Arbre de dfaillances Un arbre de dfaillances (aussi appel arbre de pannes ou arbre de fautes) est une technique dingnierie trs

utilise dans les tudes de scurit et de fiabilit des systmes statiques (un systme statique est un systme dont la dfaillance ne dpend pas de l'ordre de dfaillance de ses composants). Cette mthode consiste reprsenter graphiquement les combinaisons possibles dvnements qui permettent la ralisation dun vnement indsirable prdfini. Une telle reprsentation graphique met donc en vidence les relations de cause effet. Cette technique est complte par un traitement mathmatique qui permet la combinaison de dfaillances simples ainsi que de leur probabilit d'apparition. Elle permet ainsi de quantifier la probabilit d'occurrence d'un vnement indsirable, galement appel vnement redout . Gnralits Larbre de dfaillances (Fault Tree Analysis ou FTA en anglais) est une technique dingnierie trs utilise dans les tudes de scurit et de fiabilit des systmes. Cette mthode, aussi appele arbre de pannes ou arbre de fautes , consiste reprsenter graphiquement les combinaisons possibles dvnements qui permettent la ralisation dun vnement indsirable prdfini. Larbre de dfaillance est ainsi form de niveaux successifs dvnements qui sarticulent par lintermdiaire de portes logiques. En adoptant cette reprsentation et la logique dductive (allant des effets vers les causes) et boolenne qui lui est propre, il est possible de remonter deffets en causes de lvnement indsirable des vnements de base, indpendants entre eux et probabilisables . Lorsquil sagit dtudier la dfaillance dun systme, larbre de dfaillance sappuie sur une analyse dysfonctionnelle dun systme raliser pralablement : une Analyse des Modes de Dfaillance et de leurs Effets (AMDE). Cette mthode inductive (allant des causes vers les effets) apparat donc comme un pralable la construction dun arbre de dfaillance puisque les identifications des composants et de leurs modes de dfaillances sont gnralement utilises au dernier niveau dun arbre en tant quvnements de base. Larbre de dfaillance est certainement une des techniques dingnierie les plus rpandues, avec les diagrammes de fiabilit (qui reposent sur les mmes fondements mathmatiques) pour analyser la sret de fonctionnement dun systme mais dautres alternatives existent. Larbre de dfaillance et le diagramme de fiabilit sont des mthodes pratiques condition que les vnements de base soient faiblement dpendants. Dans le cas contraire, ces techniques deviennent caduques et il est ncessaire demployer une technique plus approprie reposant sur un modle dynamique comme un Processus de Markov. Les arbres de dfaillance sont utiliss dans l'ingnierie de sret des industries risques : arospatial, ferroviaire, nuclaire, naval, chimie Ils peuvent tre utiliss comme un outil dvaluation de la conception ; ils permettent didentifier les scnarios conduisant des accidents dans les phases amont du cycle de vie dun systme et peuvent viter des changements de conception dautant plus coteux quils sont tardifs. Ils peuvent aussi tre

utiliss comme un outil de diagnostic, prvoyant la ou les dfaillances des composants la ou les plus probables lors de la dfaillance dun systme. De nombreux ouvrages de sret de fonctionnement traitent de ce sujet. Historique Les arbres de dfaillances ont t invents lorigine par des ingnieurs, puis ils ont t formaliss par les mathmaticiens et les informaticiens ont dvelopp des logiciels pour les manipuler. L'analyse par arbre de dfaillance a t l'origine dveloppe en 1962 aux BELL Laboratories par H.A. Watson, sur une demande de lU.S. Air Force pour valuer le Systme de commande de Lancement du missile balistique intercontinental Minuteman. L'utilisation des arbres de dfaillance sest rpandue et sert souvent comme un outil d'analyse de la dfaillance dun systme des experts de fiabilit. Aprs la premire utilisation (missile Minuteman), Boeing et AVCO ont utilis les arbres de dfaillance pour lensemble du systme de Minuteman II en 1963 et 1964. Ce mode danalyse fit lobjet dune grande promotion lors du Symposium System Safety de 1965 Seattle patronn par Boeing et l'Universit de Washington. Boeing a commenc utiliser les arbres de dfaillance pour la conception d'avions civils vers 1966. En 1970, aux tats-Unis, la direction gnrale de l'aviation civile amricaine (FAA) a chang sa rglementation pour l'aviation de transport . Ce changement a conduit adopter des critres probabilistes d'chec pour les quipements et systmes avioniques et a men l'utilisation courante des arbres de dfaillance dans le domaine de l'aviation civile. Dans l'industrie du nuclaire civil, lU.S. Nuclear Regulatory Commission (NRC) a commenc utiliser l'valuation de risque probabiliste (PRA ou probabilistic risk assessment) via des mthodes incluant les arbres de dfaillance en 1975, notamment avec la publication du rapport Rasmussen (appel aussi WASH-1400). Ce rapport a t un jalon important dans le dveloppement des tudes probabilistes pour les centrales nuclaires car il a tabli une mthodologie d'identification et de quantification des scnarios susceptibles de conduire la fusion du cur d'une centrale, mthodologie dont les grands principes sont toujours en vigueur 40 ans aprs. En 1979, la suite de laccident de Three Mile Island la NRC a intensifi la recherche sur les PRA. Cela a finalement men la publication en 1981 du manuel sur les arbres de dfaillance connu sous le nom NRC Fault Tree Handbook (NUREG-0492) et lobligation de raliser des PRA pour les installations nuclaires sous lautorit de la NRC. Reprsentation Un arbre de dfaillance est gnralement prsent de haut en bas. La ligne la plus haute ne comporte que l'vnement dont on cherche dcrire comment il peut se produire.

Chaque ligne dtaille la ligne suprieure en prsentant la combinaison ou les combinaisons susceptibles de produire l'vnement de la ligne suprieure auquel elles sont rattaches. Ces relations sont reprsentes par des liens logiques, dont la plupart sont des ou et et ; on emploie gnralement le terme de porte OU et de porte ET . Mthodologie Dmarche et dfinitions Larbre de dfaillance est une mthode dductive, qui fournit une dmarche systmatique pour identifier les causes dun vnement unique intitul vnement redout. Le point de dpart de la construction de larbre est lvnement redout lui-mme (galement appel vnement sommet). Il est essentiel quil soit unique et bien identifi. partir de l, le principe est de dfinir des niveaux successifs dvnements tels que chacun est une consquence dun ou plusieurs vnements du niveau infrieur. La dmarche est la suivante : pour chaque vnement dun niveau donn, le but est didentifier lensemble des vnements immdiats ncessaires et suffisants sa ralisation. Des oprateurs logiques (ou portes) permettent de dfinir prcisment les liens entre les vnements des diffrents niveaux . Le processus dductif est poursuivi niveau par niveau jusqu ce que les spcialistes concerns ne jugent pas ncessaire de dcomposer des vnements en combinaisons dvnements de niveau infrieur, notamment parce quils disposent dune valeur de la probabilit doccurrence de lvnement analys. Ces vnements non dcomposs de larbre sont appels vnements lmentaires (ou vnements de base). Notons que : 1. Il est ncessaire que les vnements lmentaires soient indpendants entre eux. 2. Leur probabilit doccurrence doit pouvoir tre quantifie (condition ncessaire seulement dans le cas o larbre est destin in fine une analyse quantitative). 3. Contrairement lapproche inductive de lAMDE(C) (Analyse des modes de dfaillance, de leurs effets et de leur criticit) qui ne cible pas les consquences des dfaillances lmentaires, lapproche dductive de larbre de dfaillance permet de se focaliser exclusivement sur les dfaillances contribuant lvnement redout. Voici un exemple danalyse par Arbre de Dfaillance dun systme simple constitu dune ampoule fonctionnant sur batterie et dont la mise en action est commande laide dun bouton poussoir. vnement redout : Lampoule ne sallume pas. Premier niveau : vnements de niveau infrieur pouvant gnrer lvnement redout :

- Dfaillance au niveau du bouton poussoir; - Dfaillance des batteries A et B (redondance) ; - Dfaillance de lampoule. Second niveau : vnements pouvant tre lorigine de lindisponibilit du bouton poussoir : - Erreur de loprateur (pression trop forte sur le bouton) ; - Dgradation des fils au niveau de linterrupteur ; - Bloquage du mcanisme.

vnements pouvant tre lorigine de lindisponibilit d'une batterie : - Dcharge complte de la batterie.

vnements pouvant tre lorigine de la dfaillance de lampoule : - Agression mcanique de lampoule ; - Dfaillance de lampoule elle-mme.

Larbre de dfaillance correspondant cette analyse est le suivant : Exemple danalyse par Arbre de dfaillance dun systme simple : une lampe alimente par batterie La construction de larbre de dfaillance est une phase importante de la mthode car sa compltude conditionne celle de lanalyse qualitative et/ou quantitative qui sera ralise par la suite. Analyse qualitative : Larbre de dfaillance tant construit, deux types dexploitation qualitatifs peuvent tre raliss : 1. Lidentification des scnarios critiques susceptibles de conduire lvnement redout. Par lanalyse des diffrentes combinaisons de dfaillances menant lvnement sommet, lobjectif est ici didentifier les combinaisons les plus courtes appeles coupes minimales (cf. Fondements mathmatiques). 2. La mise en uvre dune procdure dallocation de barrires.

Ce deuxime type dexploitation qualitatif permet dallouer un certain nombre de barrires de scurit (techniques ou dutilisation) en fonction de la gravit de lvnement redout et des contraintes normatives ventuelles. Analyse quantitative : Une tude probabiliste peut avoir deux objectifs : 1. lvaluation rigoureuse de la probabilit doccurrence de lvnement redout ; 2. le tri des scnarios critiques (en partant coupes minimales de plus fortes probabilits). Ces calculs ne peuvent se concevoir que si chaque vnement lmentaire peut tre probabilis partir dune loi soigneusement paramtre et de la connaissance du temps de mission associ lvnement redout et/ou laide de donnes issues du retour dexprience. Identification de lvnement redout Lidentification de lvnement redout (galement appel vnement-sommet, vnement de tte ou encore racine) est absolument essentielle lefficacit et la pertinence de la mthode. Lvnement redout correspond le plus souvent un vnement catastrophique en termes humain, environnemental ou conomique. Il peut savrer ncessaire parfois de caractriser lvnement redout pour chacune des missions du systme tudi. Exemples dvnements redouts : - Non refroidissement de racteur nuclaire ; - Dfaillance catastrophique non rparable bord dun sous-marin immerg (lanalyse pourrait distinguer le cas dfaillance lors dune mission en milieu hostile du cas dfaillance lors dune opration de routine ) ; - Explosion dune capacit sous pression ; - Refus de dmarrage de pompes dapprovisionnement dun systme incendie, dune automobile ; - Dbordement dune cuve contenant un fluide extrmement nocif. Il existe plusieurs mthodes permettant de procder lidentification des vnements redouts. LAnalyse Prliminaire des Risques (APR), est utilise dans la plupart des industries. La mthode HAZOP, pour Hazard and Operability study, est plus particulirement adapte aux industries de procd comme la ptrochimie. Enfin, une Analyse des Modes de Dfaillance et de leurs Effets sur le systme (AMDE) peut galement savrer efficace. Examen du systme Lors d'une analyse fiabiliste d'un systme, il est toujours difficile de dlimiter prcisment les contours de l'tude. Lanalyste doit pour cela se poser un certain nombre de questions

incontournables du type : Quelles sont les intentions de l'analyse ? Quelles en sont les limites ? S'agit-il de matriser une prise de risque relative la scurit des personnes ou de comparer diffrents dispositifs ? L'objectif est-il de dmontrer la conformit des normes officielles et/ou des spcifications imposes par le client ? Avant d'entamer la construction de l'arbre de dfaillance proprement dite, les analystes chargs des tudes de scurit doivent acqurir au pralable une trs bonne connaissance de l'ensemble du systme et de sa fonction. Ils doivent s'appuyer pour cela sur l'exprience des ingnieurs et techniciens chargs des oprations sur le terrain. Il est galement ncessaire de dlimiter prcisment l'tude et ce diffrents niveaux : nature des vnements pris en compte, quipements impliqus ou non dans la fonction du systme, importance de l'environnement, etc. Afin d'tre complet et rigoureux, l'examen du systme doit couvrir obligatoirement chacun des thmes suivants : La description du systme (lments et sous-systmes inclus dans l'tude et lments exclus) ; La dfinition de la mission (spcifications du systme, phases des diverses missions, procdures de maintenance et de rparation, reconfigurations possibles) ; L'analyse de l'environnement ; L'identification des vnements prendre en compte : tendue donner l'tude (Par exemple : prise en compte ou non des typhons, des consquences des erreurs humaines, des problmes de transport de pices ou de personnel).

Construction de l'arbre Cette section dcrit la manire de construire l'arbre, cette construction est dtaille dans plusieurs normes industrielles dont la CEI 61025 Evnement sommet (vnement indsirable) La premire tape rside dans la dfinition de lvnement tudier, cet vnement est appel vnement sommet, vnement indsirable ou encore vnement redout. Cette tape est cruciale quant la valeur des conclusions qui seront tires de l'analyse. (voir la section identification). Il est important de dfinir l'vnement de faon explicite et prcise. L'arbre de dfaillance se veut tre une reprsentation synthtique, le libell de lvnement sommet devra tre court. Ce libell sera, en gnral, trop court pour dfinir prcisment l'vnement et lever les ambiguts. Il devra donc y avoir : un libell bref, mais aussi vocateur que possible dans la bote qui reprsente l'vnement sommet dans l'arbre, un texte complmentaire apportant toutes les prcisions utiles sur la dfinition de l'vnement.

Cette remarque est aussi valable pour tous les vnements qui vont figurer dans l'arbre. Evnements intermdiaires Lvnement sommet tant dfini, il convient de dcrire la combinaison d'vnements pouvant conduire cet vnement sommet. Les vnements intermdiaires sont donc des vnements moins globaux que l'vnement sommet. Une fois ces vnements dfinis, ils seront lis l'vnement sommet via un connecteur logique. Ces vnements intermdiaires peuvent tre, leur tour, redfinis par d'autres vnements intermdiaires plus dtaills. Connecteurs Logiques Les connecteurs logiques (ou portes logiques - voir Symboles graphiques) sont la liaison entre les diffrentes branches et/ou vnements. Les plus classiques sont ET et OU. Toutes les combinaisons logiques s'expriment avec ces deux connecteurs et la ngation logique qui exprime le contraire de l'vnement quelle affecte. Les connecteurs fonctionnent comme suit: OU : lvnement en sortie/suprieur survient si un, au moins, des vnements en entre/infrieur survient/est prsent ; ET : lvnement en sortie/suprieur survient seulement si tous les vnements en entre/infrieur surviennent/sont prsents ; K/N : c'est un vote majoritaire : l'vnement en sortie/suprieur survient si au moins K (c'est un entier qui sert paramtrer le comportement de la porte) parmi les N vnements en entre/infrieurs surviennent/sont prsents. Cette porte gnralise les deux prcdentes : une porte OU est une porte 1/N et une porte ET est une porte N/N.

L'utilisation exclusive des trois connecteurs ci-dessus permet de rester dans le cadre des arbres de dfaillance cohrents (cf. plus bas la dfinition de cette notion), et c'est en pratique ce qui est fait le plus souvent. Dans certaines situations, il est ncessaire d'introduire des non cohrences avec des connecteurs NON, OU exclusif (ralis si une et une seule de ses entres est ralise) etc. mais cela rend le traitement mathmatique plus complexe. Enfin, il peut tre pratique des fins descriptives dutiliser des connecteurs plus complexes, comme des connecteurs voteurs, conditionnels Ces connecteurs permettent de traduire des comportements particuliers quil est possible de rencontrer dans certaines architectures. Au mme titre, une dimension temporelle peut tre ncessaire pour traduire le comportement dun systme, pour cela il existe des connecteurs ET squentiel prenant en compte le squencement des vnements, des connecteurs SPARE prenant en compte des lots de rechanges, etc. L'utilisation de ces connecteurs peut conduire des modles dont la signification mathmatique est ambigu et est interprte diffremment suivant les outils informatiques

dans lesquels ils sont saisis. C'est pourquoi dans le cadre de cet article seuls les modles boolens purs sont dvelopps. Evnements de base, transfert et conditions Il est possible de prendre en compte des vnements sur lesquels les informations sont insuffisantes pour les dcomposer davantage ou encore qu'il n'est pas utile de dvelopper plus, ces vnements sont appels vnements non dvelopps. Lors de la construction de gros arbre de dfaillance, il est pratique d'utiliser des portes de transfert, permettant ainsi de rendre la lecture et la validation de l'arbre plus aise. Ces portes signalent que la suite de l'arbre est dveloppe sur une autre page. Les vnements de bases sont les vnements les plus fins de l'arbre, il ne sera pas possible de les dtailler davantage ; ils concernent la dfaillance (lectrique, mcanique, logiciel) d'un lment du systme. L'apparition de certains vnements (de base ou autre) peut avoir une consquence certaines conditions. Nous sommes donc conduits introduire dans l'arbre des conditions dont la ralisation conditionne l'enchanement. Ces conditions interviennent dans la construction de l'arbre comme des vnements intermdiaires l'exception que ces conditions ne sont plus dcomposes et deviennent donc de base . Exemple Cette section est vide, insuffisamment dtaille ou incomplte. Votre aide est la bienvenue ! Nous cherchons tudier le probabilit de dbordement d'un rservoir. Rsum des rgles importantes Pour rsumer en quelques tapes la construction d'un arbre : Partir de l'vnement redout (sommet de l'arbre) Imaginer les vnements intermdiaires possibles expliquant l'vnement sommet Considrer chaque vnement intermdiaire comme un nouvel vnement sommet Imaginer les causes possibles de chaque vnement au niveau considr Descendre progressivement dans l'arbre jusqu'aux vnements de base

Il est important de ne pas considrer immdiatement les vnements de base (panne d'un composant par exemple). Symboles graphiques Les symboles de base utiliss dans les arbres de dfaillance sont classs en plusieurs types : vnements

Portes Symboles de transfert.

Dans les logiciels permettant d'diter des arbres de dfaillance, on pourra constater des variations mineures. Symboles des vnements dans les arbres de dfaillances

Symbole

Nom

Description

vnement de Base vnement du plus bas niveau pour lequel la probabilit d'apparition ou d'information de fiabilit est disponible.

vnement maison vnement qui doit se produire avec certitude lors de la production ou de la maintenance. On peut aussi le dfinir comme un vnement non-probabilis, que l'on doit choisir de mettre 1 ou 0 avant tout traitement de l'arbre. Ce type d'vnement permet d'avoir plusieurs variantes d'un arbre sur un seul dessin, en modifiant la logique de l'arbre selon la valeur choisie par l'utilisateur.

vnement non dvelopp Le dveloppement de cet vnement n'est pas termin, soit parce que ses consquences sont ngligeables, soit par manque d'information. Symboles des portes dans les arbres de dfaillances

Symbole

Nom

Description

Nombre d'entres

OU (OR) vnements d'entres apparat.

L'vnement de sortie apparat si au moins un des >1

ET (AND) d'entres apparaissent.

L'vnement de sortie apparat si tous les vnements >1

NON (NOT) L'vnement de sortie apparat si l'vnement d'entre n'apparat pas. L'tat logique de la sortie est l'inverse de celui d'entre. =1

OU Exclusif (XOR) vnement d'entre apparat. >1

L'vnement de sortie apparat si un seul

VOTE MAJORITAIRE k vnements d'entres apparaissent (k<n). | >1

L'vnement de sortie apparat si au moins

Cette section est vide, insuffisamment dtaille ou incomplte. Votre aide est la bienvenue ! Fondements mathmatiques Modle boolen qualitatif D'un point de vue mathmatique un arbre de dfaillances est dfini par un ensemble de fonctions boolennes imbriques les unes dans les autres. La fonction de plus haut niveau est la fonction correspondant lvnement redout. Toutes ces fonctions portent sur un ensemble de variables boolennes regroupes dans le vecteur , les vnements de base. La valeur 1 de la variable signifie que le composant dindice est dfaillant (et donc, la valeur 0 signifie quil est en bon fonctionnement). Dans l'expression : - est ce que l'on appelle une porte dont la nature dpend de la fonction (par exemple ET, OU, NON, K/N, OU exclusif, etc.), - reprsente l'ensemble des entres de de type vnement de base (c'est un sous-ensemble de ) ; - reprsente l'ensemble des entres de type porte ; cest un sous-ensemble des fonctions , ne contenant que des fonctions d'indice infrieur strictement (pour viter une dfinition circulaire). Chacune des portes (ou fonctions intermdiaires) est le sommet d'un sous-arbre. Voici par exemple un arbre de dfaillances dfini par 3 portes ET, 1 porte NON et 1 porte OU : En liminant les fonctions intermdiaires , on trouve aisment la dfinition explicite de en fonction des , savoir :

Les principaux traitements que l'on peut faire partir de la fonction boolenne sont les suivants : - L'numration des coupes minimales ou impliquants premiers (dfinitions donnes plus bas), - Le calcul de facteurs dimportance structurelle. Trs peu utiliss en pratique, ils visent donner des indications du mme ordre que les facteurs dimportance calculs avec des probabilits, lorsque celles-ci ne sont pas disponibles. Une grande varit dalgorithmes permettant de faire ces traitements a t publie dans la littrature scientifique. Il sagit dun sujet spcialis qui ne sera pas dvelopp ici. Une proprit trs importante du point de vue pratique est ce qui est appel la cohrence dun arbre de dfaillances. Dfinition : un arbre de dfaillances est cohrent si : 1 Il nexiste aucun tat du systme, tel qu partir de cet tat la dfaillance d'un composant (formellement, cela correspond au passage de la valeur zro la valeur un pour la variable correspondante) peut rparer le systme (formellement, cela correspond au passage de la valeur un la valeur zro pour la fonction ), 2 La fonction dpend effectivement de toutes les variables de . La premire proprit ci-dessus quivaut la proprit duale suivante : il nexiste aucun tat du systme, tel qu partir de cet tat la rparation d'un composant (formellement, cela correspond au passage de la valeur un la valeur zro pour la variable correspondante) peut mettre le systme en panne (formellement, cela correspond au passage de la valeur zro la valeur un pour la fonction ). Une faon trs simple dassurer par construction la cohrence dun arbre de dfaillance est de le construire uniquement avec des portes ET, OU, K/N. Cest ce qui est fait dans la grande majorit des applications pratiques des arbres de dfaillances. Lorsquun arbre de dfaillances est cohrent, sa fonction admet une reprsentation canonique qui scrit comme la disjonction logique de ses coupes minimales. Dfinition : une coupe dun arbre de dfaillances cohrent est un ensemble de dfaillances de composants tel que lorsque ces dfaillances sont simultanment prsentes, lvnement sommet de larbre est ralis. Plus gnralement, la notion de coupe est dfinie pour l'ensemble des systmes statiques. Dfinition : une coupe minimale dun arbre de dfaillances cohrent est une coupe comportant un mombre minimal d'vnements dfaillants. Autrement dit, ds quon enlve une dfaillance de la coupe, nimporte laquelle, lensemble des dfaillances restantes ne suffit plus provoquer lvnement sommet. Une seconde proprit des coupes minimales est qu'elles ne peuvent contenir aucune autre coupe. La cohrence du systme considr permet

alors de garantir que tout ensemble d'vnements de base contenant cette coupe minimale est galement une coupe. L'ensemble des coupes minimales est suffisant pour reprsenter la dfaillance du systme, le calcul de cet ensemble peut tre ralis par minimisation de la fonction . La notion de coupe minimale admet une gnralisation appele impliquant premier pour les arbres non cohrents. Cette notion tant peu utilise en pratique, elle nest pas dcrite ici. Il est particulirement intressant de considrer le cardinal (on dit aussi : ordre) des coupes minimales, autrement dit le nombre minimal dvnements lmentaires ncessaires produire lvnement sommet de larbre. En particulier pour les systmes critiques, des rgles du type il faut la combinaison dau moins trois vnements indpendants pour crer la situation dangereuse sont autant, voire plus oprationnelles que des exigences exprimes en probabilits. Les coupes minimales ayant le plus petit cardinal dfinissent le nombre minimum dvnements dont loccurrence simultane peut provoquer lvnement sommet ; dans un contexte de dfense en profondeur , cest le nombre de barrires. Les coupes minimales dordre un reprsentent tous les vnements de base qui eux seuls produisent lvnement indsirable. Quantification avec des probabilits fixes La connaissance qualitative dfinie par peut ventuellement tre complte par une connaissance quantitative : la donne, pour chaque , de la probabilit (ventuellement donne en fonction du temps : cf. paragraphe suivant) que prenne la valeur 1. Disons tout de suite que ce qui fait la puissance des arbres de dfaillances, et, plus gnralement des mthodes boolennes en sret de fonctionnement est l'hypothse d'indpendance globale des . Les principaux traitements que l'on peut faire partir dun arbre de dfaillance muni de probabilits sont les suivants : - L'numration des coupes minimales ou impliquants premiers associs leurs probabilits. La possibilit de les quantifier permet de ne lister que ceux dont la probabilit dpasse un certain seuil, ce qui est une faon efficace de limiter lexplosion combinatoire laquelle peut conduire ce type de traitement ; - Le calcul de la probabilit de l'vnement (qui s'identifie avec l'esprance mathmatique de ) ; - Le calcul de divers facteurs d'importance associs aux vnements de base. La description des algorithmes permettant de raliser les calculs sur de vrais modles, de grande taille, ne sera pas aborde ici car cest un sujet trs technique et spcialis. Les deux grandes catgories de mthodes consistent : - trouver les coupes minimales et calculer une approximation de la probabilit de lvnement redout en faisant la somme des probabilits des coupes (grce l'indpendance des vnements de base, la probabilit d'une coupe se calcule simplement comme le produit des

probabilits des vnements de base qui la composent) : cette mthode nest utilisable que pour des arbres de dfaillance cohrents dont tous les vnements de base sont de faible probabilit. Pour les cas complexes, on utilise une troncature sur la probabilit des coupes minimales : on limine le plus tt possible dans lexploration celles de probabilit infrieure un seuil que lon choisit de faon raliser un bon compromis entre prcision du calcul et ressources ncessaires pour le raliser. - partitionner lespace de tous les tats possibles (il y en a ) en les tats o et ceux o , et sommer les probabilits des tats de la premire catgorie. En pratique, cela se fait avec la technique des BDD (Binary Decision Diagram, ou diagramme de dcision binaire) qui permet de coder des ensembles dtats de manire trs compacte sans les numrer explicitement. Cette mthode donne un rsultat exact quand lnumration peut tre exhaustive. Quantification avec des probabilits fonction du temps En donnant la valeur 1 de la variable la signification le ime composant est dfaillant linstant t, on peut raliser une srie de calculs de la probabilit de lvnement de tte de larbre des instants diffrents. Cest ainsi que lon peut calculer lindisponibilit dun systme en fonction du temps. Par exemple, dans le cas trs courant o la dure de vie (alatoire) dun composant (le temps avant sa dfaillance) est modlise par une loi exponentielle de paramtre (Cf. Loi_exponentielle), la probabilit que ce composant soit dfaillant avant le temps de mission du systme (temps pendant lequel loccurrence de la dfaillance peut se produire) est donne par : P = 1 - e^{-\lambda t} P \approx \lambda t, \lambda t < 0.1 (1)

Cette formule suppose le composant non rparable. Si au contraire il est rparable, et si on suppose que sa dure de rparation suit une loi exponentielle de paramtre , alors sa probabilit dtre dfaillant linstant (autrement dit son indisponibilit) est donne par la formule : \dfrac {\lambda_i}{(\lambda_i+\mu_i )}(1-e^{-(\lambda_i+\mu_i)t)}) (2)

En supposant que tous les composants du systme sont ainsi modliss, on voit quil est facile de calculer la probabilit de dfaillance du systme complet linstant en deux temps : 1. calcul des probabilits de tous les vnements de base linstant t laide des formules (1) ou (2) ci-dessus, 2. propagation de ces probabilits dans larbre de dfaillance avec les mthodes voques dans la section prcdente pour calculer la probabilit de dfaillance du systme linstant t, cest--dire son indisponibilit. Plus gnralement, il existe tout un ensemble de formules analytiques permettant de calculer les probabilits de dfaillance des composants en fonction du temps. Ces formules permettent de prendre en compte des hypothses telles que la possibilit de rparer le composant, de le tester priodiquement, et aussi diffrents types de lois de probabilit pour les dures de vie

des composants. Par exemple, on utilise gnralement des lois de Weibull pour modliser les dures de vie de composants soumis un phnomne de vieillissement. Il est important de noter que la technique dcrite ci-dessus permet de faire seulement des calculs de disponibilit et pas de fiabilit du systme. Toutefois, il se trouve que ces deux notions se confondent pour un systme cohrent dont aucun composant nest rparable. Dans ce cas, que ce soit au niveau dun composant ou au niveau du systme tout entier, toute panne est dfinitive, et la probabilit dtre en panne linstant t (indisponibilit) est gale la probabilit dtre tomb en panne avant t (dfiabilit). Lorsquon a affaire un systme comportant des composants rparables, un calcul de fiabilit reste possible, mais au prix dune approximation. Le principe de ce calcul consiste estimer le taux de dfaillance du systme diffrents instants compris entre 0 et t, puis calculer la fiabilit linstant t par la formule dintgration du taux de dfaillance ci-dessous : R(t)=e^{-\int_{0}^{t} {\lambda(u)du}} Lapproximation faite est double : dune part, dans lestimation du taux de dfaillance, pour lequel il nexiste pas de formule exacte, et dautre part dans lintgration numrique de ce taux sur lintervalle [0, t]. Sensibilits, Facteurs dimportance Les composants constitutifs d'un systme peuvent avoir une importance plus ou moins grande pour ce systme. Un composant correspondant un point unique de dfaillance sera bien entendu plus important qu'un composant de caractristiques quivalentes mais mis en parallle avec dautres composants. Sur un systme de trs petite taille, lidentification des ces composants importants peut se faire par une simple lecture des coupes. Mais pour un systme complexe et sr dont les coupes sont d'ordre lev, cette lecture est impossible. C'est pourquoi des facteurs d'importance ont t introduits afin d'tablir une hirarchie des composants. L'importance d'un composant pouvant varier suivant les objectifs recherchs, plusieurs facteurs d'importance ont t crs. Ci-aprs, voici cinq facteurs dimportance parmi les plus utiliss ; leurs dfinition et signification exacte seront disponibles sur un article ddi ce sujet. - Birnbaum (aussi appel facteur dimportance marginal) - Critique - Diagnostic - Facteur daugmentation de risque - Facteur de diminution de risque Attention, ces diffrents facteurs d'importance ne vont pas toujours dans le mme sens, il peut tre difficile d'identifier formellement les composants amliorer (en les rendant plus

fiables, mieux maintenus). C'est pourquoi il est conseill de ne pas se fier un seul facteur d'importance. Avantages et limites Avantages L'analyse par arbre de dfaillance est la plus couramment utilise dans le cadre d'tudes de fiabilit, de disponibilit ou de scurit des systmes. Elle prsente en effet un certain nombre d'avantages non ngligeables par rapport aux autres mthodes, savoir : Son aspect graphique tout d'abord, caractristique particulirement importante, constitue un moyen efficace de reprsentation de la logique de combinaison des dfaillances. Il participe largement la facilit de mise en uvre de la mthode et la comprhension du modle. Ainsi, il est un excellent support de dialogue pour des quipes pluridisciplinaires. Le processus de construction de l'arbre bas sur une mthode dductive permet l'analyste de se focaliser uniquement sur les vnements contribuant l'apparition de l'vnement redout. Une fois la construction de l'arbre termine, deux modes d'exploitation sont possibles : l'exploitation qualitative servant l'identification des combinaisons d'vnements critiques, la finalit tant de dterminer les points faibles du systme; l'exploitation quantitative permettant de hirarchiser ces combinaisons d'vnements suivant leur probabilit d'apparition, et estimer la probabilit de l'vnement sommet, l'objectif in fine tant de disposer de critres pour dterminer les priorits pour la prvention de l'vnement redout.

Par opposition aux mthodes de simulation, l'approche analytique offerte par l'arbre de dfaillances a l'avantage de pouvoir raliser des calculs rapides (avantage tout fait relatif au vu de l'volution permanente de l'informatique) et exacts. La mthode permet d'estimer la probabilit non seulement de l'vnement redout, mais aussi celle des portes intermdiaires, partir de celle des vnements de base. Il est galement possible de faire de la propagation d'incertitudes sur les donnes d'entre, et du calcul de facteurs d'importance. La taille de l'arbre de dfaillance est proportionne la taille du systme tudi, et pas exponentielle en fonction de cette taille. Limites L'utilisation de larbre de dfaillance devient inefficace ou difficilement applicable lorsque les caractristiques suivantes apparaissent : 1. Dpendance entre les vnements

Les calculs de probabilit doccurrence effectus par le biais de larbre de dfaillance sont bass sur une hypothse dindpendance des vnements de base entre eux. Par exemple, la probabilit dapparition dun vnement de base ne peut pas dpendre de lapparition dautres vnements de base. 2. Notion dvnements temporiss L'arbre de dfaillance ne rend pas compte de l'aspect temporel des vnements. Il ne peut donc considrer ni les dpendances fonctionnelles, ni les tats passs. De plus, il ne permet pas de prendre en compte un ordre impos dans lequel des vnements doivent se produire pour induire une dfaillance. 3. Systme dgrad Larbre de dfaillance est binaire. Un vnement se produit ou ne se produit pas, mais aucune notion de capacit ou defficacit ne peut intervenir. Par exemple, une vanne sera considre comme ouverte ou ferme, mais sans pouvoir dterminer dtat intermdiaire. 4. Taille de larbre La taille nest pas une limite en soi. Nanmoins ds qu'elle augmente de manire significative, larbre doit tre divis en sous-arbres, et la lisibilit ainsi que la comprhension du modle deviennent alors plus difficiles. Sret de fonctionnement La sret de fonctionnement (SdF) est, selon Alain Villemeur, l'aptitude d'une entit satisfaire une ou plusieurs fonctions requises dans des conditions donnes. Elle traduit la confiance qu'on peut accorder un systme, la sret de fonctionnement tant, selon la dfinition propose par Jean-Claude Laprie, la proprit qui permet aux utilisateurs du systme de placer une confiance justifie dans le service qu'il leur dlivre . Ou encore, selon Alain Villemeur, Au sens large, la sret de fonctionnement est considre comme la science des dfaillances et des pannes . La sret de fonctionnement peut donc dsigner plusieurs choses : L'aptitude d'une entit (organisation, systme, produit, moyen, etc.) d'une part, disposer de ses performances fonctionnelles (fiabilit, maintenabilit, disponibilit) et d'autre part, ne pas engendrer de risques majeurs (humains, environnementaux, financiers, etc.) (scurit) ; Les activits d'valuation de cette aptitude (tudes de sret de fonctionnement) ; L'ensemble du personnel charg de ces activits.

Composantes de la sret de fonctionnement

La sret de fonctionnement englobe principalement la fiabilit, la disponibilit, la maintenabilit et la scurit (qui forment le sigle FMDS ou parfois le sigle FDMS) mais aussi d'autres aptitudes telles que la durabilit, la testabilit... ou encore des combinaisons de ces aptitudes. Fiabilit La fiabilit est l'aptitude d'un composant ou d'un systme fonctionner pendant un intervalle de temps. Plus prcisment, la fiabilit est l'aptitude d'une entit accomplir une fonction requise, dans des conditions donnes, durant un intervalle de temps donn. Le terme fiabilit est galement utilis pour dsigner la valeur de la fiabilit et peut tre dfini comme une probabilit. C'est alors la probabilit pour quune entit puisse accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn. La notion de fiabilit est associe celle de taux de dfaillance. Maintenabilit Article dtaill : Maintenabilit. La maintenabilit est l'aptitude d'un composant ou d'un systme tre maintenu ou remis en tat de fonctionnement. Plus prcisment, la maintenabilit est, dans des conditions donnes d'utilisation, l'aptitude d'une entit tre maintenue ou rtablie dans un tat o elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnes, en utilisant des procdures et des moyens prescrits(la prise en considration de l'aptitude du systme de soutien maintenir ou remettre en tat l'entit est du domaine du soutien logistique intgr SLI). Le terme maintenabilit est galement utilis pour dsigner la valeur de la maintenabilit. C'est alors, pour une entit donne, utilise dans des conditions donnes dutilisation, la probabilit pour quune opration de maintenance active puisse tre effectue pendant un intervalle de temps donn, lorsque la maintenance est assure dans des conditions donnes et avec lutilisation de procdures et des moyens prescrits. Disponibilit Article dtaill : Disponibilit. La disponibilit est l'aptitude d'un composant ou d'un systme tre en tat de marche un instant donn. Plus prcisment, la disponibilit est l'aptitude dune entit tre en tat daccomplir une fonction requise dans des conditions donnes, un instant donn, en supposant que la fourniture des moyens ncessaires est assure.

Le terme disponibilit est galement utilis pour dsigner la valeur de la disponibilit et peut tre dfini comme une probabilit. C'est alors la probabilit pour quune entit puisse accomplir une fonction requise, dans des conditions donnes, un instant donn. Scurit La scurit est l'aptitude d'une entit ne pas conduire des accidents inacceptables. Plus prcisment, la scurit est l'aptitude d'un produit respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer une agression du personnel ou une dgradation majeure du produit ou de son environnement. Autres composantes La testabilit est l'aptitude d'une entit tre dclare dfaillante dans des limites de temps spcifies, selon des procdures prescrites et dans des conditions donnes. La durabilit est l'aptitude d'une entit accomplir une fonction requise dans des conditions donnes d'utilisation et de maintenance, jusqu' ce qu'un tat limite soit atteint. Relations entre les composantes La testabilit d'un composant contribue la maintenabilit de l'quipement qui le contient. La disponibilit d'un produit dpend de sa fiabilit et de sa maintenabilit. En effet, pour qu'un produit soit en tat de marche un instant donn, il faut, soit qu'il n'ait pas arrt de fonctionner (fiabilit), soit qu'il ait pu tre remis en tat de marche en cas de dfaillance (maintenabilit et mise en place des moyens de maintenance appropris). Selon les contextes, la disponibilit et la scurit peuvent tre des aptitudes compatibles ou antagonistes. Ainsi, si un produit ne dispose pas d'tat de repli sr en cas de panne (cas de l'avion en vol par exemple), la scurit est obtenue par une forte disponibilit. l'inverse, si l'tat de panne est plus sr que l'tat de fonctionnement (cas des transports terrestres, des systmes ferroviaires par exemple), un haut niveau de scurit peut entrainer une disponibilit mdiocre, un compromis entre scurit et disponibilit doit alors tre trouv. tudes de sret de fonctionnement La sret de fonctionnement porte sur lensemble du cycle de vie dun systme. Les tudes prvisionnelles de sret de fonctionnement regroupent les activits d'valuation de la fiabilit, de la maintenabilit, de la disponibilit et de la scurit d'une organisation, d'un systme, d'un produit ou d'un moyen en cours de dveloppement. Ces valuations permettent, par comparaison aux objectifs ou dans l'absolu, d'identifier les actions de construction (ou d'amlioration) de la sret de fonctionnement de l'entit. Les tudes de sret de fonctionnement peuvent tre utilises pour le soutien logistique intgr et peuvent contribuer l'valuation du cot du cycle de vie d'un produit. Les tudes oprationnelles de sret de fonctionnement concernent le suivi des performances d'un systme en exploitation. Elles permettent de sassurer que les performances annonces

sont tenues pendant lensemble de la vie oprationnelle du systme et de dtecter dventuels phnomnes de vieillissement susceptibles de les dgrader. Les tudes de sret de fonctionnement utilisent un ensemble d'outils et de mthodes qui permettent, dans toutes les phases de vie d'une entit, de s'assurer que celle-ci va accomplir ou accomplit les missions pour lesquelles elle a t conue, et ce dans des conditions de fiabilit, de maintenabilit, de disponibilit et de scurit prdfinies. Ces tudes consistent gnralement analyser les effets des pannes, dysfonctionnements, erreurs d'utilisation ou agressions de l'entit tudie. Analyse des modes de dfaillance, de leurs effets et de leur criticit L'Analyse des modes de dfaillance, de leurs effets et de leur criticit (AMDEC) est un outil de sret de fonctionnement (SdF) et de gestion de la qualit. AMDEC est la traduction de l'anglais FMECA (Failure Modes, Effects and Criticality Analysis, litt. analyse des modes, des effets et de la criticit des dfaillances ). L'AMDE (traduction de FMEA (Failure Modes and Effects Analysis) est la version non quantifie de l'AMDEC. L'AMDE est essentiellement une dmarche dductive, aussi exhaustive que possible, qui consiste dduire de la connaissance du systme les effets de toutes les dfaillances connues et de ses constituants (les dfaillances de chacun de ces constituants, si ceux-ci sont eux mmes constitus, seront les effets, dduits par la mme mthode, des dfaillances de leurs constituants ...).[rf. ncessaire] Il est possible de complter cette dmarche par : une recherche inductive (exhaustivit non garantie) des causes possibles des dfaillances (conomise la ralisation des AMDEC des constituants, au dtriment de l'exhaustivit) une recherche des dispositions existantes (contrles, prventifs ou non) en mesure de dtecter la cause avant qu'elle n'entrane la dfaillance ; une recherche des recommandations permettant de rduire ou de supprimer la cause ou son impact.

L'AMDEC ajoute l'AMDE une valuation de la criticit des modes de dfaillance permettant leur hirarchisation. Cette criticit peut tre : restreinte un seul indice tabli sur la gravit de l'effet selon une chelle de cotation dfinie pour le projet ; la multiplication de l'indice de gravit par l'indice d'occurrence de la cause ; la multiplication de l'indice de gravit par l'indice d'occurrence de la cause et par l'indice de dtection des contrles.

On se doit de fixer un seuil d'acceptabilit, au-dessus duquel toute criticit doit tre rduite, par un moyen dfinir (reprise de conception, plan de maintenance, action de surveillance, ). De telles analyses peuvent tre adaptes toute interrogation dans tout domaine. Elles peuvent servir de base, entre autres, aux analyses fiabilit, maintenabilit, disponibilit, qualit et testabilit. Le but est de hirarchiser les actions d'amlioration conduire sur un processus, un produit, un systme en travaillant par ordre de criticit dcroissante. Dmarche Pour garantir un rsultat acceptable, la ralisation d'une AMDEC doit avant tout s'inscrire dans une dmarche d'analyse du systme. En effet, celle-ci aura permis d'identifier les fonctions, les contraintes d'utilisation et d'environnement, les paramtres critiques mettre sous contrle et sur lesquels les analyses type AMDEC porteront. Ainsi le primtre sur lequel l'AMDEC doit tre ralise sera identifi. Une fois ce primtre tabli, on identifie de manire systmatique les modes de dfaillance potentiels. On peut se baser sur l'exprience acquise ou, selon les domaines, sur des rfrentiels dfinissant les modes de dfaillance type prendre en compte. Ensuite, on identifie pour chaque mode de dfaillance : sa (ses) cause(s) ; son indice de frquence (classe d'occurrence) ; ses effets ; son indice de gravit (classe de svrit) ; les mesures mises en place pour dtecter la dfaillance ; son indice de dtection (classe de probabilit de dtection). Le produit (indice de frquence) (indice de gravit) (indice de dtection) donne la criticit. Dans certaines applications, on utilise les probabilits au lieu des indices. On traitera en priorit les causes des modes de dfaillance prsentant les plus fortes criticits. valuation de la criticit

On utilise en gnral des grilles d'valuations adaptes au problme tudier. Les diffrents lments sont nots la plupart du temps de 1 10 (il ne faut jamais coter zro). Cependant, l'exprience peut amener certaines entreprises utiliser une notation de 1 5. titre d'exemple, voici 3 grilles de cotation gradues de 1 10 ; seuls trois niveaux sont prsents (1, 5 et 10).

Note F Gravit 10

Frquence ou probabilit d'apparition Note G Note D Probabilit de non-dtection Mort d'homme 10

Permanent 10 Aucune probabilit de dtection Frquent 5

5 matrielles infaillible

5 Consquences financires et/ou Un systme de dtection est en place mais n'est pas

1 Rare de dtection est infaillible

Pas grave

Le

systme

On value la criticit par le produit : C = F G D. Plus C est grand, plus le mode de dfaillance est critique. Il est galement possible d'valuer la criticit partir d'une matrice de criticit ; on ne fait alors intervenir que deux paramtres, F et G.

Niveau de Gravit Insignifiant Catastrophique Frquence Frquent Indsirable Inacceptable Inacceptable Probable Acceptable Inacceptable Occasionnel Acceptable Inacceptable Rare Ngligeable Indsirable Inacceptable Marginal Critique

Inacceptable

Indsirable

Indsirable

Acceptable

Indsirable

Indsirable

Improbable Acceptable Invraisemblable Ngligeable

Ngligeable

Ngligeable

Acceptable

Ngligeable

Ngligeable

Ngligeable

En fonction des utilisateurs de cet outil, les critres peuvent varier. En automobile, par exemple, le critre contrlabilit est utilis pour prendre en compte le fait que le conducteur puisse ou non maitriser son vhicule en cas de dfaillance. Types d'AMDEC Il existe (en 2010) cinq principaux types d'AMDEC : l'AMDEC fonctionnelle, permet, partir de l'analyse fonctionnelle (conception), de dterminer les modes de dfaillances ou causes amenant un vnement redout ; l'AMDEC produit, permet de vrifier la viabilit d'un produit dvelopp par rapport aux exigences du client ou de l'application ; l'AMDEC process, permet d'identifier les risques potentiels lis un procd de fabrication conduisant des produits non conformes ou des pertes de cadence ; l'AMDEC moyen de production, permet d'anticiper les risques lis au non fonctionnement ou au fonctionnement anormal d'un quipement, d'une machine ; l'AMDEC flux, permet d'anticiper les risques lis aux ruptures de flux matire ou d'informations, les dlais de raction ou de correction, les cots inhrents au retour la normale.

Chacun de ces types d'AMDEC donne en sortie un document de travail incontournable pour la suite du dveloppement, par exemple : pour l'AMDEC produit, un plan de fiabilisation ; pour l'AMDEC process, un plan de surveillance, contrle qualit ; pour l'AMDEC moyen, une gamme de maintenance prventive ; pour l'AMDEC flux, le plan de scurisation ainsi que les stocks et dlais de scurit.

Format d'AMDEC Pour raliser une AMDEC, on utilise un tableau qui comporte les colonnes suivantes : composant ou sous-ensemble,

modes potentiels de dfaillance, causes possibles de chaque mode de dfaillance, effets de chaque mode de dfaillance sur le systme, indice de frquence, indice de gravit, indice de dtectabilit, criticit actuelle, actions recommandes et/ou remarques (suggestions ventuelles, etc.).

Suivant le niveau de criticit atteint, certaines actions d'amlioration sont ncessaires. Pour juger de leur impact, il faut refaire une cotation pour diminuer ainsi la criticit jusqu' un niveau acceptable. Certains prconisent de chiffrer la criticit vise aprs action. Secteurs d'activit utilisant l'AMDEC L'AMDEC est trs utilise dans le secteur de l'automobile, de l'aronautique, du ferroviaire et du matriel mdical, tout au long du processus de conception, dveloppement et exploitation. Une mthode drive de l'AMDEC est aussi utilise dans les industries agro-alimentaire, chimique et pharmaceutique : le HACCP. Cette mthode s'intresse plus particulirement la fabrication et s'apparente l'AMDEC process. Depuis la mise en place de la nouvelle directive ATEX, les fabricants de machines utilises en atmosphre explosible doivent obligatoirement raliser un AMDEC ATEX, qui permettra d'identifier les risques d'chauffement ou d'tincelles, quelle que soit leur origine. Dans les nouvelles mthodologies de la fiabilit, l'AMDEC est aussi employ pour dterminer les contributions intrinsques et extrinsques des divers mcanismes de dfaillances. partir de cette analyse, les paramtres importants pour la comprhension des dgradations survenues lors de la qualification ou du retour oprationnel du systme lectronique ou optolectronique permettent d'effectuer le suivi du systme amlior lors d'un nouveau test d'endurance. Limitations de l'AMDEC Si l'AMDEC est un outil trs intressant pour la sret de fonctionnement, elle ne permet pas cependant d'avoir une vision croise des pannes possibles et de leurs consquences : deux pannes surviennent en mme temps sur deux sous-systmes, quelle est la consquence sur le systme tout entier ? Dans ce cas, des tudes complmentaires sont ncessaires, par arbres de dfaillances ou blocs diagrammes de fiabilit notamment.

Par exemple, dans l'aronautique, les accidents d'avions sont trs rarement lis une seule dfaillance ; ils rsultent gnralement de plusieurs dfaillances techniques ou organisationnelles qui se manifestent simultanment. L'AMDEC ne permet pas de tenir compte des phnomnes dynamiques. La qualit d'une AMDEC est lie l'exhaustivit des modes de dfaillance identifis. Celle-ci est fortement dpendante de l'exprience des auteurs de l'tude. De plus, l'outil AMDEC ne doit pas devenir une fin en soi. Les actions prconises doivent tre mises en uvre et un suivi de leur efficacit doit tre assur. Analyse prliminaire des risques Gnralits Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995) : Lanalyse prliminaire des risques (APR) est une technique didentification et danalyse de la frquence du danger qui peut tre utilise lors des phases amont de la conception pour identifier les dangers et valuer leur criticit . Objectifs de l'APR L'analyse prliminaire des risques (APR) est une mthode d'identification et d'valuation des risques au stade initial de la conception d'un systme. partir de l'ensemble des dangers auxquels le systme est susceptible d'tre expos tout au long de sa mission, l'APR a pour objectif : l'identification, l'valuation, la hirarchisation et la matrise des risques qui en rsultent. Elle peut tre aussi utilise avec profit pendant toute la dure de vie de ce systme. LAPR dun systme couvre lidentification : des incertitudes sur sa mission ; des dangers auxquels il peut tre confront ; des situations dangereuses dans lesquelles il peut se retrouver volontairement ou son insu ; des scnarios conduisant des vnements redouts ; des consquences sur le systme et son environnement; des traitements de matrise des risques.

Les domaines d'applications sont nombreux, et l'APR peut tre ralise sur toute activit industrielle, militaire, financire, sanitaire, environnementale, quelque niveau que ce soit (mission, systme, composants, etc). Dveloppements rcents

L'APR a t dveloppe aux tats-Unis au dbut des annes 1960 dans les domaines aronautique et militaire. Des dveloppements mthodologiques rcents ont abouti, sur la base de l'APR, l'Analyse Globale des Risques (AGR) et l'Analyse Globale des Risques Probabiliss (AGRQ), pour gnraliser l'APR tout type de systme (activit, mission, processus, organisation, matriel, logiciel....) et pendant toute sa dure de vie depuis la phase de conception. Dans cette optique, les lments suivants ont t introduits : la formalisation de la structure du systme la formalisation et l'laboration de la cartographie des dangers la formalisation de la cartographie des situations dangereuses partir de lvaluation de l'importance des interactions entre dangers et lments vulnrables du systme afin de dfinir les priorits d'analyse ultrieure l'chelle d'effort, les valeurs de cots associs et leur exploitation les paramtres des risques rsiduels la formalisation de la structure de l'AGR et de l'AGRQ la construction de la cartographie des risques initiaux et rsiduels suivant le danger ou le systme (diagramme de Kiviat, diagramme de Farmer et diagramme de Farmer) la dfinition du format des cartographies globales des risques initiaux et rsiduels par situation dangereuse l'valuation des rapports cot ou bnfice/risque les allocations prliminaires de scurit intgrant la criticit et la complexit des lments du systme les formats des fiches du plan d'actions de rduction des risques et du catalogue des paramtres de scurit

La mthologie APR mise jour est prsente dans Desroches, Baudrin et Dadoun et est conforme la dmarche de management global des risques de la norme ISO 31000. Ouvrages Desroches A., Baudrin D., Dadoun M., LAnalyse Prliminaire des risques- principes et pratiques, Ed Hermes science, 2009 Desroches A., Leroy A., Quaranta J-F., Valle F., Dictionnaire danalyse et de gestion des risques, Ed Hermes science, 2005

Mohamed-Habib Mazouni, Pour une meilleure approche du management des risques: de la modlisation ontologique du processus accidentel au Systme Interactif d'Aide la Dcision, CRAN-INPL-Nancy / ESTAS-INRETS-Arcueil, coll. Mmoire de Thse de doctorat , 13 novembre 2008, 217 p. Analyse des dangers et points critiques pour leur matrise Le systme d'analyse des dangers - points critiques pour leur matrise, en abrg systme HACCP (Hazard Analysis Critical Control Point), est une mthode de matrise de la scurit sanitaire des denres alimentaires labore aux tats-Unis d'Amrique par un laboratoire dpendant de la NASA avec le concours de la firme Pillsbury ds 1959 dont l'objectif est la prvention, l'limination ou la rduction un niveau acceptable de tout danger biologique, chimique et physique. Pour ce faire, la dmarche consiste en une analyse des dangers permettant la mise en place de points critiques o il est possible de les matriser. labor par des experts grce une collaboration internationale au fil des ans, l'HACCP est un bon exemple de rfrentiel qui s'est dvelopp ct des tats et des administrations rglementaires qui l'ont ensuite adopt. De fait, cet outil qui est devenu un standard ou plus prcisment une norme-concept, et non pas une norme au sens franais du terme, est dsormais impos par les diffrents rglements des autorits europennes pour l'hygine des aliments notamment par le rglement 178/2002. Le systme HACCP avait t introduit dans l'Union europenne ds 1993 par la directive 93/43/CE relative l'hygine des denres alimentaires. Les sept principes du systme HACCP La mthode HACCP repose sur les principes suivants : identifier, valuer et dcrire des mesures de matrise. Principe 1 : procder une analyse des dangers. Principe 2 : dterminer les points critiques pour la matrise (CCP : Critical Control Point). Principe 3 : fixer le ou les seuil(s) critiques(s). Principe 4 : mettre en place un systme de surveillance des mesures de matrise des dangers aux CCP. Principe 5 : dterminer les actions correctives mettre en uvre lorsque la surveillance rvle qu'une mesure de matrise un CCP donn est dfaillante. Principe 6 : appliquer des procdures de vrification afin de confirmer que le systme HACCP fonctionne efficacement. Principe 7 : constituer un dossier dans lequel figurent toutes les procdures et tous les relevs concernant ces principes et leur mise en application (traabilit).

La mthode HACCP permet une certaine vigilance en identifiant des tapes o il existe un danger de contamination. Conditions pralables de mise en place La mise en place de l'HACCP doit tre prpare. Tout d'abord la direction doit s'engager et fixer des objectifs atteindre. Il s'agit de transmettre sa politique en matire de scurit des aliments l'ensemble du personnel de l'entreprise. Une quipe HACCP doit tre pluridisciplinaire et comptente pour laborer un plan HACCP afin de prendre en compte tous les aspects de la fabrication et bnficier de retours d'exprience. Avant de procder l'analyse HACCP elle-mme, il faut mettre en place et dvelopper un plan de bonnes pratiques d'hygine (BPH) relatif au secteur alimentaire concern en conformit avec les textes rglementaires europens selon le Paquet Hygine, et en utilisant les "Guides de bonnes pratique d'hygine et d'application des principes HACCP" rdigs par les professionnels. Il est ncessaire de matriser convenablement les BPH avant d'aller plus loin dans la dmarche et cela est loin d'tre gagn dans bon nombre d'entreprises. En effet, les BPH sont le plus souvent bien crites voire affiches mais pas toujours suivies sur le terrain. Dans la norme NF EN ISO 22000, les BPH sont appeles PRP, programmes prrequis. En fait les BPH sont les racines de HACCP. Un document en franais de lASEAN sur la mise en uvre par les petites et moyennes entreprises est dsormais accessible sur le site europen ec.europa.eu Une norme franaise parue en aot 2008 NF V01-006 expose et explique la place de l'HACCP et l'application de ses principes au sein d'un systme de management de la scurit des aliments. Elle est destine aux professionnels de la chane alimentaire, notamment les trs petites entreprises (TPE) et les petites et les moyennes entreprises (PME). Mise en place Des diagrammes de fabrication doivent tre raliss en prenant en compte notamment les tapes de recyclage, les entres et les sorties de matires, les diffrents fluides, les emballages ainsi que les mesures de matrise existantes. Le ou les diagrammes de fabrication doivent tre vrifis sur le site de production en concertation avec l'quipe de la production (responsable, chefs d'quipe, oprateurs). L'analyse des dangers consiste (1) identifier les dangers (physiques, chimiques et microbiologiques)au cours des diffrentes tapes de fabrication, (2) valuer la frquence d'apparition et la gravit de ces dangers (potentiels ou significatifs), et 3) mettre en place des mesures de matrise (Principe 1). Depuis 2005, la norme ISO 22000 propose un systme de management de la scurit des aliments qui respecte l'ensemble des exigences lgislatives en vigueur lies la scurit des denres alimentaires (le Paquet Hygine), en mariant l'approche bien connue des normes sur le management de la qualit (ISO 9000:2000) avec les normes du Codex alimentarius sur les BPH et l'HACCP. Risque de confusion L'HACCP n'est pas une limination de tout danger, une application du risque zro ou du principe de prcaution. Il s'agit de la matrise des dangers identifis si possible ds la source

par la prvention en s'appuyant sur des CCP. Il ne s'agit donc pas de faire de l'hygine partout et pour tout mais de s'appuyer sur des points critiques o des mesures de matrise sont appliques. l'instar des systmes qualit, il est habituel de voir les responsables qualit avoir la gestion de l'HACCP. En fait, l'HACCP doit tre avant tout la proccupation de la production. De nombreuses entreprises ont gnralement une documentation bien faite mais qu'en est-il sur le terrain ? En effet, sur le terrain, on observe les pratiques, les us et les coutumes de la production, et souvent l'on constate que les pratiques actuelles de la production ne sont pas tout fait en accord avec les procdures prtablies. Les BPH sont bien les pralables (un prrequis) indispensables l'HACCP. Cot Les textes europens, de plus en plus stricts sur l'hygine des denres alimentaires, imposent des frais que de nombreux petits producteurs sont incapables d'assumer. Consciente de cet aspect, l'Union europenne a rvis certains points du Rglement 852/CE eur-lex.europa.eu dont l'HACCP en raison du cot lev de sa mise en uvre pour les PE et PME. Les fondamentaux de l'hygine seraient sans doute suffisants pour certaines de ces entreprises. Une norme d'hygine utilise pour transporter sans danger des produits sur toute la plante et jusque sur la Lune est-elle applicable un petit producteur qui vend du fromage sur un march local ? . Pour cela, depuis le premier janvier 2006, la notion de drogation d'agrment est entrin sur le plan europen car on prend en compte dsormais lactivit marginale, localise et restreinte Logiciels Skill HACCP Pro, est un logiciel spcialis dans la mise en place des tudes HACCP pour les procds de fabrication agroalimentaire. Conforme IFS - BRC - ISO 22000, cet outil garantit le respect des tapes du Codex alimentarius, cre automatiquement tous les documents normaliss, assure la matrise / analyse multi-dangers des CCP / PRP / PRPO. Portal 5 est un logiciel spcialis dans la gestion quotidienne du systme HACCP / GFSI. Conforme aux exigences du PASA, SQF, BRC, IFS et du FSSC 20000, ce logiciel permet lquipe HACCP de planifier, organiser, excuter, vrifier, retracer et visualiser toutes les tches et surveillances de son systme HACCP. Cela dans un seul et mme environnement informatis. De plus, ce logiciel est compatible avec une version mobile (PortalTouch) sur tablette IPad directement connecte pour les oprations ncessitant une entre de donnes sur place directement dans le logiciel. La Suite Qualit de la socit PBCSoft possde un module (EvalCCP) qui permet de rpondre de faon transversale aux exigences des rfrentiels IFS, BRC et de la norme ISO 22 000. Annexes Bibliographie

De l'HACCP l'ISO 22000 - Management de la scurit des aliments (Olivier Boutou AFNOR - 2008). Cet ouvrage permet de comprendre les exigences de la norme ISO 22000 et notamment la nouvelle approche de l'HACCP. Certification ISO 22000 - Les 8 cls de la russite (Olivier Boutou - AFNOR - 2010). Cet ouvrage propose une mthode simple et efficace de construction d'un systme de management de la scurit des aliments. De nombreux exemples issus d'entreprises intervenant dans la chane alimentaire sont proposs pour chacune des cls abordes (Graham Packaging, Veuve Clicquot Ponsardin, Lesieur, Cofidou, Codico entre autres). ISO 22000, HACCP et scurit des aliments - Recommandations, outils, FAQ et retours de terrain Didier Blanc, AFNOR 2009 (1re dition 2005)- Recommandations, outils, FAQ et retours du terrain synthtise les bonnes pratiques en matire de scurit sanitaire des aliments, prcise les exigences de la norme ISO 22000 et illustre ces principes par des exemples concrets. Il est bas sur les rponses aux questions les plus frquemment poses (FAQ) par des oprateurs ou des auditeurs depuis la publication de la norme, et sur des outils dvelopps et mis disposition depuis plus de 20 ans par Didier Blanc. Applications of BioChemiLuminescence to HACCP - D.Champiat, N.Matas, B.Montfort, H.Fraass - Luminescence 2001; 16:193-198. Using Bioluminescence Biosensors for Hazard Analysis and Critical Control Point (HACCP) in wastewater control - C.Valat, D.Champiat, J.R.Degorge-Dumas,O.Thomas Water Science and Technology 2003 vol 49 n1 pp 131-138.