Université Abdelmalek

Essaâdi Faculté des

Sciences et Techniques Al

Hoceima

Master : Systèmes embarqués et Ro botiques (SER)

Arbre de défaillance

Réalisé par :

Encadré par :

 MESSAOUDI Nabil


A.U :2019/2020
I. Sommaire
I. Introduction...................................................................................................................3
II. Arbre de défaillanceADD ............................................................................................4
1-Définition................................................................................................................4
2- Formalisme-----------------------------------------------------------------------------------9
3-Modélisation-----------------------------------------------------------------------------------9
4- Méthodologie----------------------------------------------------------------------------------9
III- Généralité Arbre de Défaillance-----------------------------------------------------------9
Introduction
 Utilités des arbres de Défaillance-------------------------------------------10
 Représentation de la Méthode de L’arbre de défaillance----------------10
 Méthodologie de la Méthode arbre de défaillance------------------------10
 Analyse qualitative-------------------------------------------------------------11
 Analyse quantitative-----------------------------------------------------------11
 Identification de l’évènement-------------------------------------------------11
 Examen du système-----------------------------------------------------------12
 Construction de l’arbre--------------------------------------------------------12
 Symbole graphique------------------------------------------------------------14
 Résumé des règles importantes de la construction de l’arbre de
Défaillance----------------------------------------------------------------------16
 La cohérence des arbres de défaillance--------------------------------------16
 Coupe Minimale----------------------------------------------------------------16
 avec des probabilités fixe-----------------------------------------------------17
 Quantification avec des probabilités en fonction du temps--------------17
 Conclusion----------------------------------------------------------------------19
- Conclusion Générale-------------------------------------------------------------------------67
Bibliographie..............................................................................................................68
 I. Introduction
Les activités industrielles et humaines font presque quotidiennement les grands titres des actualités
avec leurs cortèges d’incidents, d’accidents ou d’évènements catastrophiques. En effet, le zéro défaut
ou le risque zéro n’existe malheureusement pas pour les activités industrielles à cause de l’occurrence
de défaillances humaines ou matérielles.
Toutefois, pour tenter de réduire les risques à un niveau le plus faible possible et acceptable, des
méthodes, des techniques et des outils scientifiques ont été développés dès le début du XXème siècle
pour évaluer les risques potentiels, prévoir l’occurrence des défaillances et tenter de minimiser les
conséquences des situations catastrophiques lorsqu’elles se produisent.
Dans un grand nombre d'applications industrielles, une demande croissante est apparue en matière de
remplacement des politiques de maintenance curative par des stratégies de maintenance préventive.
Cette mutation d’une situation où on « subit les pannes ou les défaillances » à une situation où on «
maîtrise les pannes ou les défaillances », nécessite des moyens technologiques ainsi que la
connaissance de techniques d’analyse appropriées.
L’ensemble de ces développements méthodologiques à caractère scientifique représente, à l’aube du
troisième millénaire, la discipline de la sûreté de fonctionnement.
La sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les
défaillances des systèmes technologiques et les défaillances humaines.
Cette sûreté de fonctionnement sera de qualité si la maintenance associée est de qualité tant sur le plan
Humain que Technologique.
Et c’est dans cette optique et état d’esprit, que nous voulons appliquer une des méthodes d’analyse des
équipements Industriels à savoir : Arbre de Défaillance –AdD- {Fault tree }

I - Arbre de défaillance
Arbre de défaillances «AdD» (FaultTree « FT » en anglais) [13] :
Définition :
Un arbre de défaillances (aussi appelé arbre de pannes ou arbre de fautes) est une technique
d’Ingénierie très utilisée dans les études de sécurité et de fiabilité des systèmes statique 1.
Formalisme :
Cette méthode consiste à représenter graphiquement les combinaisons possibles d’évènements qui
permettent la réalisation d’un évènement indésirable prédéfini (appelé communément évènement
redouté « ER »).
La représentation graphique met donc en évidence les relations causes à effet.
Modélisation :
Cette technique est complétée par un traitement mathématique qui permet la combinaison des
défaillances simples ainsi que de leur probabilité d’apparition. Elle est basée sur l’algèbre de Boole
relative à la théorie des ensembles.
Elle permet ainsi de quantifier la probabilité d’occurrence d’un évènement indésirable. Egalement
appelé « évènement redouté ».
Méthodologie :
L’arbre de défaillance est formé de niveaux successifs d’évènements qui s’articulent par
l’intermédiaire des portes (initialement logique).
En adoptant cette représentation et la logique déductive (allant des effets vers les causes) et
booléenne, il est possible de remonter d’effets en causes de l’évènement indésirable à des évènements
de base indépendants entre eux et probabilistes.
Généralités et description de l’arbre de défaillance :
Introduction :
Lorsqu’il s’agit d’étudier les défaillances d’un système, l’arbre de défaillance s’appuie sur une analyse
dysfonctionnelle d’un système à réaliser préalablement : une analyse des modes de défaillances et de
leurs effets (AMDE). Cette méthode inductive allant des causes aux effets apparaît donc comme
préalable à la construction d’un arbre de défaillance puisque l’identification des composants et de leurs
modes de défaillance est généralement utilisée au dernier niveau d’un arbre.
L’analyse par arbre de défaillance et le diagramme de fiabilité sont des méthodes pratiques à condition
que les évènements de base soit faiblement dépendant. Dans le cas contraire, ces techniques
deviennent caduques et il est nécessaire d’employer une technique plus appropriée reposant sur un
modèle dynamique comme un processus de MARKOV.

1-Un système statique est un système dont la défaillance ne dépend pas de l’ordre de défaillance de ses composants.
 Utilités des arbres de défaillances :
Les arbres de défaillances sont utilisés dans l’ingénierie de sûreté des industries « à risque » et peuvent
être utilisés comme un outil d’évaluation de la conception, ils permettent d’identifier les scénarios
conduisant à des accidents dans les phases amont du cycle de vie d’un système et peuvent éviter des
changements de conception autant plus coûteux qu’ils sont tardifs.
Ils peuvent aussi être utilisés comme un outil de diagnostic, prévoyant la ou les défaillances des
composants la ou les plus probables lors de la défaillance d’un système.
Représentation de la méthode de l’arbre de défaillances :

 la ligne la plus haute ne comporte que l’évènement dont on cherche à décrire comment
il peut se produire.
 Chaque ligne détaille la ligne supérieure en présentant les combinaisons susceptibles
de produire l’évènement de la ligne supérieure auquel elles sont rattachées.
 Les relations sont représentées par des liens logiques, dont la plupart sont des « portes
OU » et des « portes ET ».
Méthodologie de la méthode arbre de défaillances :
Démarche: L’arbre de défaillance est une méthode déductive, qui fournit une démarche systématique
pour identifier les causes d’un évènement unique intitulé évènement redouté.
Le point de départ de la construction de l’arbre est l’évènement redouté lui-même (également appelé
évènement du sommet). Il est essentiel qu’il soit unique et bien identifier. A partir de là, le principe est
de définir des niveaux successifs d’évènements tels que chacun est une conséquence d’un ou plusieurs
évènements du niveau inférieur.
La démarche est la suivante :

 Pour chaque évènement d’un niveau donné, le but est d’identifier l’ensemble des
évènements immédiats nécessaires et suffisants à sa réalisation. Des opérateurs
logiques (portes) permettent de définir précisément les liens entre les évènements des
différents niveaux.
 Le processus déductif est poursuivi niveau par niveau jusqu’à ce que les spécialistes
concernés ne jugent pas nécessaire de décomposer des évènements en combinaison
d’évènements de niveaux inférieurs, notamment parce qu’ils disposent d’une valeur
de probabilité d’occurrence de l’évènement analysé.
Ces évènements non décomposés de l’arbre sont appelés évènements élémentaires (ou
évènements de bases).
Notons que :
a) Il est nécessaire que les évènements soient indépendants entre eux.
b) Leurs probabilité d’occurrence doit pouvoir être quantifiée (condition
nécessaire seulement dans le cas où l’arbre est destiné à une analyse
quantitative).
c) Contrairement à l’approche inductive de l’AMDEC (analyse des modes de
défaillance, de leurs effets et de leur criticité) qui ne cible pas les
conséquences des défaillances élémentaires, l’approche déductive de l’arbre
de défaillance permet de focaliser exclusivement sur les défaillances
contribuant à l’évènement redouté.
La construction de l’arbre de défaillance est une phase importante de la méthode car sa complétude
conditionne celle de l’analyse qualitative ou quantitative qui sera réalisée par la suite.
Analyse qualitative :
L’arbre de défaillance étant construit, deux types d’exploitation qualitative peuvent être réalisés :

1. L’identification des scénarios critiques susceptibles de conduire à l’évènement

redouté. Par l’analyse des différentes combinaisons de défaillances menant à
l’évènement sommet, l’objectif est ici d’identifier les combinaisons les plus courtes
appelées coupes minimales.
2. La mise en œuvre d’une procédure d’allocation de barrières. Ce deuxième type
d’exploitation qualitatif permet d’allouer un certain nombre de barrières de sécurité
(technique ou d’utilisation) en fonction de la gravité de l’évènement redouté et des
contraintes normatives éventuelles.
Analyse quantitative :
Une étude probabiliste peut avoir deux objectifs :

1. L’évaluation rigoureuse de la probabilité d’occurrence de l’évènement redouté.

2. Le tri de scénarios critiques (en partant des coupes minimales de plus fortes
probabilités).
Ces calculs ne peuvent se concevoir que si chaque évènement élémentaire peut être probabilisé à partir
d’une loi soigneusement paramétrée et de la connaissance du temps de mission associé à l’évènement
redouté et / ou à l’aide de données issues du retour d’expérience.
Identification de l’évènement :
L’identification de l’évènement redouté est absolument essentielle à l’efficacité et à la pertinence de la
méthode. Il correspond le plus souvent à un évènement catastrophique en termes humain,
environnemental ou économique. Il peut s’avérer nécessaire parfois de caractériser l’évènement
redouté pour chacune des missions du système étudié.
Il existe plusieurs méthodes permettant de procéder à l’identification des évènements redoutés.
L’analyse préliminaire des risques (APR), est utilisée dans la plupart des industries.

La méthode HAZOP, pour Hazard and OpérabilityStudy, est plus particulièrement adaptée aux
industries de procédés comme la pétrochimie. Enfin, une analyse des modes de défaillance et de leurs
effets sur le système (AMDE) peut également s’avérer efficace.
 Examen du système :
Lors d’une analyse fiabiliste d’un système, il est toujours difficile de délimiter précisément les
contours de l’étude. L’analyste doit pour cela se poser certain nombre de questions incontournable du
type :

1. Quelles sont les intentions de l’analyse ?

2. Quelles sont les limites ?
3. S’agit-il de maîtriser une prise de risque relative à la sécurité des personnes ou de
comparer différents dispositifs ?
4. L’objectif est-il de démonter la conformité à des normes officielles et/ou à des
spécifications imposées par le client ?
Avant d’entamer la construction de l’arbre de défaillance proprement dite, les analystes chargés de
l’étude doivent acquérir au préalable une très bonne connaissance de l’ensemble du système et de sa
fonction. Ils doivent s’appuyer pour cela sur l’expérience des ingénieurs et techniciens chargés des
opérations sur le terrain.
Il est également nécessaire de délimiter précisément l’étude à différents niveaux :

5. Natures des évènements pris en compte ;

6. équipements impliqués ou non dans la fonction du système ;
7. Importance de l’environnement, etc.
Afin d’être complet et rigoureux, l’examen du système doit couvrir obligatoirement chacun des
thèmes suivants :

1. La description du système (éléments et sous-systèmes inclus dans l’étude et éléments

exclus).
2. La définition de la mission (spécification du système, phase de divers missions,
procédure de maintenance et de réparation, reconfiguration possible…)
3. L’analyse de l’environnement ;
4. L’identification des évènements à prendre en compte : étendue donnée à l’étude (par
exemple : prise en compte des conséquences des erreurs humaines, des problèmes de
transport de pièces ou de personnel…)
Construction de L’arbre :
Cette construction est détaillée dans plusieurs normes industrielles dont la norme CEI 61025.

1. Evènement sommet (évènement indésirable) :

La première étape réside dans la définition de l’évènement à étudier d’une façon explicite et
précise, cet évènement est appelé sommet, ou encore évènement redouté. Cette étape est
cruciale quant à la valeur des conclusions qui seront tirées de l’analyse. L’arbre de défaillance
se veut être une représentation synthétique ; le libellé de l’évènement devra être bref, mais
aussi évocateur que possible dans la boite qui le représente dans l’arbre, on lui associant un
texte complémentaire apportant toutes les précisions utiles sur la définition de l’évènement.
Cette remarque est aussi valable pour tous les éléments qui vont figurer dans l’arbre.
 2. Evènement intermédiaires :
L’évènement sommet étant défini, il convient de décrire la combinaison d’évènements
pouvant conduire à cet évènement sommet. Les évènements intermédiaires sont des
évènements moins globaux. Une fois un évènement définis, ils seront liés à l’évènement
sommet via un connecteur. Ces évènements intermédiaires peuvent être, à leur tour, redéfinis
par d’autres évènements intermédiaires plus détaillés.

3. Evènements de base, transfert et conditions :

Il est possible de prendre en compte des évènements sur lesquels les informations sont
insuffisantes pour les décomposer davantage ou encore qu’il n’est pas utile de développer
plus, ces évènements sont appelés évènements non développés. Lors de la construction de gros
arbres de défaillances, il est pratique d’utiliser des portes de transfert, permettant ainsi de
rendre la lecture et la validation de l’arbre plus aisée. Ces portes signalent que la suite de
l’arbre est développée sur une autre page. Les évènements de bases sont les évènements les
plus fins de l’arbre, il ne sera pas possible de les détailler davantage ; ils concernent la
défaillance (électrique, mécanique, logiciel…) d’un élément du système.
L’apparition de certains évènements (de base ou autres) peut avoir une conséquence à
certaines conditions. Nous sommes donc conduits à introduire dans l’arbre des conditions dont
la réalisation conditionne l’enchainement. Ces conditions interviennent dans la construction de
l’arbre comme des évènements intermédiaires, à l’exception que ces conditions ne sont plus
décomposées donc « de base ».

4. Connecteurs logiques :
Les connecteurs logiques (ou portes logiques) sont les liaisons entre les différents branches
et/ou évènements. Les plus classiques sont ET et OU.

Les connecteurs fonctionnent comme suit :

 OU : l’évènement en sortie/supérieur survient si, au moins, un des évènements
en entrée/inférieur survient/est présent ;
 ET : l’évènement en sortie/supérieur survient seulement si tous les évènements
en entrée/inférieur surviennent/sont présents ;
 K/N : c’est un vote majoritaire : l’évènement en sortie/supérieur survient si au
moins K (c’est un entier qui sert à paramétrer le comportement de la porte)
parmi les N évènements en entrée/inférieur surviennent/sont présents. Cette
porte généralise les deux précédentes : une porte OU est une porte 1/N et une
porte ET est une porte N/N.
L’utilisation exclusive des trois connecteurs mentionnés ci-dessus permet de rester dans le
cadre des arbres de défaillances cohérents, et c’est en pratique ce qui est fait le plus
souvent.
Dans certaines situations, il est nécessaire d’introduire des non cohérences avec des
connecteurs NON, OU exclusif (réalisé si une et une seule de ses entrées est réalisée) ...etc.
mais cela rend le traitement mathématique plus complexe.
Enfin, il peut être pratique à des fins descriptives d’utiliser des connecteurs plus complexes, comme
des connecteurs voteurs, conditionnels… Ces connecteurs permettent de traduire des
comportements particuliers qu’il est possible de rencontrer dans certaines architectures. Au même
titre, une dimension temporelle peut être nécessaire pour traduire le comportement d’un système, pour
cela il existe des connecteurs ET séquentiels prenant en compte le séquencement des évènements, des
connecteurs SPARE prenant en compte des lots de rechanges, etc. l’utilisation de ces connecteurs peut
conduire à des modèles dont la signification mathématique est ambigue et est interprétée différemment
suivant les outils informatiques dans lesquels ils sont saisis.

Symbole graphique :
Les symboles de base utilisés dans les arbres de défaillance sont classés en plusieurs types :

 Evènements ;
 Portes ;
 Symboles de transfert.
(Dans les logiciels permettant d’éditer des arbres de défaillances on pourra constater des variations
mineures). Les différents symboles utilisés sont regroupés dans les tableaux 1 et 2.

Symbole Nom Descripti

on
Evènement Evènement du plus bas niveau pour lequel la
de probabilité d’apparition ou d’information de fiabilité
base est disponible

Evèneme Evènement qui doit se produire avec certitude lors

nt de la production ou de la maintenance. On peut aussi
maison le définir comme un évènement non- probalisé, que
l’on doit choisir de mettre 1 ou 0 avant tout
traitement de l’arbre. Ce type d’évènement permet
d’avoir plusieurs variantes d’un arbre sur un seul
dessin, en modifiant la logique de l’arbre selon la
valeur choisie par l’utilisateur

Evènem Le développement de cet évènement n’est pas

ent non terminé, soit parce que ses conséquences sont
dévelop négligeables, soit par manque d’information.
pé

Tableau 1 Symboles des évènements dans les arbres de défaillances

 Symbole Nom Descripti Nombre
on d’entrées

OU (OR) L’évènement de sortie apparait si au ˃

moins un des évènements d’entrées 1
apparait

ET (AND) L’évènement de sortie apparait si tous les ˃

évènements apparaissent 1

L’évènement de sortie apparait si

NON l’évènement d’entrée n’apparait pas. =
(NOT) L’état logique de la sortie est l’inverse de 1
celui d’entrée.

OU L’évènement de sortie apparait si un seul ˃

Exclusi évènement d’entrée apparait. 1
f
(XOR)

Vote L’évènement de sortie apparait si au moins

Majoritai K évènements d’entrées apparaissent ˃
re (K˂n) 1

Tableau 2 Symboles des portes dans les arbres de défaillances

Les principaux traitements que l’on peut faire à partir de la fonction booléenne sont les suivants :

 L’énumération des coupes minimales

 Le calcul des facteurs d’importance structurelle. Très peu utilisés en pratique, ils
visent à donner des indications du même ordre que les facteurs d’importance calculés
avec des probabilités, lorsque celles-ci ne sont pas disponibles.
Une grande variété d’algorithmes permettant de faire ces traitements
 Résumé des règles importantes de la construction de l’arbre de défaillance :

1. Partir de l’évènement redouté (sommet de l’arbre),

2. Imaginer les évènements intermédiaires possibles expliquant l’évènement sommet,
3. Considérer chaque évènement intermédiaire comme un nouvel évènement sommet,
4. Imaginer les causes possibles de chaque évènement au niveau considéré,
5. Descendre progressivement dans l’arbre jusqu’aux évènements de base.
Il est important de ne pas considérer immédiatement les évènements de bases (panne d’un
composant par exemple).

La cohérence d’un arbre de défaillances :

Une propriété très importante du point de vue pratique est ce qui est appeléla cohérence d’un arbre
de défaillances.
Définition :
Un arbre de défaillances est cohérent si :
 Il n’existe aucun état du système, tel qu’à partir de cet état la défaillance d'un
composant (formellement, cela correspond au passage de la valeur zéro à la
valeur un pour la variable Xi correspondante) peut réparer le système
(formellement, cela correspond au passage de la valeur un à la valeur zéro pour
la fonctionF),
 La fonction F dépend effectivement de toutes les variables X.

Une façon très simple d’assurer par construction la cohérence d’un arbre de défaillance est de
le construire uniquement avec des portesET, OU, K/N. C’est ce qui est fait dans la grande
majorité des applications pratiques des arbres de défaillances.
Lorsqu’un arbre de défaillances est cohérent, sa fonction F admet une représentation canonique qui
s’écrit comme la disjonction logique de ses coupes minimales.

Coupe minimale :
Une coupe d’un arbre de défaillances cohérent est un ensemble de défaillances de composants tel que
lorsque ces défaillances sont simultanément présentes, l’événement sommet de l’arbre est réalisé. Plus
généralement, la notion de coupe est définie pour l'ensemble des systèmes statiques.
Définition :
Une « coupe minimale » d’un arbre de défaillances cohérent est une coupe comportant un nombre
minimal d'événements défaillants. Autrement dit, dès qu’on enlève une défaillance de la coupe,
n’importe laquelle, l’ensemble des défaillances restantes ne suffit plus à provoquer l’événement
sommet. Une seconde propriété des coupes minimales est qu'elles ne peuvent contenir aucune autre
coupe. La cohérence du système considéré permet alors de garantir que tout ensemble d'événements de
base contenant cette coupe minimale est également une coupe. L'ensemble des coupes minimales est
suffisant pour représenter la défaillance du système, le calcul de cet ensemble peut être réalisé par
minimisation de la fonction F.
La notion de coupe minimale admet une généralisation appelée ''impliquant premier'' pour les arbres
non cohérents. Cette notion étant peu utilisée en pratique, elle n’est pas décrite dans ce chapitre.
 Cardinal ou Ordre des coupes minimales :
Il est particulièrement intéressant de considérer le cardinal (on dit aussi : ordre) des coupes minimales,
autrement dit le nombre minimal d’événements élémentaires nécessaires à produire l’événement
sommet de l’arbre.
En particulier pour les systèmes critiques, des règles du type « il faut la combinaison d’au
moins trois événements indépendants pour créer la situation dangereuse » sont autant,
voire plus opérationnelles que des exigences exprimées en probabilités.
Les coupes minimales ayant le plus petit cardinal définissent le nombre minimum d’événements dont
l’occurrence simultanée peut provoquer l’événement sommet ; dans un contexte de « défense en
profondeur », c’est le nombre de barrières.
Les coupes minimales d’ordre un représentent tous les événements de base qui à eux seuls produisent
l’événement indésirable
Quantification avec des probabilités fixes :
Ce qui fait la puissance des arbres de défaillances, et, plus généralement des « méthodes booléennes »
en sûreté de fonctionnement est l'hypothèse d'indépendance globale des évènements. Les principaux
traitements que l'on peut faire à partir d’un arbre de défaillances muni de probabilités sont les
suivants :

 L'énumération des coupes minimales ou impliquant premiers associés à leurs

probabilités. La possibilité de les quantifier permet de ne lister que ceux dont la
probabilité dépasse un certain seuil, ce qui est une façon efficace de limiter
l’explosion combinatoire à laquelle peut conduire ce type de traitement ;
 Le calcul de la probabilité de l'événement redouté F=1(qui s'identifie avec l'espérance
mathématique de F).
 Le calcul de divers facteurs d'importance associés aux événements de base.
Quantification avec des probabilités fonction du temps :
En donnant à la valeur 1 de la variable la signification “le ième composant est défaillant à l’instant t”,
on peut réaliser une série de calculs de la probabilité de l’événement de tête de l’arbre à des instants
différents. C’est ainsi que l’on peut calculer l’indisponibilité d’un système en fonction du temps. Par
exemple, dans le cas très courant où la durée de vie (aléatoire) d’un composant (le temps avant sa
défaillance) est modélisée par une loi exponentielle de paramètre ʎ , la probabilité que ce composant
soit défaillant avant le temps de mission du système (temps pendant lequel l’occurrence de la
défaillance peut se produire) est donnée par :

P= ʎ - e- ʎ t
P= ʎ t, (ʎ t)˂ = 0.1 (1)
Cette formule suppose le composant non réparable.
Si au contraire il est réparable, et si on suppose que sa durée de réparation suit une loi exponentielle de
paramètreμ, alors sa probabilité d’être défaillant à l’instant t (autrement dit son indisponibilité) est
donnée par la formule :
 [(ʎ i)/(ʎ i + μi)][1- e- (ʎ i + μi) t] (2)
En supposant que tous les composants du système sont ainsi modélisés, on voit qu’il est facile de
calculer la probabilité de défaillance du système complet à l’instant t.
Le calcul des probabilités de tous les événements de base à l’instant t à l’aide des formules (1) ou (2)
décrites ci-dessus,
Plus généralement, il existe tout un ensemble de formules analytiques permettant de calculer les
probabilités de défaillance des composants en fonction du temps. Ces formules permettent de prendre
en compte des hypothèses telles que la possibilité de réparer le composant, de le tester
périodiquement, et aussi différents types de lois de probabilité pour les durées de vie des composants.
Avantages :
L'analyse par arbre de défaillances est la plus couramment utilisée dans le cadre d'études de fiabilité,
de disponibilité ou de sécurité des systèmes. Elle présente en effet un certain nombre d'avantages non
négligeables par rapport aux autres méthodes, à savoir :

1. Son aspect graphique tout d'abord, caractéristique particulièrement importante,

constitue un moyen efficace de représentation de la logique de combinaison des
défaillances. Il participe largement à la facilité de mise en œuvre de la méthode et à la
compréhension du modèle. Ainsi, il est un excellent support de dialogue pour des
équipes pluridisciplinaires.
2. Le processus de construction de l'arbre basé sur une méthode déductive permet à
l'analyste de se focaliser uniquement sur les événements contribuant à l'apparition de
l'événement redouté.
3. Une fois la construction de l'arbre terminée, deux modes d'exploitation sont possibles :
 l'exploitation qualitative servant à l'identification des combinaisons d'événements
critiques, la finalité étant de déterminer les points faibles du système;
 l'exploitation quantitative permettant de hiérarchiser ces combinaisons
d'événements suivant leur probabilité d'apparition, et estimer la probabilité de
l'événement sommet, l'objectif in fine étant de disposer de critères pour
déterminer les priorités pour la prévention de l'événement redouté.
4. Par opposition aux méthodes de simulation, l'approche analytique offerte par l'arbre de
défaillances a l'avantage de pouvoir réaliser des calculs rapides (avantage tout à fait
relatif au vu de l'évolution permanente de l'informatique) et exacts.
5. La méthode permet d'estimer la probabilité non seulement de l'événement redouté,
mais aussi celle des portes intermédiaires, à partir de celle des événements de base. Il
est également possible de faire de la propagation d'incertitudes sur les données
d'entrée, et du calcul de facteurs d'importance.
6. La taille de l'arbre de défaillances est proportionnée à la taille du système étudié, et
pas exponentielle en fonction de cette taille.

Limites :
L'utilisation de l’arbre de défaillances devient inefficace ou difficilement applicable lorsque les
caractéristiques suivantes apparaissent :
1. Dépendance entre les événements
Les calculs de probabilité d’occurrence effectués par le biais de l’arbre de défaillances sont
basés sur une hypothèse d’indépendance des événements de base entre eux. Par exemple, la
probabilité d’apparition d’un événement de base ne peut pas dépendre de l’apparition d’autres
événements de base.
Remarque
- modification au niveau de construction et analyse on se basant sur le cour
fiabilité prévisionnel
- Diagramme de décision binaire
- arbre de défaillance d’un SE
- application
2. Notion d’événements temporisés
L'arbre de défaillances ne rend pas compte de l'aspect temporel des événements. Il ne
peut donc considérer ni les dépendances fonctionnelles, ni les états passés. De plus, il
ne permet pas de prendre en compte un ordre imposé dans lequel des événements
doivent se produire pour induire une défaillance.
3. Système dégradé
L’arbre de défaillances est binaire. Un événement se produit ou ne se produit pas, mais
aucune notion de capacité ou d’efficacité ne peut intervenir. Par exemple, une vanne
sera considérée comme ouverte ou fermée, mais sans pouvoir déterminer d’état
intermédiaire.
4. Taille de l’arbre
La taille n’est pas une limite en soi. Néanmoins dès qu'elle augmente de manière
significative, l’arbre doit être divisé en sous-arbres, et la lisibilité ainsi que la
compréhension du modèle deviennent alors plus difficiles.

Arbres de défaillances

 Méthode déductive

 Développée dans les années 1961-1962 par Bell Telephone : Fault Tree Analysis (FTA)
 Généralisation à tous les secteurs ; la plus utilisée
 Variantes : arbre des événements, arbre des fautes …
 Structure arborescente représentant des événements reliés par des opérateurs logiques
(représentation graphique)

 Principe

 Recherche des causes élémentaires d’un événement indésirable (redouté)

 Quantification de la probabilité d’occurrence de l’événement indésirable

 Etapes
 Identification de l’événement indésirable (EI) (ou redouté) : sommet de l’arbre,
 Identification de toutes les combinaisons d’événements INS (immédiat, nécessaire et
suffisant) qui conduisent à la réalisation de l’événement redouté (ER),
 Décomposition de chaque événement INS dans des événements INS de niveau inférieur
; arrêt aux événements de base, indépendants entre eux,
 Événement de base : événement pour lequel les données SdF (r, , MTTF, …) sont
connues. Quantification de la probabilité d’occurrence de l’événement sommet.

 Représentation symbolique

 Événement : caractérise une défaillance

 Événement de base

 Élémentaire (composant)

 Dont les causes ne sont pas développées

 Dont les causes seront développées ultérieurement

L’événement sommet est identifié après une APR du système. Plusieurs AdD
peuvent être associés à un même système, selon la nature de la perte de fonction

Evènements :

Événement redouté :

l’événement redouté est l’événement indésirable pour lequel on fait l’étude de toutes les
causes qui y conduisent. Cet événement est unique pour un arbre de défaillance et se trouve
au “sommet” de l’arbre. Avant de commencer la décomposition qui permet d’explorer
toutes les combinaisons d’événements conduisant à l’événement redouté, il faut défini avec
précision cet événement ainsi que le contexte de son apparition. L’événement redouté est
représenté par un rectangle au sommet de l’arbre

Événements intermédiaires :

les événements intermédiaires sont des événements à définir comme l’événement redouté.
La différence avec l'événement redouté est qu'ils sont des causes pour d'autres événements.
Par exemple c’est la combinaison d'événements intermédiaires qui conduit à l’événement
redouté. Un événement intermédiaire est représenté par un rectangle comme l'événement
redouté.

Événements élémentaires :

les événements élémentaires sont des événements correspondants au niveau le plus détaillé
de l’analyse du système. Dans un arbre de défaillance, ils représentent les défaillances des
composants qui constituent le système étudié. Pour fixer le niveau de détail de l’étude, on
considère en général que les événements élémentaires coïncident avec la défaillance des
composants qui sont réparables ou interchangeables.

Résumé de la symbolique des événements :

Il existe d’autres types d'événements définis par la norme. Leurs symboles ainsi que leurs
significations sont répertoriés dans le tableau suivant :

Portes logiques :

Les portes logiques permettent de représenter la combinaison logique des événements

intermédiaires qui sont à l’origine de l’événement décomposé.

Transferts de sous arbres :

Il existe pour les arbres de défaillances une symbolique normalisée qui permet de faire
référence à des parties de l’arbre qui se répètent de manière identique* ou de manière
semblable+ pour éviter de les redéfinir. L’objectif est de réduire la taille du graphique. Le
tableau suivant présente les symboles ainsi que les significations qui sont utilisés.

Construction d’un arbre de défaillance :

La construction de l’arbre de défaillance repose sur l’étude des événements entraînant un
événement redouté. Les 2 étapes suivantes sont réalisées successivement en partant de l’ER
et en allant vers les événements élémentaires.
1) Dans un 1 er temps, définir l'événement redouté (l’événement intermédiaire, ou
l’événement élémentaire) analysé en spécifiant précisément ce qu’ils représentent et dans
quel contexte il peut apparaître.
2) Puis dans un 2 ème temps, représenter graphiquement les relations de cause à effet par
des portes logiques (ET, OU) qui permettent de spécifier le type de combinaison entre les
événements intermédiaires qui conduisent à l’événement analysé. Pour pouvoir appliquer
cette méthode il est nécessaire de : Vérifier que le système a un fonctionnement cohérent.
 Connaître la décomposition fonctionnelle du système.
 Définir les limites du système (le degré de finesse de l’étude dépend des objectifs).
 Connaître la mission du système et son environnement pour déterminer le ou les
événements redoutés qu’il est nécessaire d’étudier.
 Connaître les modes de défaillance des composants. C’est par exemple en s’appuyant sur
une analyse de type AMDEC que les branches de l’arbre pourront être construites.

Règles de construction

 expliciter les faits et noter comment et quand ils se produisent

 pour l’événement redouté
 pour les événements intermédiaires
 effectuer un classement des événements :
 événement élémentaire représentant la défaillance d’un composant
- défaillance première
- défaillance de commande
 événements intermédiaires provenant d’une défaillance de composant. C’est par
exemple un mode de défaillance.
 événements intermédiaires provenant du système indépendamment du composant.
C’est par exemple une configuration particulière.
 rechercher les « causes immédiates » de l’apparition de chaque événement
intermédiaire afin d’éviter l’oubli d’une branche
 éviter les connexions directes entre portes : elles sont en général dues à une mauvaise
compréhension du système ou à une analyse trop superficielle.
 supprimer les incohérences comme par exemple : un événement qui est à la fois cause
et conséquence d’un autre événement

 La méthode des AdD est applicable aux systèmes cohérents

 Système cohérent : 4 conditions

 - La défaillance de tous les composants entraîne la défaillance du système.
- Le fonctionnement de tous les composants entraîne le fonctionnement du
système.
- Lorsque le système fonctionne, aucune réparation n’entraîne la défaillance du
système.
- Lorsque le système est défaillant, aucune défaillance supplémentaire ne
rétablit le fonctionnement du système.

Exemple de construction :

On en arrive alors à l’arbre de défaillance complet :

1 - Défaillance première : blocage de la vanne en position fermée (un vieillissement)
événement élémentaire "V1 bloquée fermée".

2 – Défaillance de commande : Puisque la vanne est manuelle, cette défaillance serait

due à l'opérateur qui n'aurait pas ou mal événementeffectué l'ouverture de V1
élémentaire non développé "opérateur défaillant".

-Défaillance première : pas de rotation de la événement élémentaire "P1 - Pas pompe

de rotation"
-Défaillance secondaire : défaillance due à une cause extérieure ou à une utilisation
particulière. Ici un corps étranger qui obstrue la événement élémentaire nonpompe
développé "Défaillance secondaire de P1"
- Défaillance de commande : puisque la pompe est électrique, cette défaillance serait
due à la événementperte de la source d'énergie élémentaire "Perte source d'énergie"
 – Analyse quantitative des arbres de défaillance :
Hypothèses de quantification :

 On utilisera le taux de défaillance  estimé de chaque composant élémentaire, bien

entendu en le supposantOn utilisera le taux de défaillance constant. Cependant, il est
possible d’intégrer la notion de temps dans l’arbre de défaillance dans le cas des
systèmes réparables.
 Systèmes non réparables : pas d’intervention de maintenance possible en cours de
mission, une défaillance d’un composant subsiste jusqu’à la fin de la mission.
 Systèmes réparables : intervention possible, la défaillance est corrigée en cours de
mission.

 Objectif : déterminer
 les combinaisons d’événements élémentaires qui provoquent l’événement
indésirable (coupes minimales),
 la probabilité d’occurrence de l’événement indésirable.
 Expression booléenne de l’AdD
 Événement : variable booléenne
 Portes logiques : opérateurs
Porte ET : E1xE2x … xEn  (produit)
Porte OU : E1+ E2+ … + En (somme)
Porte k/n : sortie porte OU affectée du coefficient