L'Analyse Préliminaire de Risque (A.P.R.)

Le but consiste à identifier les divers éléments dangereux présents dans le système étudié. Puis à regarder pour chacun d’eux comment ils pourraient dégénérer en un incident ou un accident plus ou moins grave suite à un événement causant une situation potentiellement dangereuse. Pour identifier les éléments dangereux et les situations dangereuses susceptibles d’en découler, l’analyste est aidé par des listes de contrôles ou check-lists d’éléments et de situations dangereux. Ces check-lists sont adaptées au domaine concerné. Comme son nom l’indique, cette méthode n’est pas destinée à entrer dans les détails, mais plutôt à mettre rapidement en évidence les gros problèmes susceptibles d’être rencontrés sur le système étudié.

12.4.2. HAZOP

HAZOP, parfois traduit par « étude sur schéma de circulation des fluides », est utilisé essentiellement dans l'industrie chimique pour évaluer le danger potentiel résultant du

mauvais fonctionnement, ou de l’utilisation incorrecte de certains composants, et les effets sur le système.

Application de HAZOP :

• Collecte de l’information nécessaire pour l’analyse du système étudié.

• Constitution de l’équipe pluridisciplinaire apportant la connaissance technique du système.

• Organisation des sessions de travail ; lors des sessions de travail l’animateur applique chacun des mots guides à chacun des paramètres physiques considérés, à chacune des parties du système pour identifier les déviations possibles de ces paramètres pouvant conduire à des conséquences considérées comme dangereuses.

• Conclusion de l’étude. Ces déviations potentiellement dangereuses sont ensuite hiérarchisées pour action future.

12.4.3. L’A.M.D.E.C.

A. Objectif

L’Analyse des Modes de défaillance, de leurs Effets et de leur criticité est une méthode inductive60 _{d’analyse de la fiabilité d’un système [CEI(1985), LIEVENS (1976),}

VILLEMEUR (1988)]61_{. A partir de la défaillance (ou de la combinaison de défaillances) d’un} composant et de la structure fonctionnelle du système, on étudie le lien entre cette défaillance et ses conséquences sur le service rendu par le système.

L’A.M.D.E.C., comme les méthodes précédentes, a pour objectifs :

• D’identifier les modes de défaillance du système.

• Pour chaque mode, de recenser toutes les causes.

• Ainsi que les effets sur la mission du système.

Cette étude est complétée par une liste de recommandations et moyens de détection afin de limiter l’effet de la défaillance (protection) ou de diminuer sa probabilité d’occurrence

(prévention). Une A.M.D.E.C. peut être conduite dès l’arbre fonctionnel du système connu, et également plus tard, lorsque le système existe en terme de solutions.

B. Démarche

• Recherche des modes de défaillance : La notion de mode de défaillance est définie comme étant le symptôme qui révèle la défaillance. A partir des fonctions remplies par le système (et sous-fonctions), on se demande ce qui se passe si :

∗ la fonction ne se réalise pas (au moment désiré),

∗ la fonction ne se réalise plus,

∗ la fonction est dégradée (réalisation avec des performances différentes de celles prévues),

∗ la fonction se réalise de façon intempestive.

60 Dans une méthode inductive, on raisonne du plus particulier au général. Dans une méthode déductive, c'est l'inverse.

61 Commission Electronique Internationale, Techniques d'analyse de la fiabilité des systèmes - Procédure d'Analyse des Modes de

Défaillance et de leurs Effets (AMDE), CEI, Publication 812, 1985

LIEVENS C., Sécurité des systèmes, Cepadues, collection Sup'Aéro, Paris, 1976.

On peut également établir les modes de défaillance à l’aide de « macrocauses » connues et répertoriées dans une liste (ex : blocage, rupture, obturation,fuite, explosion,...).

• Recherche des causes : pour chaque mode de défaillance, on recense toutes les causes possibles, liées :

∗ au matériel et à ses caractéristiques (on est déjà en phase de développement),

∗ à des contraintes externes,

∗ à des phénomènes parasites.

• Recherche des effets : résultat du mode de défaillance. Ceux-ci sont classés en deux types : effets sur les fonctions supérieures du système et effets sur le milieu extérieur (systèmes externes) pour faciliter l’utilisation éventuelle de la méthode des arbres de défaillances (cf page : 153).

• Evaluation des modes de défaillance : les modes de défaillance sont évalués par une grandeur appelée Criticité « C ». La criticité d’un mode est définie par deux

paramètres au minimum : la gravité de l’effet et la probabilité d’occurrence de la cause. Il est possible de tenir compte en plus : de la confiance que l’on a dans le scénario décrit et/ou de la probabilité de non-détection de la cause. Tous ces paramètres sont quantifiés à l’aide d’une échelle de valeur (comprenant trois à quatre niveaux, par exemple). La combinaison de ces paramètres permet de hiérarchiser les modes de défaillance et de définir les priorités pour les actions correctives, de protection ou de prévention. L’A.M.D.E.C. est toujours menée par un groupe de travail constitué de spécialistes. La difficulté est de lister tous les modes de défaillance, sans oublier les plus inattendus ou les plus rares. Le fait de devoir remettre en cause sa propre conception est également un obstacle majeur à la bonne réalisation de cette analyse.

Il existe plusieurs types d’A.M.D.E.C. :

∗ l’A.M.D.E.C. /produit est celle qui est décrite ci-dessus ; elle s’applique à un produit nouveau, déjà défini par des fonctions et des solutions ;

∗ l’A.M.D.E.C. /procédé : menée de la même façon que précédemment, elle est appliquée à un procédé ;

∗ l’A.M.D.E.C./procédé-produit : le procédé est décomposé en opérations de fabrication et l’analyse consiste à voir comment chaque opération influence les fonctions du produit.

C. Avantages de l'A.M.D.E.C.

L’utilisation de l'A.M.D.E.C. dans des domaines industriels très divers (Aéronautique, Aérospatial, Chimie, Nucléaire, Automobile,...) montre l’intérêt de cette démarche dans l’analyse détaillée de la fiabilité et de la sécurité des systèmes. Les tableaux générés lors d’une A.M.D.E.C. présentent de façon claire, détaillée et avec un grand souci d’exhaustivité,

l’ensemble des conséquences d’une défaillance d’un composant d’un niveau donné sur les niveaux supérieurs.

L’utilisation de l'A.M.D.E.C. peut se faire très en amont de la conception d’un système, ainsi qu’en phase de validation et de test du système.

D. Limites de l'A.M.D.E.C.

Pour des systèmes redondants, conçus de manière telle qu’aucune défaillance unique d’un composant ne puisse entraîner l’échec de la mission du système, l'A.M.D.E.C. est insuffisante car elle ne permet pas seule de traiter le cas des défaillances multiples62_{. Son efficacité dépend} de la possibilité de déterminer tous les modes de défaillance possibles d’un système. Ceci est particulièrement difficile, voire irréaliste, dans le cas de systèmes complexes, notamment dans l’approche fonctionnelle. Le volume d’informations requis pour l’analyse est très vite

important ce qui rend la mise en oeuvre de cette démarche malaisée, sujette à erreurs et omissions.

Elle est en général suivie de la mise en oeuvre d’autres méthodes telles que :

• La méthode des arbres de défaillances,

• la méthode des combinaisons de pannes.

L’utilisation d’outils informatiques apporte souvent une aide précieuse pour la réalisation et la gestion des A.M.D.E.C..

12.4.4. L’Analyse par Arbre de Défaillances