GUIDE DE PRATIQUE PROFESSIONNELLE
Cliquer ici pour voir cette page dans le contexte complet
  1. Accueil >
  2. Travail de l'ingénieur >
  3. Gestion des risques >
  4. Méthodes d'identification des dangers et d'analyse des risques >
  5. Analyse par arbre de panne

Publié en mai 2011

Dernière modification en septembre 2024

ANALYSE PAR ARBRE DE PANNE

Description de l'arbre de panne

L’arbre de panne constitue une représentation graphique organisée des conditions ou des facteurs produisant ou contribuant à produire un événement indésirable appelé événement de tête ou événement redouté (ER). Cette représentation est établie sous une forme compréhensible, analysable et, si nécessaire, modifiable pour faciliter l’identification :

  • des facteurs influant sur la fiabilité et sur les caractéristiques fonctionnelles du système, par exemple modes de panne des composantes, erreurs humaines, conditions ambiantes, erreurs dans le logiciel, etc.
  • des impératifs ou des spécifications incompatibles qui peuvent nuire au fonctionnement du système
  • des événements communs influant sur plus d’une composante fonctionnelle et qui pourraient annuler le bénéfice apporté par les redondances spécifiques

L’analyse par arbre de panne est essentiellement une méthode d’analyse déductive qui a pour but de faire apparaître les causes ou les combinaisons de causes qui peuvent produire l’événement de tête défini. Cette analyse est surtout qualitative bien qu’elle puisse être quantitative dans certains cas.

Objectifs de l'arbre de panne

L’analyse par arbre de panne s’entreprend, seule ou combinée à une autre analyse de fonctionnement, pour :

  • Rechercher toutes les causes et les combinaisons de causes conduisant à l’événement de tête.
  • Déterminer si une des caractéristiques de fiabilité du système est conforme à un impératif prescrit
  • Vérifier l’exactitude des hypothèses faites au cours d’autres analyses à propos de l’indépendance des systèmes et valider la pertinence de l’élimination de certaines défaillances.
  • Identifier le(les) facteur(s) qui a (ont) les conséquences les plus néfastes sur une caractéristique de fiabilité ainsi que les modifications nécessaires pour améliorer cette caractéristique.
  • Identifier les événements communs ou les défaillances de cause commune.

Applications de l'arbre de panne

L’arbre de panne est particulièrement adapté à l’analyse de systèmes complexes constitués de plusieurs sous-systèmes dépendants ou entre lesquels existent des relations fonctionnelles et dont les performances satisfont des objectifs divers. Cela est d’autant plus vrai lorsque la conception du système suppose la collaboration de nombreuses équipes de concepteurs spécialisés. Voici quelques exemples parmi les systèmes couramment soumis à des analyses par arbre de panne : les centrales nucléaires, les avions, les systèmes de communication, les procédés chimiques, etc.

Principes de l'arbre de panne

Considérations générales

Il est recommandé de commencer à construire l’arbre de panne dès les premiers stades de la conception d’un système ou ouvrage. Le développement de l’arbre de panne reflète les progrès de la conception et permet de mieux comprendre les modes de panne au fur et à mesure de la conception. Les événements portés sur l’arbre de panne ne se limitent pas à des pannes de logiciels ou des pannes de matériel. Ces événements comprennent en effet toutes les conditions ou tous les facteurs qui ont un rapport avec l’événement de tête correspondant au système étudié.

Pour utiliser de manière efficace l’arbre de panne dans l’analyse d’un système, il faut respecter les étapes suivantes :

  • Définir la portée de l’analyse
  • Se familiariser avec la conception, les fonctions et le fonctionnement du système
  • Définir l’événement de tête
  • Construire l’arbre de panne
  • Analyser la logique de l’arbre de panne
  • Faire un rapport sur les résultats de l’analyse
  • Si l’on envisage d’effectuer une analyse quantitative, il faut en plus définir une technique d’évaluation numérique, choisir les données à utiliser et procéder au calcul numérique des caractéristiques de fiabilité

Structure du système

Tout système est défini en décrivant sa fonction et en établissant ses interfaces. Cette définition doit comporter les éléments suivants :

  • Un résumé des objectifs recherchés dans la conception.
  • Les limites du système, comme les interfaces électriques, mécaniques et fonctionnelles. Ces limites dépendent de l’interaction et des interfaces avec d’autres systèmes et doivent être décrites en identifiant les fonctions particulières (par exemple, l’alimentation électrique et les pièces [c.-à-d. fusibles] qui constituent les interfaces).
  • La structure matérielle du système par opposition à sa structure fonctionnelle.
  • L’identification des modes de fonctionnement du système et une description de chacun de ceux-ci et de ses performances, prévues ou acceptables, pour chaque mode de fonctionnement.
  • Les conditions relatives à l’environnement du système et les aspects humains pertinents, etc.
  • Une liste des documents à prendre en compte (dessins, spécifications, manuels de fonctionnement) qui contiennent une description détaillée de la conception et du fonctionnement du matériel. La durée des missions, les intervalles entre les essais périodiques, le temps disponible pour les actions de maintenance corrective, devront être connus ainsi que le matériel auxiliaire et le personnel nécessaire. Des informations spécifiques sur les procédures d’exploitation prescrites pour chaque phase de fonctionnement seront également fournies.
  • Une liste des symboles utilisés.

Événements étudiés

Les événements dus à toutes sortes de causes doivent être portés sur l’arbre. Ces causes incluent les effets de toutes les conditions de l’environnement ou d’autres conditions auxquelles peut être soumise l’entité, y compris celles que l’on peut rencontrer pendant le fonctionnement, même si elles ne sont pas prévues dans les spécifications relatives à la conception.

Lorsque c’est nécessaire, l’arbre de panne considère les effets des erreurs humaines et les insuffisances du logiciel de commande et de surveillance de l’état du système.
Les événements que l’analyste a étudiés mais qu’il a écartés pour la suite de l’analyse doivent être signalés, mais non reportés sur l’arbre de panne.

Si l’arbre de panne révèle un problème dû à une panne existante, l’événement qui correspond à cette panne devra être porté sur l’arbre de panne. Il devra être signalé comme étant un événement qui s’est déjà produit. Cette approche permet de considérer l’effet et l’ordre des pannes multiples.

Principes généraux associés à l’arbre de panne

L’élaboration de l’arbre de panne commence par la définition de l’événement de tête. Cet événement de tête est l’événement de sortie de la porte du sommet de l’arbre, alors que les événements d’entrée correspondants se rapportent à des causes et à des conditions possibles de l’apparition de l’événement de tête. Chaque événement d’entrée peut lui-même être un événement de sortie d’une porte se trouvant à un niveau inférieur.

Si l’événement de sortie d’une porte est associé à l’échec d’une fonction, les événements d’entrée correspondants peuvent être des pannes de matériel ou des limitations des performances de ce même matériel. Si l’événement de sortie désigne une panne du matériel, les événements d’entrée correspondants peuvent être des pannes de matériel, la perte de commande et l’absence des principales alimentations, si c’est applicable et si ces événements ne sont pas déjà compris dans les limitations des performances.

L’élaboration d’un arbre de panne s’achève lorsque l’un des types d’événements suivants est atteint :
Événements de base, c’est-à-dire événements indépendants dont les caractéristiques à prendre en compte peuvent être définis par d’autres moyens qu’un arbre de panne.

Événements qui, selon l’analyste, n’ont pas besoin d’être développés pour le moment.
Événements qui ont été ou seront développés plus avant dans un autre arbre de panne. Un événement qui fait l’objet d’une étude plus poussée dans un autre arbre de panne devra avoir le même repère que l’événement correspondant dans l’autre arbre de panne de sorte que le deuxième arbre soit bien le prolongement du premier.

Ressources requises

La réalisation d’une étude par arbre de panne exige une information détaillée sur la façon dont l’usine ou le système fonctionne, des dessins détaillés des installations, les procédures d’exploitation et de maintenance et une compréhension des modes de panne des composantes du système. 

Il faut aussi que l’analyste d’expérience soit familier avec l’analyse par mode de panne. L’analyste doit avoir accès à une équipe d’experts. Le temps nécessaire pour réaliser l’étude est proportionnel à la complexité de l’équipement tel que présenté dans le tableai suivant.

TYPE DE SYSTÈME PRÉPARATION (analyste) CONSTRUCTION DU MODÈLE ÉVALUATION QUALITATIVE RAPPORT (analyste)
Système simple 1 à 3 jours 3 à 6 jours 2 à 4 jours 3 à 5 jours
Système complexe 4 à 6 jours 2 à 3 semaines 1 à 4 semaines 3 à 5 semaines

Ressources

LIENS ET RÉFÉRENCES EXTERNES

  • CEI/IEC 61025, Analyse par arbre de panne, Commission électrotechnique internationale, Genève, Suisse, 2006
  • Arbres de défaillance, des causes et d’événement, Techniques de l’ingénieur, Réf. : SE4050 V1, avril 2017

Naviguer dans la page

  1. Description de l'arbre de panne
  2. Objectifs de l'arbre de panne
  3. Applications de l'arbre de panne
  4. Principes de l'arbre de panne
    1. Considérations générales
    1. Structure du système
    1. Événements étudiés
    1. Principes généraux associés à l’arbre de panne
  5. Ressources requises
  6. Ressources



© Ordre des ingénieurs du Québec

Avertissement : Le Guide de pratique professionnelle constitue un outil de référence et d’accompagnement des ingénieurs au Québec. Il est une source d’information générale et ne constitue aucunement une opinion, un avis ou conseil juridique. Son contenu ne doit pas être interprété pour tenter de répondre à une situation juridique particulière.