5), et globalement comme conséquences
possibles sur la mission du système et sa sécurité (colonne 6).
 Analyse de la criticité de chaque mode de défaillance
 Colonnes 7, 8 et 9
G est l'indice de gravité. Il s'évalue à partir des effets (colonne 6) par une note
estimée de 1 (mineur) à 5 (catastrophique). Suivant les systèmes, la gravité «
relative » peut s'estimer sur plusieurs critères : sécurité des personnes, des
biens, défauts de qualité, perte de disponibilité, pénalisation de la production,
etc.

O est l'indice d'occurrence. Il s'évalue à partir des probabilités des causes (colonne
4) par une note estimée de 1 (improbable) à 5 (fréquent). Il est parfois possible
de faire correspondre ces indices à des valeurs chiffrées. Par exemple, estimer
O en fonction du taux de défaillance λ exprimé en panne/heure suivant le
tableau 2.
Tableau 2. Indices d'occurrence
D est l'indice de non-détectabilité. Il s'évalue à partir du mode de défaillance
(colonne 3) par une note estimée allant de 1 (la dégradation « qui prévient») à 4
(défaillance soudaine).

 Colonne 10 :
Ic (indice de criticité): Chaque mode de défaillance identifié sera caractérisé par son
indice de criticité :
Ic= G x O x D

 Propositions d'améliorations
 Colonne 11 :
Il s’agit des mesures envisagées, ils sont souvent décomposées suivant les rubriques
possibles :
 modifications de conception,
 moyens de détection ou consignes de surveillance ou inspections périodiques,
 dispositif de remplacement, reconfiguration, repli,
 observations, recommandations
QUELQUES EXPLOITATIONS DE L'AMDEC
1 Détecter des causes communes de défaillance
Lorsque nous voyons apparaître dans la colonne 4, face à plusieurs composants,
une cause répétitive, il est souvent astucieux de la traiter collectivement, et non
ligne par ligne (exemples fréquents : le gel, l'humidité, les vibrations). De plus,
ces causes communes peuvent rendre inefficaces les mises en redondance
destinées à fiabiliser un système. Il est donc intéressant de les identifier assez tôt
pour éviter les « pseudo redondances ».
2 Traiter les effets communs par un arbre de défaillance
Lorsque nous voyons apparaître dans la colonne 6, face à plusieurs composants,
un effet répétitif, il est conseillé de construire l'arbre de défaillance relatif à cet
effet. Prenons l'exemple d'un système de levage : si les analyses du câble, du
frein, de l'embrayage, de l'arbre de poulie, etc., montrent un risque de « chute de
la charge », alors il faut passer à l'arbre des causes de cette défaillance.
3 Mettre en place de la maintenance conditionnelle
Lorsqu'un indice de criticité est de la forme Ic= G x O x D= 5 x 5 x 1, alors
nous sommes devant une défaillance grave et probable, mais détectable : autant
de conditions réunies pour la prévenir par la maintenance conditionnelle.
 Arbres de défaillances

1 Domaine d’application
L’analyse par arbre des défaillances a été élaborée au début des
années 1960 par la compagnie américaine « Bell Téléphone » et
fut expérimentée pour l’évaluation de la sécurité des systèmes de
tir de missiles.
Visant à déterminer l’enchaînement et les combinaisons
d’évènements pouvant conduire à un événement redouté pris
comme référence, l’analyse par arbre des défaillances est
maintenant appliquée dans de nombreux domaines tels que
l’aéronautique, le nucléaire, l’industrie chimique, etc.
Elle est aussi utilisée pour analyser a posteriori les causes
d’accidents qui se sont produits. Dans ces cas, l’événement redouté
final est généralement connu car observé. On parle alors d’analyse
par arbre des causes, l’objectif principal étant de déterminer les
causes réelles qui ont conduit à l’accident.
2 Principe
L’analyse par arbre de défaillances est une méthode de type déductif. Il
s’agit, à partir d’un événement redouté défini a priori, de déterminer les
enchaînements d’évènements pouvant finalement conduire à cet
événement.
Cette analyse permet de remonter de causes en causes jusqu’aux
évènements de base susceptibles d’être à l’origine de l’événement
redouté.
Les évènements de base correspondent généralement à des :
 Évènements élémentaires qui sont suffisamment connus et décrits par
ailleurs pour qu’il ne soit pas utile d’en rechercher les causes. Ainsi,
leur probabilité d’occurrence est également connue.
 Évènements ne pouvant êtres considérés comme élémentaires mais
dont les causes ne seront pas développées faute d’intérêt
 Évènements dont les causes seront développés ultérieurement au gré
d’une nouvelle analyse par exemple
 Évènements survenant normalement et de manière récurrente dans le
fonctionnement du procédé ou de l’installation.
Quelle que soit la nature des éléments de base identifiés, l’analyse
par arbre des défaillances est fondée sur les principes suivants :

 Ces évènements sont indépendants

 Ils ne seront pas décomposés en éléments plus simples faute de
renseignements, d’intérêt ou bien parce que cela est impossible
 Leur fréquence ou leur probabilité d’occurrence peut être
évaluée.

Ainsi, l’analyse par arbre des défaillances permet d’identifier les

successions et les combinaisons d’évènements qui conduisent des
évènements de base jusqu’à l’événement indésirable retenu.

Les liens entre les différents évènements identifiés sont réalisés

grâce à des portes logiques de type « ET » et « OU » par exemple.
 ET OU INHIBITION EXCLUSIF

Cette méthode utilise une symbolique graphique particulière

qui permet de présenter les résultats dans une structure
arborescente.
 A l’aide de règles mathématiques et statistiques, il est alors
théoriquement possible d’évaluer la probabilité d’occurrence
de l’événement final à partir des probabilités des évènements
de base identifiés. L’analyse par arbre des défaillances d’un
événement redouté peut se décomposer en trois étapes
successives :
 Définition de l’événement redouté étudié,
 Elaboration de l’arbre,
 Exploitation de l’arbre.
Il convient d’ajouter à ces étapes, une étape préliminaire de
connaissance du système. Cette dernière est primordiale pour
mener l’analyse et nécessite le plus souvent une connaissance
préalable des risques.
3 Définition de l’événement redoute
La définition de l’événement final, qui fera l’objet de l’analyse, est
une étape cruciale pour la construction de l’arbre. On conçoit que
plus cet événement est défini de manière précise, plus simple sera
l’élaboration de l’arbre des défaillances.
Par ailleurs, s’agissant d’une méthode qui peut se révéler
rapidement lourde à mener, elle doit être réservée à des évènements
jugés particulièrement critiques. En ce sens, l’utilisation préalable de
méthodes inductives (AMDEC ou HAZOP, permet d’identifier les
évènements qui méritent d’être retenus pour une analyse par arbre
des défaillances.
De manière classique, les évènements considérés peuvent concerner
le rejet à l’atmosphère de produits toxiques ou inflammables, le
risque d’incendie, le risque d’explosion, etc.
4 Élaboration de l’arbre
La construction de l’arbre des défaillances vise à déterminer les enchaînements
d’évènements pouvant conduire à l’événement final retenu. Cette analyse se
termine lorsque toutes les causes potentielles correspondent à des évènements
élémentaires. L’élaboration de l’arbre des défaillances suit le déroulement ci-
contre.
La recherche systématique des causes immédiates, nécessaires et suffisantes (INS)
est donc à la base de la construction de l’arbre.
Il s’agit probablement de l’étape la plus délicate et il est souvent utile de procéder
à cette construction au sein d’un groupe de travail pluridisciplinaire.
De plus, la mise en œuvre préalable d’autres méthodes d’analyse des risques de
type inductif facilite grandement la recherche des défaillances pour l’élaboration
de l’arbre.
Afin de sélectionner les évènements intermédiaires, il est indispensable de
procéder pas à pas en prenant garde à bien identifier les causes directes et
immédiates de l’événement considéré et se poser la question de savoir si ces
causes sont bien nécessaires et suffisantes. Faute de quoi, l’arbre obtenu pourra
être partiellement incomplet voire erroné.
 Point de départ :

Evènement final

Recherche des causes (NIS)

Nécessaires
Immédiates
Suffisantes

Définition des 1ers

évènements
intermédiaires (liens par
portes logiques

Tous les
évènements
Fin de l’élaboration de
intermédiaires sont-ils OUI
l’arbre de défaillance
des évènements
de base ?

NON

Recherche des causes NIS

pour chaque évènement
intermédiaire (non
élémentaire)

Définition des nouveaux

évènements
intermédiaires (liens par
portes logiques
certaines règles supplémentaires à observer durant la construction de l’arbre:

 vérifier que le système est cohérent

 La défaillance de tous ses composants entraîne la défaillance du système
 Le bon fonctionnement de tous ses composants entraîne le bon fonctionnement du
système
 Lorsque le système est en panne, le fait de considérer une nouvelle défaillance ne
rétablit pas le fonctionnement du système
 Lorsque le système fonctionne correctement, la suppression d’une défaillance ne
provoque pas la défaillance du système. Il peut en effet arriver qu’une défaillance
survenant sur un composant annule les effets d’une défaillance antérieure et permet
ainsi le fonctionnement du système. Dans un tel cas de figure (système non cohérent),
le deuxième composant doit être supposé, dans l’analyse, en fonctionnement lorsque
la première défaillance survient.
 S’assurer que tous les évènements d’entrée d’une porte logique ont bien été identifiés
avant d’analyser leurs causes respectives et éviter de connecter directement deux
portes logiques
 Ne sélectionner que les causes antérieures à l’existence de l’événement considéré.
5 Exploitation de l’arbre
5.1 Coupes minimales : Réduction de l’arbre
Une coupe minimale représente la plus petite combinaison
d’évènements pouvant conduire à l’événement indésirable ou
redouté. On parle parfois également de « chemin critique ». La
recherche des coupes minimales est effectuée à partir des règles de
l’algèbre de BOOLE en considérant que :

 À chaque événement de base correspond une variable booléenne,

 L’événement de sortie d’une porte « ET » est associé au produit
des variables booléennes correspondant aux évènements d’entrée
 L’événement de sortie d’une porte « OU » est associé à la somme
des variables booléennes correspondant aux évènements d’entrée
Quelques-unes des principales règles de l’algèbre de
BOOLE sont résumées dans le tableau suivant :
 Exemple:
Ainsi, dans l’exemple ci-contre, la recherche des coupes minimales peut s’effectuer comme suit:
 ER = E1 & E2
 E1 = A + E3
 E3 = B + C
 E2 = C + E4
 E4 = A & B
ER = (A+B+C) & (C+(A & B))
ER = A&C + A&B + B&C + A&B + C +A&B&C
Or, A&C + C = C et A&B + A&B&C = A&B (par absorption)
ER = C + A&B + B&C + A&B
De plus, A&B + A&B = A&B (Idempotence)
C + B&C = C (Absorption)
 ER = C + A&B
Ainsi, l’événement C seul ou la combinaison des évènements A&B conduisent à l’événement
redouté. Il n’existe pas de combinaison plus petite conduisant à cet événement. L’arbre présenté
en exemple admet donc deux coupes minimales : C ainsi que A&B.
 ER

E1 E2

E3 E4

B C A
 L’ordre d’une coupe est alors défini comme le nombre d’évènements combinés
qui figurent dans cette coupe.
Finalement, cet arbre comporte :
 Une coupe minimale d’ordre 1 : C,
 Une coupe minimale d’ordre 2 : A.B.
L’arbre représentant ces coupes minimales est appelé « arbre réduit ».
Pour l’exemple précédent, l’arbre réduit est le suivant.

ER

C B A