You are on page 1of 14

Arbre de dfaillances

1
Arbre de dfaillances
Un arbre de dfaillances (aussi appel arbre de pannes ou arbre de fautes) est une technique dingnierie trs
utilise dans les tudes de scurit et de fiabilit des systmes statiques (un systme statique est un systme dont la
dfaillance ne dpend pas de l'ordre de dfaillance de ses composants). Cette mthode consiste reprsenter
graphiquement les combinaisons possibles dvnements qui permettent la ralisation dun vnement indsirable
prdfini. Une telle reprsentation graphique met donc en vidence les relations de cause effet. Cette technique est
complte par un traitement mathmatique qui permet la combinaison de dfaillances simples ainsi que de leur
probabilit d'apparition. Elle permet ainsi de quantifier la probabilit d'occurrence d'un vnement indsirable,
galement appel vnement redout .
Gnralits
L'arbre de dfaillances (Fault Tree ou FT en anglais) est un outil graphique trs utilis dans les tudes de scurit
et de fiabilit des systmes. Cet outil, aussi appel arbre de pannes ou arbre de fautes , permet de reprsenter
graphiquement les combinaisons possibles dvnements qui permettent la ralisation dun vnement indsirable
prdfini. Larbre de dfaillance est ainsi form de niveaux successifs dvnements qui sarticulent par
lintermdiaire de portes (initialement logiques). En adoptant cette reprsentation et la logique dductive (allant des
effets vers les causes) et boolenne qui lui est propre, il est possible de remonter deffets en causes de lvnement
indsirable des vnements de base, indpendants entre eux et probabilisables
[1]
.
Lorsquil sagit dtudier la dfaillance dun systme, larbre de dfaillance sappuie sur une analyse dysfonctionnelle
dun systme raliser pralablement : une Analyse des Modes de Dfaillance et de leurs Effets (AMDE). Cette
mthode inductive (allant des causes vers les effets) apparat donc comme un pralable la construction dun arbre
de dfaillance puisque les identifications des composants et de leurs modes de dfaillances sont gnralement
utilises au dernier niveau dun arbre en tant quvnements de base.
Lanalyse par arbre de dfaillance est certainement une des techniques dingnierie les plus rpandues, avec les
diagrammes de fiabilit (qui reposent sur les mmes fondements mathmatiques) pour analyser la sret de
fonctionnement dun systme mais dautres alternatives existent.
Lanalyse par arbre de dfaillance et le diagramme de fiabilit sont des mthodes pratiques condition que les
vnements de base soient faiblement dpendants. Dans le cas contraire, ces techniques deviennent caduques et il est
ncessaire demployer une technique plus approprie reposant sur un modle dynamique comme un Processus de
Markov.
Les arbres de dfaillance sont utiliss dans l'ingnierie de sret des industries risques : arospatial, ferroviaire,
nuclaire, naval, chimie Ils peuvent tre utiliss comme un outil dvaluation de la conception ; ils permettent
didentifier les scnarios conduisant des accidents dans les phases amont du cycle de vie dun systme et peuvent
viter des changements de conception dautant plus coteux quils sont tardifs. Ils peuvent aussi tre utiliss comme
un outil de diagnostic, prvoyant la ou les dfaillances des composants la ou les plus probables lors de la dfaillance
dun systme.
De nombreux ouvrages de sret de fonctionnement traitent de ce sujet.
Arbre de dfaillances
2
Historique
Les arbres de dfaillances ont t invents lorigine par des ingnieurs, puis ils ont t formaliss par les
mathmaticiens et les informaticiens ont dvelopp des logiciels pour les manipuler.
L'analyse par arbre de dfaillance a t l'origine dveloppe en 1962 aux BELL Laboratories par H.A. Watson, sur
une demande de lU.S. Air Force pour valuer le Systme de commande de Lancement du missile balistique
intercontinental Minuteman
[2]
. L'utilisation des arbres de dfaillance sest rpandue et sert souvent comme un outil
d'analyse de la dfaillance dun systme des experts de fiabilit.
Aprs la premire utilisation (missile Minuteman), Boeing et AVCO ont utilis les arbres de dfaillance pour
lensemble du systme de Minuteman II en 1963 et 1964. Ce mode danalyse fit lobjet dune grande promotion lors
du Symposium System Safety de 1965 Seattle patronn par Boeing et l'Universit de Washington. Boeing a
commenc utiliser les arbres de dfaillance pour la conception d'avions civils vers 1966. En 1970, aux tats-Unis,
la direction gnrale de l'aviation civile amricaine (FAA) a chang sa rglementation pour l'aviation de transport .
Ce changement a conduit adopter des critres probabilistes d'chec pour les quipements et systmes avioniques et
a men l'utilisation courante des arbres de dfaillance dans le domaine de l'aviation civile.
Dans l'industrie du nuclaire civil, lU.S. Nuclear Regulatory Commission (NRC) a commenc utiliser l'valuation
de risque probabiliste (PRA ou probabilistic risk assessment) via des mthodes incluant les arbres de dfaillance en
1975, notamment avec la publication du rapport Rasmussen (appel aussi WASH-1400). Ce rapport a t un jalon
important dans le dveloppement des tudes probabilistes pour les centrales nuclaires car il a tabli une
mthodologie d'identification et de quantification des scnarios susceptibles de conduire la fusion du cur d'une
centrale, mthodologie dont les grands principes sont toujours en vigueur 40 ans aprs. En 1979, la suite de
laccident de Three Mile Island la NRC a intensifi la recherche sur les PRA. Cela a finalement men la publication
en 1981 du manuel sur les arbres de dfaillance connu sous le nom NRC Fault Tree Handbook (NUREG-0492) et
lobligation de raliser des PRA pour les installations nuclaires sous lautorit de la NRC.
Reprsentation
Un arbre de dfaillance est gnralement prsent de haut en bas.
La ligne la plus haute ne comporte que l'vnement dont on cherche dcrire comment il peut se produire.
Chaque ligne dtaille la ligne suprieure en prsentant la combinaison ou les combinaisons susceptibles de produire
l'vnement de la ligne suprieure auquel elles sont rattaches.
Ces relations sont reprsentes par des liens logiques, dont la plupart sont des ou et et ; on emploie
gnralement le terme de porte OU et de porte ET .
Mthodologie
Dmarche et dfinitions
Larbre de dfaillance est une mthode dductive, qui fournit une dmarche systmatique pour identifier les causes
dun vnement unique intitul vnement redout. Le point de dpart de la construction de larbre est lvnement
redout lui-mme (galement appel vnement sommet). Il est essentiel quil soit unique et bien identifi. partir
de l, le principe est de dfinir des niveaux successifs dvnements tels que chacun est une consquence dun ou
plusieurs vnements du niveau infrieur. La dmarche est la suivante : pour chaque vnement dun niveau donn,
le but est didentifier lensemble des vnements immdiats ncessaires et suffisants sa ralisation. Des oprateurs
logiques (ou portes) permettent de dfinir prcisment les liens entre les vnements des diffrents niveaux
[3]
.
Le processus dductif est poursuivi niveau par niveau jusqu ce que les spcialistes concerns ne jugent pas
ncessaire de dcomposer des vnements en combinaisons dvnements de niveau infrieur, notamment parce
Arbre de dfaillances
3
quils disposent dune valeur de la probabilit doccurrence de lvnement analys. Ces vnements non dcomposs
de larbre sont appels vnements lmentaires (ou vnements de base).
Notons que
[4]
:
1. Il est ncessaire que les vnements lmentaires soient indpendants entre eux.
2. Leur probabilit doccurrence doit pouvoir tre quantifie (condition ncessaire seulement dans le cas o larbre
est destin in fine une analyse quantitative).
3. Contrairement lapproche inductive de lAMDE(C) (Analyse des modes de dfaillance, de leurs effets et de leur
criticit) qui ne cible pas les consquences des dfaillances lmentaires, lapproche dductive de larbre de
dfaillance permet de se focaliser exclusivement sur les dfaillances contribuant lvnement redout.
Voici un exemple danalyse par Arbre de Dfaillance dun systme simple constitu dune ampoule fonctionnant sur
batterie et dont la mise en action est commande laide dun bouton poussoir.
vnement redout :
Lampoule ne sallume pas.
Premier niveau :
vnements de niveau infrieur pouvant gnrer lvnement redout :
- Dfaillance au niveau du bouton poussoir;
- Dfaillance des batteries A et B (redondance) ;
- Dfaillance de lampoule.
Second niveau :
vnements pouvant tre lorigine de lindisponibilit du bouton poussoir :
- Erreur de loprateur (pression trop forte sur le bouton) ;
- Dgradation des fils au niveau de linterrupteur ;
- Blocage du mcanisme.
vnements pouvant tre lorigine de lindisponibilit d'une batterie :
- Dcharge complte de la batterie.
vnements pouvant tre lorigine de la dfaillance de lampoule :
- Agression mcanique de lampoule ;
- Dfaillance de lampoule elle-mme.
Larbre de dfaillance correspondant cette analyse est le suivant :
Exemple danalyse par Arbre de dfaillance dun
systme simple : une lampe alimente par batterie
La construction de larbre de dfaillance est une phase importante de la mthode car sa compltude conditionne celle
de lanalyse qualitative et/ou quantitative qui sera ralise par la suite.
Analyse qualitative : Larbre de dfaillance tant construit, deux types dexploitation qualitatifs peuvent tre raliss :
1. Lidentification des scnarios critiques susceptibles de conduire lvnement redout.
Arbre de dfaillances
4
Par lanalyse des diffrentes combinaisons de dfaillances menant lvnement sommet, lobjectif est ici
didentifier les combinaisons les plus courtes appeles coupes minimales (cf. Fondements mathmatiques).
2. La mise en uvre dune procdure dallocation de barrires.
Ce deuxime type dexploitation qualitatif permet dallouer un certain nombre de barrires de scurit
(techniques ou dutilisation) en fonction de la gravit de lvnement redout et des contraintes normatives
ventuelles.
Analyse quantitative : Une tude probabiliste peut avoir deux objectifs :
1. lvaluation rigoureuse de la probabilit doccurrence de lvnement redout ;
2. le tri des scnarios critiques (en partant coupes minimales de plus fortes probabilits).
Ces calculs ne peuvent se concevoir que si chaque vnement lmentaire peut tre probabilis partir dune loi
soigneusement paramtre et de la connaissance du temps de mission associ lvnement redout et/ou laide de
donnes issues du retour dexprience.
Identification de lvnement redout
Lidentification de lvnement redout (galement appel vnement-sommet, vnement de tte ou encore racine)
est absolument essentielle lefficacit et la pertinence de la mthode.
Lvnement redout correspond le plus souvent un vnement catastrophique en termes humain, environnemental
ou conomique.
Il peut savrer ncessaire parfois de caractriser lvnement redout pour chacune des missions du systme tudi.
Exemples dvnements redouts :
- Non refroidissement de racteur nuclaire ;
- Dfaillance catastrophique non rparable bord dun sous-marin immerg (lanalyse pourrait distinguer le cas
dfaillance lors dune mission en milieu hostile du cas dfaillance lors dune opration de routine ) ;
- Explosion dune capacit sous pression ;
- Refus de dmarrage de pompes dapprovisionnement dun systme incendie, dune automobile ;
- Dbordement dune cuve contenant un fluide extrmement nocif.
Il existe plusieurs mthodes permettant de procder lidentification des vnements redouts. LAnalyse
Prliminaire des Risques (APR), est utilise dans la plupart des industries. La mthode HAZOP, pour Hazard and
Operability study, est plus particulirement adapte aux industries de procd comme la ptrochimie. Enfin, une
Analyse des Modes de Dfaillance et de leurs Effets sur le systme (AMDE) peut galement savrer efficace.
Examen du systme
Lors d'une analyse fiabiliste d'un systme, il est toujours difficile de dlimiter prcisment les contours de l'tude.
Lanalyste doit pour cela se poser un certain nombre de questions incontournables du type : Quelles sont les
intentions de l'analyse ? Quelles en sont les limites ? S'agit-il de matriser une prise de risque relative la scurit
des personnes ou de comparer diffrents dispositifs ? L'objectif est-il de dmontrer la conformit des normes
officielles et/ou des spcifications imposes par le client ?
Avant d'entamer la construction de l'arbre de dfaillance proprement dite, les analystes chargs des tudes de scurit
doivent acqurir au pralable une trs bonne connaissance de l'ensemble du systme et de sa fonction. Ils doivent
s'appuyer pour cela sur l'exprience des ingnieurs et techniciens chargs des oprations sur le terrain. Il est
galement ncessaire de dlimiter prcisment l'tude et ce diffrents niveaux : nature des vnements pris en
compte, quipements impliqus ou non dans la fonction du systme, importance de l'environnement, etc.
Afin d'tre complet et rigoureux, l'examen du systme doit couvrir obligatoirement chacun des thmes suivants :
Arbre de dfaillances
5
La description du systme (lments et sous-systmes inclus dans l'tude et lments exclus) ;
La dfinition de la mission (spcifications du systme, phases des diverses missions, procdures de maintenance
et de rparation, reconfigurations possibles) ;
L'analyse de l'environnement ;
L'identification des vnements prendre en compte : tendue donner l'tude (Par exemple : prise en compte
ou non des typhons, des consquences des erreurs humaines, des problmes de transport de pices ou de
personnel).
Construction de l'arbre
Cette section dcrit la manire de construire l'arbre, cette construction est dtaille dans plusieurs normes
industrielles dont la CEI 61025
Evnement sommet (vnement indsirable)
La premire tape rside dans la dfinition de lvnement tudier, cet vnement est appel vnement sommet,
vnement indsirable ou encore vnement redout. Cette tape est cruciale quant la valeur des conclusions qui
seront tires de l'analyse. (voir la section identification). Il est important de dfinir l'vnement de faon explicite et
prcise. L'arbre de dfaillance se veut tre une reprsentation synthtique, le libell de lvnement sommet devra tre
court. Ce libell sera, en gnral, trop court pour dfinir prcisment l'vnement et lever les ambiguts. Il devra
donc y avoir :
un libell bref, mais aussi vocateur que possible dans la bote qui reprsente l'vnement sommet dans l'arbre,
un texte complmentaire apportant toutes les prcisions utiles sur la dfinition de l'vnement.
Cette remarque est aussi valable pour tous les vnements qui vont figurer dans l'arbre.
Evnements intermdiaires
Lvnement sommet tant dfini, il convient de dcrire la combinaison d'vnements pouvant conduire cet
vnement sommet. Les vnements intermdiaires sont donc des vnements moins globaux que l'vnement
sommet. Une fois ces vnements dfinis, ils seront lis l'vnement sommet via un connecteur logique. Ces
vnements intermdiaires peuvent tre, leur tour, redfinis par d'autres vnements intermdiaires plus dtaills.
Connecteurs Logiques
Les connecteurs logiques (ou portes logiques - voir Symboles graphiques) sont la liaison entre les diffrentes
branches et/ou vnements. Les plus classiques sont ET et OU. Toutes les combinaisons logiques s'expriment avec
ces deux connecteurs et la ngation logique qui exprime le contraire de l'vnement quelle affecte.
Les connecteurs fonctionnent comme suit:
OU : lvnement en sortie/suprieur survient si un, au moins, des vnements en entre/infrieur survient/est
prsent ;
ET : lvnement en sortie/suprieur survient seulement si tous les vnements en entre/infrieur
surviennent/sont prsents ;
K/N : c'est un vote majoritaire : l'vnement en sortie/suprieur survient si au moins K (c'est un entier qui sert
paramtrer le comportement de la porte) parmi les N vnements en entre/infrieurs surviennent/sont prsents.
Cette porte gnralise les deux prcdentes : une porte OU est une porte 1/N et une porte ET est une porte N/N.
L'utilisation exclusive des trois connecteurs ci-dessus permet de rester dans le cadre des arbres de dfaillance
cohrents (cf. plus bas la dfinition de cette notion), et c'est en pratique ce qui est fait le plus souvent.
Dans certaines situations, il est ncessaire d'introduire des non cohrences avec des connecteurs NON, OU exclusif
(ralis si une et une seule de ses entres est ralise) etc. mais cela rend le traitement mathmatique plus complexe.
Arbre de dfaillances
6
Enfin, il peut tre pratique des fins descriptives dutiliser des connecteurs plus complexes, comme des connecteurs
voteurs, conditionnels Ces connecteurs permettent de traduire des comportements particuliers quil est possible de
rencontrer dans certaines architectures. Au mme titre, une dimension temporelle peut tre ncessaire pour traduire
le comportement dun systme, pour cela il existe des connecteurs ET squentiel prenant en compte le squencement
des vnements, des connecteurs SPARE prenant en compte des lots de rechanges, etc. L'utilisation de ces
connecteurs peut conduire des modles dont la signification mathmatique est ambigu et est interprte
diffremment suivant les outils informatiques dans lesquels ils sont saisis. C'est pourquoi dans le cadre de cet article
seuls les modles boolens purs sont dvelopps.
Evnements de base, transfert et conditions
Il est possible de prendre en compte des vnements sur lesquels les informations sont insuffisantes pour les
dcomposer davantage ou encore qu'il n'est pas utile de dvelopper plus, ces vnements sont appels vnements
non dvelopps. Lors de la construction de gros arbre de dfaillance, il est pratique d'utiliser des portes de transfert,
permettant ainsi de rendre la lecture et la validation de l'arbre plus aise. Ces portes signalent que la suite de l'arbre
est dveloppe sur une autre page. Les vnements de bases sont les vnements les plus fins de l'arbre, il ne sera pas
possible de les dtailler davantage ; ils concernent la dfaillance (lectrique, mcanique, logiciel) d'un lment du
systme. L'apparition de certains vnements (de base ou autre) peut avoir une consquence certaines conditions.
Nous sommes donc conduits introduire dans l'arbre des conditions dont la ralisation conditionne l'enchanement.
Ces conditions interviennent dans la construction de l'arbre comme des vnements intermdiaires l'exception que
ces conditions ne sont plus dcomposes et deviennent donc de base.
Exemple
Cette section est vide, insuffisamment dtaille ou incomplte. Votre aide
[5]
est la bienvenue !
Nous cherchons tudier le probabilit de dbordement d'un rservoir.
Rsum des rgles importantes
Pour rsumer en quelques tapes la construction d'un arbre :
Partir de l'vnement redout (sommet de l'arbre)
Imaginer les vnements intermdiaires possibles expliquant l'vnement sommet
Considrer chaque vnement intermdiaire comme un nouvel vnement sommet
Imaginer les causes possibles de chaque vnement au niveau considr
Descendre progressivement dans l'arbre jusqu'aux vnements de base
Il est important de ne pas considrer immdiatement les vnements de base (panne d'un composant par exemple).
Symboles graphiques
Les symboles de base utiliss dans les arbres de dfaillance sont classs en plusieurs types :
vnements
Portes
Symboles de transfert.
Dans les logiciels permettant d'diter des arbres de dfaillance, on pourra constater des variations mineures.
Arbre de dfaillances
7
Symboles des vnements dans les arbres de dfaillances
Symbole Nom Description
vnement de
Base
vnement du plus bas niveau pour lequel la probabilit d'apparition ou d'information de fiabilit est
disponible.
vnement
maison
vnement qui doit se produire avec certitude lors de la production ou de la maintenance. On peut aussi le
dfinir comme un vnement non-probabilis, que l'on doit choisir de mettre 1 ou 0 avant tout traitement
de l'arbre. Ce type d'vnement permet d'avoir plusieurs variantes d'un arbre sur un seul dessin, en modifiant
la logique de l'arbre selon la valeur choisie par l'utilisateur.
vnement
non dvelopp
Le dveloppement de cet vnement n'est pas termin, soit parce que ses consquences sont ngligeables,
soit par manque d'information.
Symboles des portes dans les arbres de dfaillances
Symbole Nom Description Nombre
d'entres
OU (OR) L'vnement de sortie apparat si au moins un des vnements d'entres apparat. >1
ET (AND) L'vnement de sortie apparat si tous les vnements d'entres apparaissent. >1
NON (NOT) L'vnement de sortie apparat si l'vnement d'entre n'apparat pas. L'tat logique
de la sortie est l'inverse de celui d'entre.
=1
Arbre de dfaillances
8
OU Exclusif (XOR) L'vnement de sortie apparat si un seul vnement d'entre apparat. >1
VOTE
MAJORITAIRE
L'vnement de sortie apparat si au moins k vnements d'entres apparaissent
(k<n). | >1
Cette section est vide, insuffisamment dtaille ou incomplte. Votre aide
[5]
est la bienvenue !
Fondements mathmatiques
Modle boolen qualitatif
D'un point de vue mathmatique un arbre de dfaillances est dfini par un ensemble de fonctions boolennes
imbriques les unes dans les autres. La fonction de plus haut niveau est la fonction
correspondant lvnement redout. Toutes ces fonctions portent sur un ensemble de variables boolennes
regroupes dans le vecteur , les vnements de base. La valeur 1 de la variable signifie
que le composant dindice est dfaillant (et donc, la valeur 0 signifie quil est en bon fonctionnement).
Dans l'expression :
- est ce que l'on appelle une porte dont la nature dpend de la fonction (par exemple ET, OU, NON,
K/N, OU exclusif, etc.),
- reprsente l'ensemble des entres de de type vnement de base (c'est un sous-ensemble de ) ;
- reprsente l'ensemble des entres de type porte ; cest un sous-ensemble des fonctions , ne contenant
que des fonctions d'indice infrieur strictement (pour viter une dfinition circulaire).
Chacune des portes (ou fonctions intermdiaires) est le sommet d'un sous-arbre.
Voici par exemple un arbre de dfaillances dfini par 3 portes ET, 1 porte NON et 1 porte OU :
En liminant les fonctions intermdiaires , on trouve aisment la dfinition explicite de en fonction des ,
savoir :
Les principaux traitements que l'on peut faire partir de la fonction boolenne sont les suivants :
- L'numration des coupes minimales ou impliquants premiers (dfinitions donnes plus bas),
Arbre de dfaillances
9
- Le calcul de facteurs dimportance structurelle. Trs peu utiliss en pratique, ils visent donner des
indications du mme ordre que les facteurs dimportance calculs avec des probabilits, lorsque celles-ci ne
sont pas disponibles.
Une grande varit dalgorithmes permettant de faire ces traitements a t publie dans la littrature scientifique. Il
sagit dun sujet spcialis qui ne sera pas dvelopp ici.
Une proprit trs importante du point de vue pratique est ce qui est appel la cohrence dun arbre de dfaillances.
Dfinition : un arbre de dfaillances est cohrent si :
1 Il nexiste aucun tat du systme, tel qu partir de cet tat la dfaillance d'un composant (formellement, cela
correspond au passage de la valeur zro la valeur un pour la variable correspondante) peut rparer le
systme (formellement, cela correspond au passage de la valeur un la valeur zro pour la fonction ),
2 La fonction dpend effectivement de toutes les variables de .
La premire proprit ci-dessus quivaut la proprit duale suivante : il nexiste aucun tat du systme, tel qu
partir de cet tat la rparation d'un composant (formellement, cela correspond au passage de la valeur un la valeur
zro pour la variable correspondante) peut mettre le systme en panne (formellement, cela correspond au passage
de la valeur zro la valeur un pour la fonction ).
Une faon trs simple dassurer par construction la cohrence dun arbre de dfaillance est de le construire
uniquement avec des portes ET, OU, K/N. Cest ce qui est fait dans la grande majorit des applications pratiques des
arbres de dfaillances.
Lorsquun arbre de dfaillances est cohrent, sa fonction admet une reprsentation canonique qui scrit comme la
disjonction logique de ses coupes minimales.
Dfinition : une coupe dun arbre de dfaillances cohrent est un ensemble de dfaillances de composants tel que
lorsque ces dfaillances sont simultanment prsentes, lvnement sommet de larbre est ralis. Plus gnralement,
la notion de coupe est dfinie pour l'ensemble des systmes statiques.
Dfinition : une coupe minimale dun arbre de dfaillances cohrent est une coupe comportant un mombre
minimal d'vnements dfaillants. Autrement dit, ds quon enlve une dfaillance de la coupe, nimporte laquelle,
lensemble des dfaillances restantes ne suffit plus provoquer lvnement sommet. Une seconde proprit des
coupes minimales est qu'elles ne peuvent contenir aucune autre coupe. La cohrence du systme considr permet
alors de garantir que tout ensemble d'vnements de base contenant cette coupe minimale est galement une coupe.
L'ensemble des coupes minimales est suffisant pour reprsenter la dfaillance du systme, le calcul de cet ensemble
peut tre ralis par minimisation de la fonction .
La notion de coupe minimale admet une gnralisation appele impliquant premier pour les arbres non cohrents.
Cette notion tant peu utilise en pratique, elle nest pas dcrite ici.
Il est particulirement intressant de considrer le cardinal (on dit aussi : ordre) des coupes minimales, autrement dit
le nombre minimal dvnements lmentaires ncessaires produire lvnement sommet de larbre. En particulier
pour les systmes critiques, des rgles du type il faut la combinaison dau moins trois vnements indpendants
pour crer la situation dangereuse sont autant, voire plus oprationnelles que des exigences exprimes en
probabilits. Les coupes minimales ayant le plus petit cardinal dfinissent le nombre minimum dvnements dont
loccurrence simultane peut provoquer lvnement sommet ; dans un contexte de dfense en profondeur , cest le
nombre de barrires. Les coupes minimales dordre un reprsentent tous les vnements de base qui eux seuls
produisent lvnement indsirable.
Arbre de dfaillances
10
Quantification avec des probabilits fixes
La connaissance qualitative dfinie par peut ventuellement tre complte par une connaissance quantitative : la
donne, pour chaque , de la probabilit (ventuellement donne en fonction du temps : cf. paragraphe suivant)
que prenne la valeur 1. Disons tout de suite que ce qui fait la puissance des arbres de dfaillances, et, plus
gnralement des mthodes boolennes en sret de fonctionnement est l'hypothse d'indpendance globale des
. Les principaux traitements que l'on peut faire partir dun arbre de dfaillance muni de probabilits sont les
suivants :
- L'numration des coupes minimales ou impliquants premiers associs leurs probabilits. La possibilit de
les quantifier permet de ne lister que ceux dont la probabilit dpasse un certain seuil, ce qui est une faon
efficace de limiter lexplosion combinatoire laquelle peut conduire ce type de traitement ;
- Le calcul de la probabilit de l'vnement (qui s'identifie avec l'esprance mathmatique de ) ;
- Le calcul de divers facteurs d'importance associs aux vnements de base.
La description des algorithmes permettant de raliser les calculs sur de vrais modles, de grande taille, ne sera pas
aborde ici car cest un sujet trs technique et spcialis.
Les deux grandes catgories de mthodes consistent :
- trouver les coupes minimales et calculer une approximation de la probabilit de lvnement redout en
faisant la somme des probabilits des coupes (grce l'indpendance des vnements de base, la probabilit
d'une coupe se calcule simplement comme le produit des probabilits des vnements de base qui la
composent) : cette mthode nest utilisable que pour des arbres de dfaillance cohrents dont tous les
vnements de base sont de faible probabilit. Pour les cas complexes, on utilise une troncature sur la
probabilit des coupes minimales : on limine le plus tt possible dans lexploration celles de probabilit
infrieure un seuil que lon choisit de faon raliser un bon compromis entre prcision du calcul et
ressources ncessaires pour le raliser.
- partitionner lespace de tous les tats possibles (il y en a ) en les tats o et ceux o , et
sommer les probabilits des tats de la premire catgorie. En pratique, cela se fait avec la technique des BDD
(Binary Decision Diagram, ou diagramme de dcision binaire) qui permet de coder des ensembles dtats de
manire trs compacte sans les numrer explicitement. Cette mthode donne un rsultat exact quand
lnumration peut tre exhaustive.
Quantification avec des probabilits fonction du temps
En donnant la valeur 1 de la variable la signification le ime composant est dfaillant linstant t, on peut
raliser une srie de calculs de la probabilit de lvnement de tte de larbre des instants diffrents. Cest ainsi que
lon peut calculer lindisponibilit dun systme en fonction du temps. Par exemple, dans le cas trs courant o la
dure de vie (alatoire) dun composant (le temps avant sa dfaillance) est modlise par une loi exponentielle de
paramtre (Cf. Loi_exponentielle), la probabilit que ce composant soit dfaillant avant le temps de mission du
systme (temps pendant lequel loccurrence de la dfaillance peut se produire) est donne par :

(1)
Cette formule suppose le composant non rparable. Si au contraire il est rparable, et si on suppose que sa dure de
rparation suit une loi exponentielle de paramtre , alors sa probabilit dtre dfaillant linstant (autrement
dit son indisponibilit) est donne par la formule :
(2)
Arbre de dfaillances
11
En supposant que tous les composants du systme sont ainsi modliss, on voit quil est facile de calculer la
probabilit de dfaillance du systme complet linstant en deux temps : 1. calcul des probabilits de tous les
vnements de base linstant t laide des formules (1) ou (2) ci-dessus, 2. propagation de ces probabilits dans
larbre de dfaillance avec les mthodes voques dans la section prcdente pour calculer la probabilit de
dfaillance du systme linstant t, cest--dire son indisponibilit.
Plus gnralement, il existe tout un ensemble de formules analytiques permettant de calculer les probabilits de
dfaillance des composants en fonction du temps. Ces formules permettent de prendre en compte des hypothses
telles que la possibilit de rparer le composant, de le tester priodiquement, et aussi diffrents types de lois de
probabilit pour les dures de vie des composants. Par exemple, on utilise gnralement des lois de Weibull pour
modliser les dures de vie de composants soumis un phnomne de vieillissement.
Il est important de noter que la technique dcrite ci-dessus permet de faire seulement des calculs de disponibilit et
pas de fiabilit du systme. Toutefois, il se trouve que ces deux notions se confondent pour un systme cohrent dont
aucun composant nest rparable. Dans ce cas, que ce soit au niveau dun composant ou au niveau du systme tout
entier, toute panne est dfinitive, et la probabilit dtre en panne linstant t (indisponibilit) est gale la
probabilit dtre tomb en panne avant t (dfiabilit).
Lorsquon a affaire un systme comportant des composants rparables, un calcul de fiabilit reste possible, mais au
prix dune approximation. Le principe de ce calcul consiste estimer le taux de dfaillance du systme diffrents
instants compris entre 0 et t, puis calculer la fiabilit linstant t par la formule dintgration du taux de
dfaillance ci-dessous :
Lapproximation faite est double : dune part, dans lestimation du taux de dfaillance, pour lequel il nexiste pas de
formule exacte, et dautre part dans lintgration numrique de ce taux sur lintervalle [0, t].
Sensibilits, Facteurs dimportance
Les composants constitutifs d'un systme peuvent avoir une importance plus ou moins grande pour ce systme. Un
composant correspondant un point unique de dfaillance sera bien entendu plus important qu'un composant de
caractristiques quivalentes mais mis en parallle avec dautres composants. Sur un systme de trs petite taille,
lidentification de ces composants importants peut se faire par une simple lecture des coupes. Mais pour un systme
complexe et sr dont les coupes sont d'ordre lev, cette lecture est impossible. C'est pourquoi des facteurs
d'importance ont t introduits afin d'tablir une hirarchie des composants. L'importance d'un composant pouvant
varier suivant les objectifs recherchs, plusieurs facteurs d'importance ont t crs. Ci-aprs, voici cinq facteurs
dimportance parmi les plus utiliss ; leurs dfinition et signification exacte seront disponibles sur un article ddi
ce sujet.
- Birnbaum (aussi appel facteur dimportance marginal)
- Critique
- Diagnostic
- Facteur daugmentation de risque
- Facteur de diminution de risque
Attention, ces diffrents facteurs d'importance ne vont pas toujours dans le mme sens, il peut tre difficile
d'identifier formellement les composants amliorer (en les rendant plus fiables, mieux maintenus). C'est
pourquoi il est conseill de ne pas se fier un seul facteur d'importance.
Arbre de dfaillances
12
Avantages et limites
Avantages
L'analyse par arbre de dfaillance est la plus couramment utilise dans le cadre d'tudes de fiabilit, de disponibilit
ou de scurit des systmes. Elle prsente en effet un certain nombre d'avantages non ngligeables par rapport aux
autres mthodes, savoir :
1. 1. Son aspect graphique tout d'abord, caractristique particulirement importante, constitue un moyen efficace de
reprsentation de la logique de combinaison des dfaillances. Il participe largement la facilit de mise en uvre
de la mthode et la comprhension du modle. Ainsi, il est un excellent support de dialogue pour des quipes
pluridisciplinaires.
2. 2. Le processus de construction de l'arbre bas sur une mthode dductive permet l'analyste de se focaliser
uniquement sur les vnements contribuant l'apparition de l'vnement redout.
3. 3. Une fois la construction de l'arbre termine, deux modes d'exploitation sont possibles :
l'exploitation qualitative servant l'identification des combinaisons d'vnements critiques, la finalit tant de
dterminer les points faibles du systme;
l'exploitation quantitative permettant de hirarchiser ces combinaisons d'vnements suivant leur probabilit
d'apparition, et estimer la probabilit de l'vnement sommet, l'objectif in fine tant de disposer de critres
pour dterminer les priorits pour la prvention de l'vnement redout.
4. 4. Par opposition aux mthodes de simulation, l'approche analytique offerte par l'arbre de dfaillances a l'avantage
de pouvoir raliser des calculs rapides (avantage tout fait relatif au vu de l'volution permanente de
l'informatique) et exacts.
5. 5. La mthode permet d'estimer la probabilit non seulement de l'vnement redout, mais aussi celle des portes
intermdiaires, partir de celle des vnements de base. Il est galement possible de faire de la propagation
d'incertitudes sur les donnes d'entre, et du calcul de facteurs d'importance.
6. 6. La taille de l'arbre de dfaillance est proportionne la taille du systme tudi, et pas exponentielle en fonction
de cette taille.
Limites
L'utilisation de larbre de dfaillance devient inefficace ou difficilement applicable lorsque les caractristiques
suivantes apparaissent :
1. Dpendance entre les vnements
Les calculs de probabilit doccurrence effectus par le biais de larbre de dfaillance sont bass sur une
hypothse dindpendance des vnements de base entre eux. Par exemple, la probabilit dapparition dun
vnement de base ne peut pas dpendre de lapparition dautres vnements de base.
2. Notion dvnements temporiss
L'arbre de dfaillance ne rend pas compte de l'aspect temporel des vnements. Il ne peut donc considrer ni
les dpendances fonctionnelles, ni les tats passs. De plus, il ne permet pas de prendre en compte un ordre
impos dans lequel des vnements doivent se produire pour induire une dfaillance.
3. Systme dgrad
Larbre de dfaillance est binaire. Un vnement se produit ou ne se produit pas, mais aucune notion de
capacit ou defficacit ne peut intervenir. Par exemple, une vanne sera considre comme ouverte ou ferme,
mais sans pouvoir dterminer dtat intermdiaire.
4. Taille de larbre
La taille nest pas une limite en soi. Nanmoins ds qu'elle augmente de manire significative, larbre doit tre
divis en sous-arbres, et la lisibilit ainsi que la comprhension du modle deviennent alors plus difficiles.
Arbre de dfaillances
13
Arbres de dfaillance dynamiques
L'volution des systmes et l'amlioration de leur fiabilit a fait apparatre des processus de dfaillance dpendant du
temps (la dfaillance d'un sous-systme tant engendre par une squence de dfaillances des composants le
constituant) voire de l'tat des composants (certains composants pouvant tre dormants, car non sollicits, ou actifs,
la probabilit de dfaillance tant ds lors diffrente dans ces deux tats). De tels comportements de dfaillance ne
pouvant pas tre modliss l'aide des portes logiques dfinies initialement, de nouvelles portes, dites dynamiques,
ont t dfinies par les chercheurs dans ce but. Les portes logiques ont alors t qualifies de portes statiques, et les
arbres de dfaillance utilisant ces portes ont galement t qualifis d'arbres de dfaillance statiques (Static Fault
Trees, ou SFT, en anglais). Un arbre de dfaillance dynamique (Dynamic Fault Tree, ou DFT, en anglais) est, quant
lui, un arbre de dfaillance contenant des portes dynamiques et ventuellement des portes statiques.
Les portes dynamiques
Trois portes (ou familles de portes) dynamiques ont t introduites partir de 1976, chacune de ces portes tant
destine modliser un comportement dynamique bien spcifique.
La porte ET Prioritaire (Priority-AND, PAND en anglais)
La porte Priority-AND (PAND) a t introduite pour la premire fois dans
[6]
en tant que porte quivalente une
porte logique ET conditionne par squence d'occurrence de ses entres de la gauche vers la droite.
Notes et rfrences
[1] [1] Probabilistic Risk Analysis: Foundations and Methods Tim Bedford, Roger Cooke, Cambridge University Press, Cambridge, Royaume-Uni
2001.
[2] [2] Andr Lannoy : Matrise des risques et sret de fonctionnement - repres historiques et mthodologiques. Lavoisier 2008
[3] [3] Fault tree handbook, W. E. Vesely, F. F. Goldberg, N. H. Roberts, D.F. Haasl, NUREG report 0492, 1981.
[4] IEC 61025 Fault tree analysis et sa traduction franaise NF EN 61025 Analyse par arbre de pannes
[5] http:/ / fr. wikipedia. org/ w/ index. php?title=Arbre_de_d%C3%A9faillances& action=edit
[6] 13. J.B. Fussell, E.F. Aber et R.G. Rahl. On the Quantitative Analysis of Priority-AND Failure Logic. IEEE Transactions on Reliability, vol.
R-25, no. 5, p. 324 326, 1976.
Liens externes
IMdR (fiches mthodes) (http:/ / www. imdr. fr/ submitted/ document_site/ Fiches_methodes_FR_342. pdf)
Portail des technologies
Sources et contributeurs de larticle
14
Sources et contributeurs de larticle
Arbre de dfaillances Source: http://fr.wikipedia.org/w/index.php?oldid=103374675 Contributeurs: Ange Gabriel, Barbogogo, Cdang, Cham, ChrisJ, Cyrille Folleau, DG-IRAO, Dodo49,
Elnon, Et caetera, Ferindel, Gzen92, IMdR-SdF, Jacques Ballieu, Jarfe, Jean-Christophe BENOIST, Jules78120, M2OS, Markus3, Norbs, Once U, Pautard, Richardbl, Romanc19s, Speculos, T,
Tibo217, Utopies, Warp3, Woumy, Xiawi, 24 modifications anonymes
Source des images, licences et contributeurs
Fichier:Ex_arbre_de_dfaillances.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ex_arbre_de_dfaillances.png Licence: Public Domain Contributeurs: IMdR-SdF
File:FT-Base-Event.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:FT-Base-Event.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille
Folleau
File:FT-House-Event.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:FT-House-Event.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille
Folleau
File:FT-Not-Dev-Event.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:FT-Not-Dev-Event.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs:
User:Cyrille Folleau
File:Or-FT-gate.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Or-FT-gate.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille Folleau
File:And-FT-gate.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:And-FT-gate.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille Folleau
File:Not-FT-gate.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Not-FT-gate.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille Folleau
File:Xor-FT-gate.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Xor-FT-gate.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille Folleau
File:Koon-FT-gate.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Koon-FT-gate.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Cyrille Folleau
Fichier:Transmission.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Transmission.png Licence: inconnu Contributeurs: Original uploader was Krdan at it.wikipedia
Licence
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/

You might also like