Professional Documents
Culture Documents
SPECIALITE : TRCS
Rapport Bibliographique
SALLOUM Hassan
Le 30/1/2017
TITRE
La sûreté de fonctionnement
Et
L’analyse des modes de défaillance matériels et logiciels
JURY
Laboratoire : LS2N
2
Résumé
Laissez-moi vous indiquer un moyen qui ne serait certainement pas une panacée, mais dont
l'efficacité m'inspire toute confiance (Louis Pasteur). Le but de cette recherche est :
- De mettre en évidence les défaillances auxquelles sont confrontés les systèmes embarqués,
- L’étude de ces défaillances mises en évidence aux niveaux logiciels et matériels,
- Les moyens de prévention contre ces défaillances, grâce à des outils de la gestion des risques
comme l’AMDEC « Analyse des modes de défaillances, de leurs effets et leur criticité », et l’ADF
« Arbres de défaillances », dans le but de réduire les défaillances d’un système et de mettre en œuvre
les mesures correctives spécifiques.
Let me indicate a way that would certainly not be a panacea, but whose effectiveness inspires
confidence (Louis Pasteur). The purpose of this research is:
- To highlight the failures faced by embedded systems,
- The study of these failures highlighted at the software and hardware levels,
- Means of prevention against these shortcomings, using risk management tools such as the AMDEC
"Analysis of failure modes, their effects and their criticality", and the ADF "Trees of defects", with a
purpose Reduce system failures and implement specific remedial measures.
3
Table des matières
Résumé ...................................................................................................................................................... 3
Introduction ............................................................................................................................................... 5
Chapitre 1. Problématique ......................................................................................................................... 6
1.1. Étude de systèmes embarqués ........................................................................................................ 7
1.1.1. Niveau matériel ....................................................................................................................... 8
1.1.2. Niveau logiciel ........................................................................................................................ 8
1.2. Défaillance du système .................................................................................................................. 9
1.2.1. Cause de la défaillance matérielle ........................................................................................... 9
1.2.2. Cause de la défaillance logicielle ............................................................................................ 9
1.3. Conclusion.................................................................................................................................... 10
Chapitre 2. Sûreté de fonctionnement ..................................................................................................... 11
2.1. Définition ..................................................................................................................................... 11
2.2. Attribut ......................................................................................................................................... 11
2.3. Entrave ......................................................................................................................................... 12
2.3.1. Degrés de gravité des défaillances ........................................................................................ 12
2.3.2. Type des fautes ...................................................................................................................... 12
2.3.3. Pathologie des fautes ............................................................................................................. 12
2.4. Moyens ......................................................................................................................................... 13
2.4.1. Techniques de tolérance aux pannes ..................................................................................... 14
2.4.2. Désavantages ............................................................................................................................. 14
Chapitre 3. Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC) ................ 16
3.1. AMDEC ....................................................................................................................................... 16
3.2. Défaillances en AMDEC.............................................................................................................. 16
3.3. Types AMDEC............................................................................................................................. 17
3.4. Méthodologie AMDEC ................................................................................................................ 17
3.4.1. Initialisation de l’étude .......................................................................................................... 17
3.4.2. L'analyse fonctionnelle.......................................................................................................... 18
3.4.3. L'analyse des défaillances ..................................................................................................... 19
3.4.4. Évaluation des défaillances ................................................................................................... 19
3.4.5. Planification des actions ........................................................................................................ 21
3.4.6 Réévaluation de criticité ......................................................................................................... 22
3.5. Limitation d’AMDEC .................................................................................................................. 22
3.5.1. Arbre de fautes ...................................................................................................................... 23
3.6. Expérimentation sur AMDEC ...................................................................................................... 24
3.7. Conclusion.................................................................................................................................... 28
4
Introduction
Notre monde est marqué par l'exposition des technologies de l'information et la mondialisation des
marchés, où la technologie informatique embarquée est devenue l'un des systèmes les plus importants
dans notre monde, il intervient dans tous les systèmes à tous les niveaux, alors que l'occurrence d’une
erreur dans ces systèmes pourra entraîner des conséquences graves.
Par conséquent, toutes les entreprises sont concernées par la mesure, la gestion et la prévention des
risques qui pourraient entraver tout ce qui dépend de son système ce qui affecte finalement leur
produits et donc sur la continuité cette entreprise. Une des composantes principales de la gestion des
risques est la sûreté de fonctionnement qui est apparue au cours du XXe siècle, à la suite de la
révolution industrielle. C'est un domaine d'activité qui propose des techniques pour augmenter la
fiabilité et la sûreté des systèmes dans des délais et avec des coûts raisonnables, étant donné que
l’opinion publique accepte de moins en moins la notion de risque et demande des niveaux de sûreté et
de sécurité de plus en plus élevés.
5
Chapitre 1. Problématique
Les systèmes embarqués, devenus omniprésents dans tous les domaines, sont de plus en plus
impliqués dans les problèmes de sûreté, où les types de risques qui caractérisent un environnement
informatique embarquée et les procédures de sécurité et de contrôle nécessaires requièrent toute
l’attention des autorités de surveillance, d'où la nécessité d’une aptitude à détecter ces défaillances avec
des lois pour lutter contre ces entraves, ou peut-être les éradiquer !
Par exemple, entre le 17 et le 18 novembre 2004, une panne est survenue sur le réseau mobile de
Bouygues Telecom : 1,37 millions de clients n'ont pas pu du tout utiliser leur portable, et la facture de
la panne s'est enlevée à 16 millions d'euros. Cette panne provenait du dysfonctionnement de la base de
données qui sert à repérer le mobile du client, lui permet d'acheminer ses appels et d'en recevoir où
deux serveurs centraux jumeaux sont tombés en panne au même moment, dans deux lieux différents.
Les deux serveurs sont du matériel classique largement utilisé par de nombreux opérateurs de
téléphonie mobile avec, jusqu’à ce jour là, une fiabilité sans faille [2]. Dans ce cas, le problème a été
causé par des défaillances logicielles. Ce type de pannes majeures et répétées ont sérieusement entamé
la confiance du public dans la sûreté des réseaux de télécommunication et des systèmes informatiques
en général.
Parfois, ces défaillances conduisent à des catastrophes humaines, par exemple en 28 août 2009,
quatre personnes conduisant une voiture de type Lexus ES 350 fabriquée par Toyota, ont été tuées sur
la route 125 près de San Diego USA, après avoir perdu la capacité de contrôler l’accélération de la
voiture (les freins ne fonctionnaient pas). Cet évènement a déclenché une escalade d’enquêtes
remontant à 2002, pour prouver plus tard que ce problème était du à une défaillance électronique [3].
Dans de nombreux secteurs, on a pu constater que les défaillances sont de plus en plus fréquentes,
donc, comment peut-on fiabiliser et sécuriser ces systèmes? En effet, dans un contexte fortement
concurrentiel les entreprises cherchent à réduire leurs coûts et avancer les dates de lancement de leurs
produits, au détriment en particulier de la sûreté de fonctionnement. Pour que la fiabilité devienne un
argument de vente impératif, il faut être capable de l’évaluer ou la mesurer, naturellement, des moyens
et des méthodes sont à mettre en œuvre pour les maîtriser.
6
1.1. Étude de systèmes embarqués
Les systèmes embarqués sont désormais utilisés dans des applications diverses tels que le transport
(avionique, espace, automobile, ferroviaire), dans les appareils électriques et électroniques (appareils
photo, jouets, postes de télévision, électroménager, systèmes audio, téléphones portables), dans la
distribution d'énergie, dans l'automatisation, … Ils se présentent sous des formes très variées allant des
plus gros, les supercalculateurs aux plus petits tels que les cartes à puce.
Ils sont constitués, au niveau du matériel comme du logiciel de multiples composants assemblés
pour collaborer dans l'exécution d'une application et la défaillance de l’un d’entre eux peut suffire pour
bloquer tout le système qui peuvent être remis en état de marche après défaillances par des actions de
réparation ou maintenance sans avoir besoin de les remplacer.
Un système embarqué (système électronique/informatique) composé d’un système contrôlé qui est
l’environnement (procédé) équipé d'une instrumentation qui réalise l'interface avec le système de
contrôle qui contient les éléments matériels (microprocesseurs, mémoires, périphériques, etc) et
logiciels dont la mission est d'agir sur le procédé via les actionneurs en fonction de l'état de ce procédé
indiqué par les capteurs de manière maintenir ou conduire le procédé dans un état donné. Le système
matériel et l'application (logiciel) sont intimement liés et immergés dans le matériel et ne sont pas aussi
facilement discernables comme dans un environnement de travail classique de type ordinateur de
bureau PC [4].
7
1.1.1. Niveau matériel
C’est l'ensemble des pièces montées sur des circuits imprimés comme processeur, mémoire,
interfaces, avec des circuits logiques et numériques, etc. Les pièces servent soit à recevoir des
informations, à les envoyer, les échanger, les stocker ou les traiter. Toutes les opérations sont effectuées
conformément aux instructions contenues dans les logiciels et aux manipulations des périphériques de
l'interface homme-machine.
Il y a beaucoup de classes de produits logiciels, mais on peut discerner deux catégories principales :
logiciels système et applications. Le logiciel système est un logiciel de base requis pour gérer des
ressources informatiques et permettre l’exécution d’applications. Il comprend les systèmes
d’exploitation d’ordinateur, les systèmes d’exploitation de réseau, les logiciels de gestion de bases de
données, les logiciels de langages de programmation et d’autres outils de développement logiciel. Les
applications comprennent les programmes de l’utilisateur, des utilitaires pour la bureautique et divers
autres utilitaires [5].
8
1.2. Défaillance du système
Par défaillance d’un système, on entend par exemple qu’un produit, un composant ou un ensemble
un processus ou une organisation manifeste une défaillance ou s’écarte des spécifications : ne
fonctionne pas, ne fonctionne pas au moment prévu, ne s’arrête pas au moment prévu, fonctionne à un
instant non désiré, fonctionne mais les performances requises ne sont pas obtenues (la valeur du service
délivrée n’est pas conforme à la spécification ou bien la condition temporelle de délivrance du service
ne sont pas conformes à la spécification) [1].
Les systèmes embarqués sont utilisés dans des applications plus critiques dans lesquels leur
dysfonctionnement peut générer des nuisances, des pertes économiques ou des conséquences
inacceptables pouvant aller jusqu'à la perte de vies humaines.
Fonctionnant généralement en temps réel, les opérations de calcul sont faites en réponse à un
évènement extérieur (interruption matérielle) où la validité d'un résultat dépendent du moment où il est
délivré. Une échéance manquée induit une erreur de fonctionnement qui peut entraîner une panne du
système (plantage).
9
Une faute logicielle est un défaut du programme qui exécuté dans certaines conditions entraînera
une défaillance, c’est un caractéristique du programme qui existe même quand le logiciel n'est pas
utilisé. À l'inverse, une défaillance est un phénomène dynamique où le programme doit être exécuté
pour qu'elle se manifeste. Les erreurs se produisent en général lors de l’entrée des données ainsi que
durant le développement et la modification des programmes. Des erreurs importantes peuvent
également se glisser au cours de la conception des systèmes, des procédures routinières de gestion des
systèmes et de l’utilisation de programmes spéciaux destinés à corriger d’autres erreurs [2].
Quand une défaillance survient, on cherche à détecter la faute qui a provoqué cette défaillance et à
l'éliminer (correction ou débogage) dans le but de réduire l'occurrence d'apparition des défaillances.
Parfois, un logiciel est amené à changer radicalement certaines de ses fonctionnalités (maintenance
logicielle).
1.3. Conclusion
A priori, les défaillances des systèmes embarquées peuvent être soit d'origine matérielle, soit
d'origine logicielle [2].
10
Chapitre 2. Sûreté de fonctionnement
Le système embarqué peut subir des défaillances, qui peuvent mettre les vies humaines en danger ou
mettre en péril des investissements importants. Ils sont dits « critiques » et leur fiabilité est donc un défi
majeur. Ce type de système embarqué doit toujours donner des résultats pertinents dans les délais
attendus. Pour cela, ce chapitre présente la contrainte de sûreté de fonctionnement (SDF).
2.1. Définition
La sûreté de fonctionnement est l'aptitude d'une entité à satisfaire à une ou plusieurs fonctions
requises dans des conditions données, elle traduit la confiance qu'on peut accorder à un système. Selon
Alain Villemeur, la sûreté de fonctionnement est considérée comme la science des défaillances et des
pannes, et du point de vue de Jean-Claude Laprie, c’est la propriété qui permet aux utilisateurs du
système de placer une confiance justifiée dans le service qu'il leur délivre [7] [8].
2.2. Attribut
Selon Alain Villemeur et Jean-Claude Laprie [7] [8] [9], la sûreté de fonctionnement est basée sur
ces caractéristiques :
- La fiabilité : la probabilité pour qu’un dispositif accomplisse une fonction requise, dans des
conditions données, pendant un intervalle de temps donné (continuité des services).
- La maintenabilité : l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de
fonctionnement correct après modifications et réparations.
- La disponibilité : l'aptitude d'un composant ou d'un système à être en état de marche à un instant
donné, caractérise l'aptitude du système à fonctionner quand on a besoin de lui.
- La sécurité : l'aptitude d'un produit à respecter pendant toutes les phases de vie un niveau acceptable
de risque d'accident, susceptible de causer une agression du personnel ou une dégradation majeure du
produit ou de son environnement.
Une haute disponibilité exige une excellente fiabilité mais aussi une bonne maintenabilité. Dans le
cas de l’accident qui a coûté la vie de quatre personnes d’une voiture de type Toyota [3], nous
concluons en l’absence au niveau de sécurité (présence d’un évènement critique durant la conduite), et
au niveau de fiabilité (la voiture n'a pas répondu à la volonté de son conducteur de l'arrêter suite à une
panne survenue dans le système de contrôle de la voiture).
11
2.3. Entrave
Les entraves à la sureté de fonctionnement (fautes, erreurs, défaillances) sont les circonstances
indésirables mais non inattendues causes aux résultats de la non sûreté. Le lien entre ces concepts est
que la défaillance d’une partie d’un système peut devenir une faute pour le reste du système [11] [7]
[10]. Ces entraves se définissent par :
- Défaillance : écart observable entre le service attendu et le service rendu.
- Erreur : tout ou partie de l’état interne du système pouvant causer sa défaillance.
- Faute : la cause adjugée ou supposée d’une erreur est une faute.
Une erreur peut être latente ou détectée, elle est latente tant qu’elle n’a pas été reconnue en tant que
telle. Par exemple, dans le cas d’une transmission incluant une somme de contrôle, une erreur est
détectée par un algorithme de vérification de cette somme. Une erreur peut disparaître avant d’être
détectée et peut se propager en créant des nouvelles erreurs.
12
Une défaillance survient lorsqu’une erreur passe à travers l’interface système utilisateurs et affecte
le service délivré par le système. La conséquence de la défaillance d’un composant est une faute pour le
système [7].
Exemple 1 [14]:
Int A, B, X, Y, K
If (A=B) {X = A - B}
If (K=1) {Y = Y/X}
Supposons que l’instruction (X= A – B) soit une faute, où il fallait écrire (X = A + B). Si lors d’une
exécution, A et B sont égaux il y aura d’erreur. Dans le cas, où K prend la valeur « 1 » il y aura donc
une défaillance.
Exemple 2 [14]:
Le programmeur mis une faute dans le code d’un routeur d'un réseau, où il a écrit (I=0) au lieu de
(I=1), qui est l'instruction correcte. À un moment particulier, l'ordinateur exécute cette instruction et
suite à un certain calcul, un tampon est dimensionné à 10 au lieu de 100, on a donc une erreur. Les
conditions d'utilisation du réseau font qu'exceptionnellement, ce jour-là, la charge est telle que le
tampon reçoit un trafic trop important. Il y a alors trop de pertes (plus que les niveaux maximaux
spécifiés) : on a une défaillance. Noter la non implication certaine de l'erreur après la faute ni de la
défaillance après l'erreur.
2.4. Moyens
Les moyens sont des solutions éprouvées pour casser les enchaînements (Faute → Erreur →
Défaillance) et donc améliorer la fiabilité du système. Il est donc impératif de tout faire pour éviter que
des pannes informatiques majeures se produisent. Pour cela, on dispose de nombreuses méthodes dont
le but est de produire des logiciels de fonctionnement sûr (système sûr de fonctionnement). On peut
classer ces méthodes en 4 catégories [7] ; le sujet de cette étude portant sur la méthode de la tolérance
aux fautes, nous citons simplement les trois premières en nous focalisant dans la suite sur la quatrième :
- Prévention des fautes : ces méthodes ont pour but d'empêcher l'occurrence et l'introduction de
fautes dès la conception du logiciel.
- Prévision des fautes : ces méthodes ont pour but d'estimer la présence des fautes et de prévoir les
défaillances futures du système.
- Élimination des fautes : ces méthodes ont pour de détecter des fautes dans un programme déjà
écrit. Elles comprennent les preuves de programmes, les inspections formelles, la vérification et
surtout le test du logiciel.
13
- Tolérance aux fautes ou aux pannes : ces méthodes ont pour but de permettre au système de
fonctionner correctement même en présence de fautes.
- La tolérance aux pannes par réplication [15] : se base sur la redondance des processus composants
l’application. Cette approche permet de masquer les pannes éventuelles, lorsqu’un processus tombe en
panne, une des copies de ce processus prend sa place dans le système. On distingue trois approches
différentes pour réaliser la redondance des processus, selon que les copies s’exécutent
systématiquement en parallèle ou que l’exécution des copies soit démarrée en cas de panne :
- la réplication active : toutes les copies de processus s’exécutent en même temps.
- la réplication passive : une seule des copies, la copie primaire, s’exécute à la fois.
- la réplication semi-active : toutes les copies s’exécutent en même temps, mais une seule d’entre elle,
la copie maîtresse, émet les messages résultants de l’exécution.
- La tolérance aux pannes par recouvrement arrière [15] : est de capturer suffisamment de données
pendant une exécution distribuée sans panne, et de stocker ces données en mémoire stable. Les données
collectées doivent pouvoir être utilisées pour redémarrer tout ou partie de l’application si une panne est
détectée, ces données doivent former un état recouvrable.
2.4.2. Désavantages
- Interférence avec la détection de panne : pour reprendre l'exemple de la voiture capable de rouler
malgré un pneu crevé, un conducteur peut ne pas être en mesure de savoir que sa roue, équipée un
système tolérant aux pannes, vient de crever. C'est souvent pris en charge par un système séparé de
détection automatique de pannes [16].
- Difficulté du test : pour certains systèmes de tolérance aux pannes comme les réacteurs nucléaires,
il n'y a pas de moyen facile de vérifier que les composants de sauvegarde sont opérationnels.
14
Un exemple peu connu est l’accident de la centrale nucléaire de Forsmark en Suède en juillet 2006,
durant les travaux de maintenance qui ont causé un court-circuit qui a coupé la centrale nucléaire du
réseau électrique, provoquant l’arrêt du réacteur numéro un. Mais le court-circuit s’est propagé à
l’ensemble du circuit d’alimentation des générateurs de secours qui ont aussi été victimes de ce court-
circuit, et, le système de secours ne fonctionna pas, provoquant la fusion du cœur et l'échappement d’un
nuage radioactif [17].
15
Chapitre 3. Analyse des modes de défaillance, de leurs effets et
3.1. AMDEC
L'AMDEC est un outil de sûreté de fonctionnement et de gestion de la qualité, elle a été créée aux
États-Unis en 1966. L’Association française de normalisation définit l’AMDEC comme étant « une
méthode inductive qui permet de réaliser une analyse qualitative et quantitative de la fiabilité ou de la
sécurité d’un système » [1].
Cette méthodologie visant à identifier les modes potentiels et traiter les défaillances avant qu'elles ne
surviennent, avec l'intention de les éliminer ou de minimiser les risques associés, détermine les points
faibles du système et y apporter des remèdes puis fait étudier les conséquences de défaillances vis-à-vis
des différents composants enfin classer les défaillances selon certains critères [18].
16
3.3. Types AMDEC
Cette analyse possède différents domaines d’application et diffèrent types [20]:
Le groupe de travail constitué doit représenter l’ensemble des fonctions touchant à la machine :
service production (opérateurs, agent de maîtrise, ...), service maintenance (spécialités, méthodes, ...),
service méthodes. C'est une étude exigeante, ou les participants devront s'impliquer sérieusement et
accorder le temps nécessaire pour réaliser correctement la part d'étude, définir le périmètre et les
objectifs de l’analyse. Le groupe de travail est dirigé par un animateur garant de la méthode et des
experts peuvent être invités occasionnellement en fonction des besoins [21] [22].
17
3.4.2. L'analyse fonctionnelle
L’analyse fonctionnelle ou bien décomposition fonctionnelle consiste à lister et à mettre en relation
toutes les fonctions du produit (ensemble des tâches élémentaires réalisées par des matériels pour
fournir un résultat nécessaire et indispensable à la fonction suivante) dans le but étant d’analyser pour
chaque fonction les risques et d'identifier les causes de dysfonctionnement potentiel.
La figure 3.1 [1] illustre un ordinogramme (flow chart) du processus d’une distributrice de café. Ce
processus est un ensemble d’opérations élémentaires qui se déroulent à partir du besoin à satisfaire
jusqu’à la consommation du café. Une fois les fonctions identifiées, on passe à l’étape de l’analyse ou
l’étude qualitative (causes – modes de défaillance – effets de défaillance).
18
3.4.3. L'analyse des défaillances
Il s'agit de réaliser une étude rationnelle des modes de défaillance, des causes et des effets. La
réussite de cette troisième étape est directement dépendante du soin apporté au découpage fonctionnel
[1] [22]. Par exemple le processus de la distributrice de café qui remplit le verre, l’opération est
effectué correctement si le verre est rempli d'un café qui correspond à une qualité et à un volume
désirés.
- Défaillance complète est que la distributrice ne remplit pas le verre.
- Défaillance partielle est que la distributrice remplit le verre avec de l'eau seulement.
- Performance supérieure de la fonction est que la dose de café dépasse le seuil.
À partir de ces trois modes de défaillances on analyse quel est l'effet potentiel « sans doute négatif »
pour le client. Pour chaque mode on peut avoir une ou plusieurs causes, par exemple dans le deuxième
mode de défaillance une cause possible est que la machine manque de café ou bien qu'il y a un blocage
dans le circuit interne de la machine qui empêche la fusion entre l'eau chaude et le café.
Ces trois indices s'expriment habituellement sur une échelle pouvant atteindre jusqu'à 10 niveaux
[16] selon les cas (4 niveaux sont suffisants pour les cas les plus courants [23]). Pour la criticité,
l’AMDEC produit/processus utilise un seuil de de 100 et pour l’AMDEC-moyen un seuil de 16.
Exemple 2 [24]
Exemple 3
Un moteur à courant continu, contrôlé par un bouton poussoir BP relié à un relais qui provoque la
fermeture du contact pour que le moteur alimenté lorsque l’opérateur relâche le bouton. On suppose
que le fil AB traverse une zone des vapeurs inflammables qui cause la surchauffe du fil.
20
Le système est conçu pour faire fonctionner le moteur électrique pendant un temps très
court, on admet qu'un fonctionnement prolongé peut entrainer sa destruction par suite d'un
échauffement du moteur et de l'apparition d'un courant élevé dus à un court-circuit où le contact
du relais reste collé, même après la désexcitation du relais.
Exemple, imaginons une machine équipée de pneumatiques, pour diminuer la criticité d'une
crevaison jugée inacceptable, on pourrait décider de reprendre la conception et minimiser : l'indice de
fréquence (en améliorant la structure du pneu, voire en utilisant un pneu increvable), l'indice de gravité
(en utilisant des roues jumelées), l'indice de détection (en équipant le poste de conduite de témoins de
pression pneumatique).
21
3.4.6 Réévaluation de criticité
C’est le moment de vérité pour la méthode. Un nouvel indice de criticité est calculé, en prenant en
compte les actions prises. L’objectif de cette réévaluation est de déterminer l’impact et l’efficacité des
actions prises. Le nouvel indice de criticité doit donc être inférieur au seuil de criticité [1].
Ancien Résultat
Action préventives
criticité D F G C
60 - Suivi statistique des pannes
- Vérification mensuelle de l’état de la distributrice
1 3 5 15
- Inscrire le numéro de téléphone de l’entretien sur la
distributrice
0
250 Chaque matin remplir la distributrice de café 2 2 10 40
100 Faire régulièrement entretien préventif 2 1 10 20
56 Une vérification par jour 1 1 5 5
80 Sélectionner les marques, identifier le délai de conservation 1 1 8 8
Tableau 3.7. Réévaluation de criticité de la distributrice de café
La prise en compte des défaillances de cause commune est en contradiction avec l'hypothèse de
l'AMDEC qui consiste à ne considérer qu'une défaillance à la fois [25]. La qualité d'une AMDEC est
liée à l'exhaustivité des modes de défaillance identifiés, celle-ci est fortement dépendante de
l'expérience des auteurs de l'étude, de plus l'outil AMDEC ne doit pas devenir une fin en soi. Les
actions préconisées doivent être mises en œuvre et un suivi de leur efficacité doit être assuré. Celle-ci
peut toutefois être prise en compte de façon informelle dans le tableau, en ajoutant des effets sous
conditions. Pour les prendre en compte de façon rigoureuse, il est nécessaire de construire un « arbre de
défaillances » menant à l'effet global examiné.
22
3.5.1. Arbre de fautes
La méthode de l'arbre de défaillances ou bien arbre de fautes (ADF) est une technique utilisée dans
les études de sécurité et de fiabilité des systèmes, qui consiste à représenter graphiquement les
combinaisons possibles d’évènements qui permettent la réalisation d’un évènement indésirable
prédéfini (met en évidence des relations de cause à effet), c'est-à-dire qu'elle permet d'avoir une vision
globale du fonctionnement et des dysfonctionnements d'un système.
- Les principales limites sont que l’arbre des défaillances ne rend pas compte de l'aspect temporel des
scénarios d'évènements conduisant à la défaillance, ainsi cette méthode est binaire, un évènement peut
soit se produire, soit ne pas se produire [26].
L'analyse par l'arbre de défaillance se concentre sur un évènement particulier qualifié d'indésirable
ou de redouté car on ne souhaite pas le voir se réaliser. Cet évènement devient le sommet de l'arbre et
l'analyse a pour but d'en déterminer toutes les causes [27] :
1- Sélection d’un évènement indésirable.
2- Développement des niveaux successifs.
- Chaque évènement est engendré par des évènements du niveau inférieur à l’aide d’opérateurs
logiques.
- Deux niveaux successifs sont reliés par des portes logiques.
- La décomposition s’arrête quand on aboutit à des évènements élémentaires : évènements qu’il
n’est pas utile de détailler, évènements indépendants entre eux, évènements dont on sait évaluer la
probabilité d’occurrence.
3- À chaque étape et pour un seul évènement à la fois on pose la question : comment cet évènement
peut-il se produire?
23
Figure 3.4. Analyse par arbre de défaillance d’une lampe alimentée par batterie
24
Figure 3.6. Architecture matérielle du système
25
3- Analyse des défaillances et évaluation de criticité
Modes de Criticité
Elément Fonctions Causes Effets
défaillance D F G C
Le bouton est Défaillance Le système ne
Bouton Start Interrupteur 1 1 2 2
bloqué mécanique démarre pas
Surchauffe du fil
Capteur Mesure de de connexion Défaillance système ne
3 2 3 18
ultrasonique distance entre capteur et mécanique fonctionne pas
microcontrôleur
Fermeture et Moteur tombé Défaillance
Servomoteur ouverture de en panne mécanique système sans but 2 2 3 12
pince
Moteur tourne
Ralentissement trop longtemps
Défaillance
Déplacement durant le et la main robot 3 2 4 24
mécanique
DC moteur de la main déplacement ne pas accéder à
robot la boîte
Moteur tombé Défaillance
Système sans but 2 2 3 12
en panne mécanique
Relais Passage de Courant élevé
Contact collé système sans but 3 3 4 36
courant dans circuit
Coupure du
Courant Alimente le Absence du Système non
courant 3 2 4 24
électrique DC moteur courant synchronisé
électrique
Tableau 3.8. Etude de criticité de la machine
Ancien Résultat
Action préventives
criticité D F G C
2 Vérification mensuelle de l’état du capteur 1 1 1 1
18 Mettre deux capteurs au lieu d’un seul 2 1 1 2
12 Vérification mensuelle de l’état du servo-moteur 1 1 2 2
Vérification mensuelle de l’état
24 - Améliorer le niveau de logiciel pour signifier l’arrivé de main robot à 1 2 2 4
la boîte on utilisant un interrupteur mécanique
12 Vérification mensuelle de l’état du DC moteur 1 1 2 2
- Vérification à chaque utilisation de l’état
- Utilisation d’un régulateur de tension 220 VAC
36 1 2 2 4
- Addition d’un voltmètre en parallèle à la borne sortie du relai pour
surveiller la tension sortie
Utilisation d’une autre source du courant plus l’amélioration du niveau
24 1 1 2 2
logiciel pour signifier la présence ou l’absence de l'électricité
Tableau 3.9. Réévaluation de criticité de la machine
26
5- Explication de l’action préventive :
Pour signifier l’arrivée de la main robot au-dessus de la boîte, on ajoute unz variable (arrive) à la
fonction (déplace-droite), indiquant la situation de l’interface du microcontrôleur reliée à l’interrupteur,
qui va activer un signal sonore comme indicateur.
Dans la fonction « déplace-droite », on ajoute ce condition : IF [arrive==HIGH] {BIP}.
Et pour signifier la présence ou l’absence de l'électricité, on ajoute une variable (état) à chaque
fonction, indiquant la situation de l’interface du microcontrôleur reliée au convertisseur, qui va obliger
le logiciel de faire attendre et d’allumer une LED comme un indicateur de l’absence d’électricité.
Débogage du logiciel:
Fonction «détecte» IF [(détecte==1) et (état==LOW)] {attend} ELSE [appelle la fonction «prendre»]
Fonction «prendre» IF [état==LOW] {attend} ELSE [fermeture pince et appelle la fonction suivant]
La qualité d'une AMDEC est liée à l'exhaustivité des modes de défaillance identifiés. Celle-ci est
fortement dépendante de l'expérience des auteurs de l'étude. En outre, la formalisation induite par la
grille d’analyse permet de conserver et de capitaliser les informations relatives aux caractéristiques des
moyens de production, des produits et des processus. Contrairement à l’approche inductive de
l’AMDEC qui ne cible pas les conséquences des défaillances élémentaires, l’approche déductive de
l’arbre de défaillance permet de se focaliser exclusivement sur les défaillances contribuant à
l’évènement redouté.
28
Liste des figures
Figure 1.1. Architecture du système embarqué ......................................................................................... 7
Figure 1.2. Architecture matérielle d’un GPS ........................................................................................... 8
Figure 1.3. Architecture logicielle d’un GPS ............................................................................................ 8
Figure 3.1. L'ordinogramme du processus de la distributrice de café ..................................................... 18
Figure 3.2. Circuit commande d’un moteur ............................................................................................ 21
Figure 3.3. Passage AMDEC arbre de fautes .......................................................................................... 23
Figure 3.4. Analyse par arbre de défaillance d’une lampe alimentée par batterie .................................. 24
Figure 3.5. Un système de rangement des balles .................................................................................... 24
Figure 3.6. Architecture matérielle du système ...................................................................................... 25
Figure 3.7. L'ordinogramme du système ................................................................................................. 25
Figure 3.8. Architecture du système après réévaluation ......................................................................... 27
Figure 3.9. Analyse par ADF du moteur DC de la machine ................................................................... 27
29
Bibliographie
[1] Joseph Kélada, École des Hautes Études Commerciales Centre d'études en qualité totale
« L’AMDEC », France 1994.
Adresse URL: http://neumann.hec.ca/sites/cours/6-510-96/AMDEC.pdf
[2] Olivier Gaudoin, École Grenoble INP « fiabilité des systèmes et des logiciels », pp. 1-14, Grenoble.
Adresse URL: http://www-ljk.imag.fr/membres/Olivier.Gaudoin/FSL.pdf
[3] Prof. Phil Koopman, Carnegie Mellon University « A Case Study of Toyota Unintended
Acceleration and Software Safety », Pittsburgh 18 septembre 2014.
Adresse URL: https://users.ece.cmu.edu/~koopman/pubs/koopman14_toyota_ua_slides.pdf
[6] Michèle Landois, « la revue de la sureté de fonctionnement », Journale Phobus, 2éme trimestre, n2,
pp.1-22, Bordeaux 1997.
[7] J.-C. Laprie assisté de Jean ARLAT, livre OFTA « INFORMATIQUE TOLÉRANTE AUX
FAUTES », association observatoire français des techniques avancées, Guide MASSON, ARAGO 15,
pp. 15-46, Paris 1994.
[8] Alain Villemeur, « Sûreté de fonctionnement des systèmes industriels », Paris, Eyrolles, collection
de la direction des études et recherches d'Électricité de France, page 744, juillet 1988 (ISSN 0399-
4198).
[9] Jean-Claude Laprie, LIS sous la direction de J.-C. Laprie, « Guide de la sûreté de fonctionnement »,
Toulouse, Cépaduès, mai 1995, 2e éd., 369 p. (ISBN 978-2-85428-382-2).
[11] Thomas Robert, Université TELECOM ParisTech « Tolérance aux fautes des systèmes
informatiques », pp. 1-22.
Adresse URL : http://perso.telecomparistech.fr/~pautet/sar/eter/supports/taf.pdf
[12] « Aptitude d'un système informatique à demeurer fonctionnel malgré certaines pannes de ses
constituants », Arrêté du 19/02/1993 - date de la publication : 22/09/2000, éd. commission de
l'informatique et des composants électroniques.
Adresse URL : http://dictionnaire.sensagent.leparisien.fr/TOLERANCE%20AUX%20PANNES/fr-fr/
[13] Jean Arlat, Yves Crouzet, Yves Deswarte, Jean-Charles Fabre, Jean-Claude Laprie, David Powell,
« Tolérance aux fautes », Paris, France 2006.
Adresse URL: https://homepages.laas.fr/arlat/documents/05156/05156.pdf
30
[14] G.Rubino, « Introduction à la sûreté de fonctionnement », pp. 1-12, France 2006.
Adresse URL:
http://www.irisa.fr/armor/lesmembres/Rubino/myPages/MATOS%20TEACHING/intro%20a%20la%2
0SdF.pdf
[15] Pti Gars, « Les systèmes à tolérance de pannes», mardi 15 janvier 2008.
Adresse URL: http://www.fredptitgars.net/informatique/Les-systemes-a-tolerance-de-pannes
[17] CPEPESC, « À deux doigts d’un nouveau Tchernobyl à Forsmark en Suéde ! », 13 août 2006.
Adresse URL: http://www.cpepesc.org/A-deux-doigts-d-un-nouveau.html
[21] Maris consulting, « AMDEC principe de base », Des Usines, des Hommes & des Résultats,
Version 1.0, Paris, 3 janvier 2011.
Adresse URL:
http://www.marrisconsulting.com/medias/fichiers/201101_outil_du_mois_amdec_marris_consulting.pd
f
[23] Jérémy CICERO, responsable et auteur du Qualiblog, Blog, « AMDEC : mode d’emploi ».
Adresse URL: http://www.qualiblog.fr/outils-et-methodes/amdec-mode-demploi/
[25] FLAUS Jean-Marie, « Analyse des risques des systèmes de production industriels et de services :
Aspects technologiques et humains », pp.191-192, Lavoisier, 1 Octobre, 2013.
Adresse URL:
https://books.google.fr/books?id=Ro5fAgAAQBAJ&pg=PA192&lpg=PA192&dq=limitation+de+AM
DEC&source=bl&ots=psbPsPQ5W8&sig=GlcJxHwfhAlKEEnQeOACl0UTiNo&hl=en&sa=X&ved=0
ahUKEwjPptabwdvQAhWDiRoKHb5TA-
wQ6AEIODAD#v=onepage&q=limitation%20de%20AMDEC&f=false
31
[26] Analyse de risques : Identification et estimation : Démarches d'analyse de risques - Méthodes
qualitatives d'analyse de risques « Méthode de l'Arbre de Défaillance ou de Défaut ou de Faute».
Adresse URL:
http://www.unit.eu/cours/cyberrisques/etage_3_aurelie/co/Module_Etage_3_synthese_39.html
32