AMDEC (Analyse de modes de défaillance, de leurs effets combinés et de leur criticité)

Description de l'AMDEC

Une analyse de modes de défaillance, de leurs effets combinés et de leur criticité (AMDEC) produit une
liste des modes de défaillance de l’équipement et de leurs effets sur un système. Le mode de défaillance
décrit comment l’équipement se brise (ouvert, fermé, on, off, fuites, etc.). La conséquence du mode de
bris est déterminée par la réponse du système au bris de l’équipement. Une AMDEC identifie les modes
singuliers de bris qui causent ou contribuent de façon significative à un accident. Les erreurs humaines
ne sont pas habituellement examinées directement lors d’une AMDEC; cependant les effets d’une
mauvaise opération à la suite d'une erreur humaine sont habituellement répertoriés par un mode de
bris de l’équipement. Une AMDEC n’est pas un mode d’analyse efficace pour identifier les combinaisons
de bris de plusieurs équipements qui pourraient conduire à un événement dangereux.

Objectifs de l'AMDEC

Le but d’une AMDEC est d’identifier les effets des modes de bris d’équipement, de système ou d’usine.
Cette analyse produit généralement des recommandations qui conduisent à une amélioration de la
fiabilité de l’équipement.

L’AMDEC joue un rôle essentiel dans un programme d’assurance fiabilité. Cette méthode peut
s’appliquer à un large éventail de problèmes survenant dans les systèmes techniques. Elle peut être plus
ou moins approfondies ou modifiées en fonction du but à atteindre. Cette analyse, qui est peu utilisée
pendant les phases d’étude, de planification et de définition, est largement employée au cours de la
conception et de la mise en œuvre. Il faut, toutefois, rappeler que l’AMDEC n’est qu’une étape du
programme de fiabilité et de maintenabilité qui requiert d’effectuer de multiples tâches dans des
domaines variés. L’AMDEC est une méthode inductive qui permet de réaliser une analyse qualitative de
la fiabilité d’un système depuis un niveau bas jusqu’à un niveau élevé.

Application de l'AMDEC

L’AMDEC sert, entre autres fins, à :

Évaluer les effets et la séquence des événements provoqués par chaque mode connu de défaillance d’un
dispositif – quelle qu’en soit l’origine – et ce, aux divers niveaux fonctionnels du système.
Déterminer l’importance ou la criticité de chaque mode de défaillance compte tenu de son influence sur
le fonctionnement normal du système ou sur son niveau de performance et à en évaluer l’impact sur la
fiabilité ou sur la sécurité du processus considéré.

Classer les modes de défaillance connus suivant la facilité avec laquelle il est possible de les détecter, de
les diagnostiquer, de les simuler, de changer une composante et suivant les moyens mis en œuvre pour
y faire face et maintenir le système en état de marche. Une échelle de capacité de détection des
défaillances peut être produite.

Établir des échelles de signification et de probabilité de défaillance, à condition de pouvoir disposer des
informations nécessaires.

L’AMDEC est une méthode essentiellement adaptée à l’étude des défaillances des matériaux et des
équipements. Elle s’applique à des systèmes de divers types (électriques, mécaniques, hydrauliques,
etc.), ou à des systèmes alliant plusieurs types. L’AMDEC peut également être utilisée pour les études de
logiciels et les études de l’action humaine.

Voici quelques exemples d’objectifs des applications de l’AMDEC :

Définir les défaillances qui, lorsqu’elles se produisent seules, ont des effets inacceptables ou importants,
et rechercher les modes de défaillance qui peuvent avoir des conséquences graves sur le
fonctionnement désiré ou exigé. Les défaillances secondaires sont comptées parmi ces effets.

Déterminer s’il est nécessaire :

de prévoir des redondances;

de perfectionner la conception de façon à augmenter la probabilité des conséquences « sûres » des

défaillances;

de surdimensionner le matériel et/ou simplifier la conception.

Déterminer s’il faut changer de matériaux, de pièces, de dispositifs ou de composantes.

Mettre en évidence les défaillances aux conséquences graves et, partant, déterminer s’il est nécessaire
de revoir et de modifier la conception.

Préparer le modèle logique qui permettra de calculer les probabilités de conditions anormales de
fonctionnement du système.

Trouver tout ce qui peut présenter un risque ou soulever un problème de responsabilité juridique et
découvrir toutes les violations possibles de la réglementation.
S’assurer que le programme d’essais peut mettre en évidence les modes de défaillance potentiels.

Établir les cycles d’utilisation qui peuvent prévoir et éviter les défaillances dues à l’usure.

Insister sur les éléments clefs qui devront être soumis à des contrôles de qualité, à des inspections et à
des vérifications des procédés de fabrication.

Éviter des modifications coûteuses en détectant le plus tôt possible les faiblesses de la conception.

Établir les besoins relatifs à l’enregistrement de données et à la surveillance pendant les essais, les
vérifications et l’exploitation; obtenir des informations qui permettront de définir les dispositions
relatives à l’entretien préventif et aux réparations, de rédiger des manuels de dépannage, de réaliser un
appareillage d’essai intégré et de préciser les points qui doivent faire l’objet d’essais.

Faciliter l’établissement de critères et de programmes d’essais, de méthodes de diagnostic de panne,

par exemple, la vérification du fonctionnement et l’essai de fiabilité.

Recenser les circuits qui nécessitent une analyse des cas les plus défavorables (cette analyse est souvent
nécessaire pour les modes de défaillance qui impliquent une dérive des paramètres).

Faciliter la tâche des opérateurs en concevant, par exemple, des processus permettant d’isoler les
pannes et prévoyant des modes de fonctionnement de remplacement et des changements de la
configuration de fonctionnement.

Faciliter les échanges entre :

ingénieur.e.s « généralistes » et « spécialistes »;

fabricant de matériel et fournisseurs;

utilisateur du système et concepteur ou fabricant.

Permettre à l’analyste de mieux connaître et de mieux comprendre le comportement du matériel

étudié.

Mettre au point une méthode systématique et rigoureuse pour étudier les installations dans lesquelles
est situé le système.

Principe de l'AMDEC

Notions

L’AMDEC repose sur :

la notion de décomposition du système en « éléments »

les représentations graphiques de la structure fonctionnelle du système et le recensement des diverses
données nécessaires à la réalisation de cette AMDEC

la notion de mode de défaillance

la notion de criticité (si cette analyse est requise)

Définition de la structure fonctionnelle du système

L’analyse commence par le choix du niveau approprié le plus bas (habituellement une pièce, un circuit,
un module) pour lequel un volume d’information suffisant est disponible. Un tableau des divers modes
de défaillance de chaque élément se trouvant à ce niveau est dressé. L’effet de la défaillance des
éléments pris individuellement, et à tour de rôle, est alors considéré comme un mode de défaillance
dont l’impact au niveau suivant sera étudié. Sont ensuite dégagés, par itérations successives, les effets
des défaillances à tous les niveaux fonctionnels nécessaires jusqu’au niveau du système ou le niveau le
plus élevé compte tenu des modes de défaillance spécifiques. Il convient donc de déterminer le niveau
de décomposition à partir duquel l’analyse doit être effectuée.

Ressources requises

Il est nécessaire de connaître les informations suivantes sur la structure du système :

Les différents éléments du système avec leurs caractéristiques, performances, rôles, et fonctions

Les branchements entre ces éléments

Le niveau et la nature des redondances

L’implantation du système dans l’installation globale

Les informations relatives aux fonctions, caractéristiques, rôles et performances doivent être connues à
tous les niveaux considérés jusqu’au niveau le plus élevé.

On doit préciser les différents modes de fonctionnement du système, les variations de configuration ou
de

position du système et ses composantes dans les différentes phases du fonctionnement. Les
performances

minimales exigées du système doivent être définies et des impératifs particuliers, comme la disponibilité

ou la sûreté, doivent être étudiés par rapport à des niveaux de performance, de dommage et de danger
spécifiés.

Il est également nécessaire de connaître :

Les durées de chaque tâche

Les intervalles entre les essais périodiques

Les délais d’intervention corrective avant l’apparition de conséquences graves pour le système

L’installation dans son ensemble, l’environnement et/ou le personnel

Les conditions de réparation comprenant les actions correctrices possibles et les délais

matériels et/ou personnels nécessaires pour leur mise en oeuvre

Il est nécessaire d’obtenir des informations complémentaires sur :

Les différentes procédures de mise en service du système

Le contrôle pendant les différentes phases de fonctionnement

L’entretien préventif ou correctif

Les méthodes employées pour les essais périodiques éventuels

Environnement du système

Il est nécessaire de préciser l’environnement du système, incluant les conditions ambiantes et celles qui
sont créées par d’autres systèmes. Il est également nécessaire de délimiter le système, c’est-à-dire de
définir ses relations et ses dépendances ou interconnexions avec d’autres systèmes, comme des
systèmes auxiliaires et des interfaces avec les opérateurs.

Dans quelques cas, l’AMDEC conduit à des décisions concernant les effets, la criticité et les probabilités
conditionnelles qui nécessitent l’identification de certains éléments du logiciel, leur nature, leur
séquence et leur synchronisation.

Représentation de la structure du système

Il est possible d’utiliser des représentations symboliques de la structure et du fonctionnement du
système, notamment des diagrammes. Les diagrammes généralement utilisés sont les diagrammes
fonctionnels qui

mettent en lumière toutes les fonctions essentielles du système.

Modes de défaillance

On définit un mode de défaillance comme l’effet par lequel une défaillance est observée sur un élément
du système.

L’importance du recensement complet de tous les modes de défaillance possibles ou potentiels de tous
les éléments d’un système est primordiale, car l’AMDEC est essentiellement fondée sur cette liste. Les
constructeurs de composantes ou d’équipements devraient être associés à la détermination des modes
de défaillance des produits qu’ils fabriquent. Le recensement est guidé par les différentes considérations
suivantes :

Si la composante est nouvelle, il est possible de se fier à des composantes dont les fonctions et la
structure se rapprochent le plus de cette dernière, ou aux essais déjà effectués.

Si la composante a déjà été mise en service et utilisée, il est possible de se référer à ses performances,
aux rapports de défaillance de cette composante et aux essais effectués en laboratoire.

Si les composantes sont complexes et peuvent être décomposées en éléments, elles peuvent être
analysées qualitativement en considérant chaque élément comme un système.

Il est aussi possible de déduire des modes de défaillance potentiels à partir des paramètres physiques et
des caractéristiques du fonctionnement d’une composante.

Deux classifications communes des modes de défaillance sont :

L’identification des modes de défaillance généraux déduits de la définition de la fiabilité (encart 3.3).

La classification la plus complète possible de tous les modes de défaillance génériques (encart 3.4).

Défaillance de mode commun (de cause commune) DMC

Une analyse de fiabilité ne peut pas se limiter aux défaillances aléatoires et indépendantes. Certaines
défaillances dites « de mode commun » (DMC) ou « de cause commune » peuvent se produire. Dans ce
cas, la dégradation des possibilités ou la défaillance du système est due à des pannes reliées à une
même cause (erreur de conception, erreur humaine, etc.) et survenant simultanément dans diverses
composantes dudit système. Une défaillance de mode commun résulte d’un événement qui, en raison
des dépendances, provoque simultanément des états de panne sur plusieurs composantes (en éliminant
les défaillances secondaires résultant des effets d’une défaillance primaire).

Les défaillances de mode commun peuvent être analysées de manière qualitative avec l’AMDEC. Comme
celle-ci consiste à examiner successivement chaque mode de défaillance et ses causes et à organiser
tous les essais périodiques et toutes les opérations d’entretien préventif nécessaire, etc., toutes les
causes possibles d’une défaillance de mode commun peuvent être passées en revue. Ces causes de
défaillance de mode commun appartiennent à cinq catégories principales :

Les effets de l’environnement (conditions normales, anormales ou accidentelles)

Les erreurs de conception

Les erreurs de fabrication

Les erreurs de montage

Les erreurs humaines (pendant l’exploitation ou l’entretien)

Une liste définie d’après ces catégories permet de définir précisément toutes les causes possibles de
défaillance de mode commun.

Facteurs humains

Lorsqu’on conçoit certains systèmes, il est essentiel de prévoir l’occurrence d’erreurs humaines, en
prévoyant par exemple des enclenchements mécaniques sur la signalisation ferroviaire, des mots de
passe permettant l’usage des ordinateurs ou l’accès aux données.

Erreurs de logiciel

Tout mauvais fonctionnement résultant d’erreurs ou de lacunes au niveau du logiciel aura des effets
dont la criticité dépendra de la conception – matériel et logiciel – du système. Prévoir ces erreurs ou
lacunes et analyser leurs effets n’est possible que dans une certaine mesure. Toutefois, il est possible
d’évaluer l’effet d’éventuelles erreurs au niveau du logiciel sur le matériel concerné.
Notion de criticité

L’attention qu’il convient d’accorder à une défaillance donnée dépend, de toute évidence, de sa
probabilité d’apparition, de la capacité de la détecter et de la gravité de ses conséquences. La
combinaison de ces trois facteurs permet d’établir un niveau prioritaire du risque (NPR) qui permet de
classer les risques en ordre décroissant de criticité ou d’importance. Il n’existe pas de critère général de
criticité applicable à un système, car cette notion est essentiellement liée au concept de gravité des
conséquences et à leur probabilité d’apparition. La notion de gravité elle-même peut être définie de
multiples façons, suivant que l’objectif recherché est d’assurer la sécurité des personnes, d’éviter les
dommages ou les pertes indirectes, ou de garantir la disponibilité du service.

L’introduction de la notion de criticité complète l’AMDEC en examinant :

Les éléments qui doivent faire l’objet d’une étude plus approfondie en vue d’éliminer un danger
particulier, d’améliorer la probabilité des conséquences non dangereuses ou de diminuer le taux de
défaillance, le risque ou l’étendue du dommage.

Les éléments qui méritent une attention spéciale pendant la fabrication, qui exigent des contrôles de
qualité sévères et dont la manutention doit être soumise à des normes strictes.

Les impératifs particuliers à inscrire dans les spécifications d’achat en ce qui concerne la conception, les
performances, la fiabilité, la sécurité et l’assurance de la qualité.

Les normes de réception des produits des sous-traitants ainsi que les paramètres qui devront être
minutieusement vérifiés.

Dans quels cas, des procédures, des mesures de sauvegarde, du matériel de protection, des systèmes de
surveillance ou d’alarme spéciaux devront être prévus.

La manière d’utiliser les moyens de prévention des accidents pour garantir la rentabilité maximale.

Il convient, pour définir la criticité, d’établir une échelle de valeurs permettant d’apprécier la gravité des
conséquences en fonction des critères retenus. L’encart 3.1 donne un exemple de classification à 10
niveaux. Le choix du nombre de degrés est assez arbitraire. Dans l’exemple cité, le nombre de degrés est
fixé en combinant quelques critères jugés pertinents, qui sont :

Les dommages subis par les personnes (blessures, mort)

La perte de la (ou des) fonction(s) du système

L’impact sur l’environnement

Les dommages subis par le matériel

Les informations suivantes sont nécessaires pour exécuter une AMDEC : schéma de principe, P&ID, liste
des équipements incluant leurs fonctions, leurs modes de bris ainsi que la réponse de l’installation à un
mode de bris. Une AMDEC peut être faite par un analyste, mais les résultats doivent être revus par
d’autres personnes pour assurer qu’ils sont complets. Tous les analystes devraient être familiers avec les
fonctions de l’équipement et les modes de bris.

Le temps nécessaire pour réaliser l’étude est proportionnel à la complexité de l’équipement. Le tableau

3.20 présente une estimation du temps requis pour faire une analyse par modes de défaillance.

TYPE DE SYSTÈME PRÉPARATION (animateur.trice) ÉVALUATION RAPPORT (animateur.trice)

Système simple 2 à 6 heures 1 à 3 jours 1 à 3 jours

Système complexe 1 à 3 jours 1 à 3 semaines 2 à 3 semaines

Estimation du temps requis pour effectuer une AMDEC

Ressources

LIENS ET RÉFÉRENCES EXTERNES

CEI/IEC 60812, Techniques d’analyse de la fiabilité des systèmes – Procédures des modes de défaillance
et de leurs effets (AMDE), Commission électrotechnique internationale, Genève, Suisse, 2018

Naviguer dans la page