AMDEC (ANALYSE DE MODES DE DÉFAILLANCE, DE LEURS EFFETS COMBINÉS ET DE LEUR CRITICITÉ)

Description de l'AMDEC

Une analyse de modes de défaillance, de leurs effets combinés et de leur criticité (AMDEC) produit une liste des modes de défaillance de l’équipement et de leurs effets sur un système. Le mode de défaillance décrit comment l’équipement se brise (ouvert, fermé, on, off, fuites, etc.). La conséquence du mode de bris est déterminée par la réponse du système au bris de l’équipement. Une AMDEC identifie les modes singuliers de bris qui causent ou contribuent de façon significative à un accident. Les erreurs humaines ne sont pas habituellement examinées directement lors d’une AMDEC; cependant les effets d’une mauvaise opération à la suite d'une erreur humaine sont habituellement répertoriés par un mode de bris de l’équipement. Une AMDEC n’est pas un mode d’analyse efficace pour identifier les combinaisons de bris de plusieurs équipements qui pourraient conduire à un événement dangereux.

Objectifs de l'AMDEC

Le but d’une AMDEC est d’identifier les effets des modes de bris d’équipement, de système ou d’usine. Cette analyse produit généralement des recommandations qui conduisent à une amélioration de la fiabilité de l’équipement.

L’AMDEC joue un rôle essentiel dans un programme d’assurance fiabilité. Cette méthode peut s’appliquer à un large éventail de problèmes survenant dans les systèmes techniques. Elle peut être plus ou moins approfondies ou modifiées en fonction du but à atteindre. Cette analyse, qui est peu utilisée pendant les phases d’étude, de planification et de définition, est largement employée au cours de la conception et de la mise en œuvre. Il faut, toutefois, rappeler que l’AMDEC n’est qu’une étape du programme de fiabilité et de maintenabilité qui requiert d’effectuer de multiples tâches dans des domaines variés. L’AMDEC est une méthode inductive qui permet de réaliser une analyse qualitative de la fiabilité d’un système depuis un niveau bas jusqu’à un niveau élevé.

Application de l'AMDEC

L’AMDEC sert, entre autres fins, à :

• Évaluer les effets et la séquence des événements provoqués par chaque mode connu de défaillance d’un dispositif – quelle qu’en soit l’origine – et ce, aux divers niveaux fonctionnels du système.
• Déterminer l’importance ou la criticité de chaque mode de défaillance compte tenu de son influence sur le fonctionnement normal du système ou sur son niveau de performance et à en évaluer l’impact sur la fiabilité ou sur la sécurité du processus considéré.
• Classer les modes de défaillance connus suivant la facilité avec laquelle il est possible de les détecter, de les diagnostiquer, de les simuler, de changer une composante et suivant les moyens mis en œuvre pour y faire face et maintenir le système en état de marche. Une échelle de capacité de détection des défaillances peut être produite.
• Établir des échelles de signification et de probabilité de défaillance, à condition de pouvoir disposer des informations nécessaires.

L’AMDEC est une méthode essentiellement adaptée à l’étude des défaillances des matériaux et des équipements. Elle s’applique à des systèmes de divers types (électriques, mécaniques, hydrauliques, etc.), ou à des systèmes alliant plusieurs types. L’AMDEC peut également être utilisée pour les études de logiciels et les études de l’action humaine.

Voici quelques exemples d’objectifs des applications de l’AMDEC :

• Définir les défaillances qui, lorsqu’elles se produisent seules, ont des effets inacceptables ou importants, et rechercher les modes de défaillance qui peuvent avoir des conséquences graves sur le fonctionnement désiré ou exigé. Les défaillances secondaires sont comptées parmi ces effets.
• Déterminer s’il est nécessaire :
  • de prévoir des redondances;
  • de perfectionner la conception de façon à augmenter la probabilité des conséquences « sûres » des défaillances;
  • de surdimensionner le matériel et/ou simplifier la conception.
• Déterminer s’il faut changer de matériaux, de pièces, de dispositifs ou de composantes.
• Mettre en évidence les défaillances aux conséquences graves et, partant, déterminer s’il est nécessaire de revoir et de modifier la conception.
• Préparer le modèle logique qui permettra de calculer les probabilités de conditions anormales de fonctionnement du système.
• Trouver tout ce qui peut présenter un risque ou soulever un problème de responsabilité juridique et découvrir toutes les violations possibles de la réglementation.
• S’assurer que le programme d’essais peut mettre en évidence les modes de défaillance potentiels.
• Établir les cycles d’utilisation qui peuvent prévoir et éviter les défaillances dues à l’usure.
• Insister sur les éléments clefs qui devront être soumis à des contrôles de qualité, à des inspections et à des vérifications des procédés de fabrication.
• Éviter des modifications coûteuses en détectant le plus tôt possible les faiblesses de la conception.
• Établir les besoins relatifs à l’enregistrement de données et à la surveillance pendant les essais, les vérifications et l’exploitation; obtenir des informations qui permettront de définir les dispositions relatives à l’entretien préventif et aux réparations, de rédiger des manuels de dépannage, de réaliser un appareillage d’essai intégré et de préciser les points qui doivent faire l’objet d’essais.
• Faciliter l’établissement de critères et de programmes d’essais, de méthodes de diagnostic de panne, par exemple, la vérification du fonctionnement et l’essai de fiabilité.
• Recenser les circuits qui nécessitent une analyse des cas les plus défavorables (cette analyse est souvent nécessaire pour les modes de défaillance qui impliquent une dérive des paramètres).
• Faciliter la tâche des opérateurs en concevant, par exemple, des processus permettant d’isoler les pannes et prévoyant des modes de fonctionnement de remplacement et des changements de la configuration de fonctionnement.
• Faciliter les échanges entre :
  • ingénieur.e.s « généralistes » et « spécialistes »;
  • fabricant de matériel et fournisseurs;
  • utilisateur du système et concepteur ou fabricant.
• Permettre à l’analyste de mieux connaître et de mieux comprendre le comportement du matériel étudié.
• Mettre au point une méthode systématique et rigoureuse pour étudier les installations dans lesquelles est situé le système.

Principe de l'AMDEC

Notions

L’AMDEC repose sur :

• la notion de décomposition du système en « éléments »
• les représentations graphiques de la structure fonctionnelle du système et le recensement des diverses données nécessaires à la réalisation de cette AMDEC
• la notion de mode de défaillance
• la notion de criticité (si cette analyse est requise)

Définition de la structure fonctionnelle du système

L’analyse commence par le choix du niveau approprié le plus bas (habituellement une pièce, un circuit, un module) pour lequel un volume d’information suffisant est disponible. Un tableau des divers modes de défaillance de chaque élément se trouvant à ce niveau est dressé. L’effet de la défaillance des éléments pris individuellement, et à tour de rôle, est alors considéré comme un mode de défaillance dont l’impact au niveau suivant sera étudié. Sont ensuite dégagés, par itérations successives, les effets des défaillances à tous les niveaux fonctionnels nécessaires jusqu’au niveau du système ou le niveau le plus élevé compte tenu des modes de défaillance spécifiques. Il convient donc de déterminer le niveau de décomposition à partir duquel l’analyse doit être effectuée.

Ressources requises

Il est nécessaire de connaître les informations suivantes sur la structure du système :

• Les différents éléments du système avec leurs caractéristiques, performances, rôles, et fonctions
• Les branchements entre ces éléments 
• Le niveau et la nature des redondances 
• L’implantation du système dans l’installation globale

Les informations relatives aux fonctions, caractéristiques, rôles et performances doivent être connues à tous les niveaux considérés jusqu’au niveau le plus élevé.

On doit préciser les différents modes de fonctionnement du système, les variations de configuration ou de
position du système et ses composantes dans les différentes phases du fonctionnement. Les performances
minimales exigées du système doivent être définies et des impératifs particuliers, comme la disponibilité
ou la sûreté, doivent être étudiés par rapport à des niveaux de performance, de dommage et de danger
spécifiés.

Il est également nécessaire de connaître :

• Les durées de chaque tâche
• Les intervalles entre les essais périodiques
• Les délais d’intervention corrective avant l’apparition de conséquences graves pour le système
• L’installation dans son ensemble, l’environnement et/ou le personnel
• Les conditions de réparation comprenant les actions correctrices possibles et les délais
• matériels et/ou personnels nécessaires pour leur mise en oeuvre

Il est nécessaire d’obtenir des informations complémentaires sur :

• Les différentes procédures de mise en service du système 
• Le contrôle pendant les différentes phases de fonctionnement 
• L’entretien préventif ou correctif 
• Les méthodes employées pour les essais périodiques éventuels

Environnement du système

Il est nécessaire de préciser l’environnement du système, incluant les conditions ambiantes et celles qui sont créées par d’autres systèmes. Il est également nécessaire de délimiter le système, c’est-à-dire de définir ses relations et ses dépendances ou interconnexions avec d’autres systèmes, comme des systèmes auxiliaires et des interfaces avec les opérateurs.

Dans quelques cas, l’AMDEC conduit à des décisions concernant les effets, la criticité et les probabilités conditionnelles qui nécessitent l’identification de certains éléments du logiciel, leur nature, leur séquence et leur synchronisation.

Représentation de la structure du système

Il est possible d’utiliser des représentations symboliques de la structure et du fonctionnement du système, notamment des diagrammes. Les diagrammes généralement utilisés sont les diagrammes fonctionnels qui
mettent en lumière toutes les fonctions essentielles du système.

Modes de défaillance

On définit un mode de défaillance comme l’effet par lequel une défaillance est observée sur un élément du système.

L’importance du recensement complet de tous les modes de défaillance possibles ou potentiels de tous les éléments d’un système est primordiale, car l’AMDEC est essentiellement fondée sur cette liste. Les constructeurs de composantes ou d’équipements devraient être associés à la détermination des modes de défaillance des produits qu’ils fabriquent. Le recensement est guidé par les différentes considérations suivantes :

Si la composante est nouvelle, il est possible de se fier à des composantes dont les fonctions et la structure se rapprochent le plus de cette dernière, ou aux essais déjà effectués. 

• Si la composante a déjà été mise en service et utilisée, il est possible de se référer à ses performances, aux rapports de défaillance de cette composante et aux essais effectués en laboratoire.
• Si les composantes sont complexes et peuvent être décomposées en éléments, elles peuvent être analysées qualitativement en considérant chaque élément comme un système.
• Il est aussi possible de déduire des modes de défaillance potentiels à partir des paramètres physiques et des caractéristiques du fonctionnement d’une composante.

Deux classifications communes des modes de défaillance sont : 

• L’identification des modes de défaillance généraux déduits de la définition de la fiabilité (encart 3.3).
• La classification la plus complète possible de tous les modes de défaillance génériques (encart 3.4).

Défaillance de mode commun (de cause commune) DMC

Une analyse de fiabilité ne peut pas se limiter aux défaillances aléatoires et indépendantes. Certaines défaillances dites « de mode commun » (DMC) ou « de cause commune » peuvent se produire. Dans ce cas, la dégradation des possibilités ou la défaillance du système est due à des pannes reliées à une même cause (erreur de conception, erreur humaine, etc.) et survenant simultanément dans diverses composantes dudit système. Une défaillance de mode commun résulte d’un événement qui, en raison des dépendances, provoque simultanément des états de panne sur plusieurs composantes (en éliminant les défaillances secondaires résultant des effets d’une défaillance primaire).

Les défaillances de mode commun peuvent être analysées de manière qualitative avec l’AMDEC. Comme celle-ci consiste à examiner successivement chaque mode de défaillance et ses causes et à organiser tous les essais périodiques et toutes les opérations d’entretien préventif nécessaire, etc., toutes les causes possibles d’une défaillance de mode commun peuvent être passées en revue. Ces causes de défaillance de mode commun appartiennent à cinq catégories principales :

• Les effets de l’environnement (conditions normales, anormales ou accidentelles)
• Les erreurs de conception
• Les erreurs de fabrication
• Les erreurs de montage
• Les erreurs humaines (pendant l’exploitation ou l’entretien)

Une liste définie d’après ces catégories permet de définir précisément toutes les causes possibles de défaillance de mode commun.

Facteurs humains

Lorsqu’on conçoit certains systèmes, il est essentiel de prévoir l’occurrence d’erreurs humaines, en prévoyant par exemple des enclenchements mécaniques sur la signalisation ferroviaire, des mots de passe permettant l’usage des ordinateurs ou l’accès aux données.

Erreurs de logiciel

Tout mauvais fonctionnement résultant d’erreurs ou de lacunes au niveau du logiciel aura des effets dont la criticité dépendra de la conception – matériel et logiciel – du système. Prévoir ces erreurs ou lacunes et analyser leurs effets n’est possible que dans une certaine mesure. Toutefois, il est possible d’évaluer l’effet d’éventuelles erreurs au niveau du logiciel sur le matériel concerné. 

Notion de criticité

L’attention qu’il convient d’accorder à une défaillance donnée dépend, de toute évidence, de sa probabilité d’apparition, de la capacité de la détecter et de la gravité de ses conséquences. La combinaison de ces trois facteurs permet d’établir un niveau prioritaire du risque (NPR) qui permet de classer les risques en ordre décroissant de criticité ou d’importance. Il n’existe pas de critère général de criticité applicable à un système, car cette notion est essentiellement liée au concept de gravité des conséquences et à leur probabilité d’apparition. La notion de gravité elle-même peut être définie de multiples façons, suivant que l’objectif recherché est d’assurer la sécurité des personnes, d’éviter les dommages ou les pertes indirectes, ou de garantir la disponibilité du service.
L’introduction de la notion de criticité complète l’AMDEC en examinant :

• Les éléments qui doivent faire l’objet d’une étude plus approfondie en vue d’éliminer un danger particulier, d’améliorer la probabilité des conséquences non dangereuses ou de diminuer le taux de défaillance, le risque ou l’étendue du dommage.
• Les éléments qui méritent une attention spéciale pendant la fabrication, qui exigent des contrôles de qualité sévères et dont la manutention doit être soumise à des normes strictes.
• Les impératifs particuliers à inscrire dans les spécifications d’achat en ce qui concerne la conception, les performances, la fiabilité, la sécurité et l’assurance de la qualité.
• Les normes de réception des produits des sous-traitants ainsi que les paramètres qui devront être minutieusement vérifiés.
• Dans quels cas, des procédures, des mesures de sauvegarde, du matériel de protection, des systèmes de surveillance ou d’alarme spéciaux devront être prévus.
• La manière d’utiliser les moyens de prévention des accidents pour garantir la rentabilité maximale.

Il convient, pour définir la criticité, d’établir une échelle de valeurs permettant d’apprécier la gravité des conséquences en fonction des critères retenus. L’encart 3.1 donne un exemple de classification à 10 niveaux. Le choix du nombre de degrés est assez arbitraire. Dans l’exemple cité, le nombre de degrés est fixé en combinant quelques critères jugés pertinents, qui sont : 

• Les dommages subis par les personnes (blessures, mort)
• La perte de la (ou des) fonction(s) du système
• L’impact sur l’environnement
• Les dommages subis par le matériel

Les informations suivantes sont nécessaires pour exécuter une AMDEC : schéma de principe, P&ID, liste des équipements incluant leurs fonctions, leurs modes de bris ainsi que la réponse de l’installation à un mode de bris.  Une AMDEC peut être faite par un analyste, mais les résultats doivent être revus par d’autres personnes pour assurer qu’ils sont complets. Tous les analystes devraient être familiers avec les fonctions de l’équipement et les modes de bris.

Le temps nécessaire pour réaliser l’étude est proportionnel à la complexité de l’équipement. Le tableau
3.20 présente une estimation du temps requis pour faire une analyse par modes de défaillance.

Estimation du temps requis pour effectuer une AMDEC

Ressources

LIENS ET RÉFÉRENCES EXTERNES

• CEI/IEC 60812, Techniques d’analyse de la fiabilité des systèmes – Procédures des modes de défaillance et de leurs effets (AMDE), Commission électrotechnique internationale, Genève, Suisse, 2018