Download - These Amdec
-
THESE prsente par
Vincent OZOUF
Pour obtenir le diplme de
DOCTEUR DE LUNIVERSITE DE SAVOIE
(Arrt ministriel du 30 mars 1992)
Spcialit : gnie Industriel
CCoonncceevvooiirr eett pprroodduuiirree ssrr ddee ffoonnccttiioonnnneemmeenntt ::
CCCooommmmmmeeennnttt cccooonnnssseeerrrvvveeerrr uuunnn nnniiivvveeeaaauuu dddeee rrriiisssqqquuueeesss aaacccccceeeppptttaaabbbllleee
dddaaannnsss uuunnn cccooonnnttteeexxxttteee dddeee cccooonnnccceeeppptttiiiooonnn /// iiinnnddduuussstttrrriiiaaallliiisssaaatttiiiooonnn dddeee
pppllluuusss eeennn pppllluuusss rrraaapppiiidddeee ddduuunnn ppprrroooddduuuiiittt dddeee pppllluuusss eeennn pppllluuusss
cccooommmpppllleeexxxeee
Soutenue publiquement le 7 dcembre 2009 devant un jury compos de
Zohra CHERFI Rapporteur Professeur luniversit Technologique de Compigne
Alain BARREAU Rapporteur Professeur lInstitut des Sciences et Techniques de lIngnieur dAngers
Jean-Pierre NADEAU Prsident Professeur lEcole Nationale Suprieure des Arts et Mtiers de Bordeaux
Pierre MOREL Membre du jury Directeur Qualit du groupe SOMFY
Maurice PILLET Directeur de thse Professeur luniversit de Savoie
Paul SCHIMMERLING Membre du jury Chef de la cellule d'expertise " Statistiques et Optimisation de la Conception" de lingnierie mcanique du groupe RENAULT
Prpare au sein du laboratoire SYMME
Systme et Matriau pour la MEcatronique
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Table des matires
Concevoir et produire sr de fonctionnement Page 2/226
Sommaire
Introduction 6
La matrise de risque en conception 10 1. Introduction 11 2. Lanalyse fonctionnelle 13
2.1. Phase 1 : Dfinir les limites du systme 14
2.2. Phase 2 : Validation du besoin du systme 15
2.3. Phase 3 : Rechercher les diffrentes situations de vie 16
2.4. Phase 4 : Lister les environnants du systme 17
2.5. Phase 5 : Rechercher les fonctions du systmes 18
2.6. Phase 6 : libeller les fonctions 19
2.7. Phase 7 : Caractriser les fonctions 20
2.8. Lanalyse fonctionnelle interne ou technique 22
2.8.1. Dcomposition du systme 23 2.8.2. Identification des flux lintrieur du systme 23
3. LAnalyse Prliminaire de Risques 25 3.1. LAPR approche fonctionnelle 26
3.2. LAPR approche agressions 33
3.2.1. Agression du systme vers lextrieur 34 3.2.2. Agression du milieu extrieur sur le systme 35
4. LAMDEC Produit 36 4.1. LAMDEC Produit : approche fonctionnelle 37
4.1.1. Analyse qualitative de lAMDEC Produit approche fonctionnelle 38 4.1.2. Analyse quantitative de lAMDEC Produit approche fonctionnelle 43 4.1.3. Etude comparative des grilles de cotation proposes par les
constructeurs automobile 45 4.1.4. Nos propositions en termes de grilles de cotation dAMDEC Produit 56 4.1.5. Actions correctives mettre en uvre suite lAMDEC Produit 61 4.1.6. Mise jour des AMDEC Produit 64
4.2. LAMDEC Produit : approche composant 65
4.3. Lien entre lapproche fonctionnelle et lapproche composant 68
4.4. Dfinition des caractristiques spciales du produit 70
5. Larbre de dfaillance 72 5.1. Arbre de dfaillance, arbre des causes ou arbres dvnements 72
5.2. Construction de larbre de dfaillance 73
5.2.1. Dfinition de lvnement redout (sommet de larbre) 74 5.2.2. Les portes logiques 74 5.2.3. Droul de lanalyse 75
5.3. Evaluation de la robustesse de conception par le niveau de coupe 76
5.4. Evaluation de la probabilit dapparition de l'vnement redout 77
5.5. Allocation fiabilit des diffrents composants du systme 78
6. Conclusion du chapitre 79
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Table des matires
Concevoir et produire sr de fonctionnement Page 3/226
La matrise de risque en fabrication 81 1. Introduction 82 2. Cartographie du processus 82
2.1. Descriptif du diagramme de flux 82
2.2. Recherche des paramtres par un plan dexpriences 86
3. AMDEC Processus 89 3.1. Constitution du groupe de travail 90
3.2. AMDEC Processus : Partie analyse qualitative 91
3.3. AMDEC Processus : Partie analyse quantitative 98
3.3.1. Cotation de loccurrence 98 3.3.2. Cotation de la gravit 99 3.3.3. Cotation de la dtection 100 3.3.4. Etude comparative des grilles de cotation proposes par les
constructeurs automobile 100 3.3.5. Nos propositions en termes de grilles de cotation dAMDEC
Processus 112 3.3.6. Approche originale de cotation de lAMDEC Processus : la cotation
ppm 116 3.4. AMDEC Processus : Partie actions correctives 118
3.5. Mise jour des AMDEC processus 122
4. Conclusion du chapitre 122
Vers une matrise de risque efficiente en conception 124 1. Introduction 125 2. Procdure de conception sre et rapide 126 3. Apport au niveau de lanalyse fonctionnelle 127 4. Amlioration de lefficience au niveau de lAPR fonction 127
4.1. Positionnement de chaque fonction dans notre matrice Importance /
Matrise 128
4.2. Dtermination du mode de dfinition du type de validation 130
5. Notre approche de validation des fonctions de type scuritaire par arbre de dfaillance 134
5.1. Dtermination du niveau SIL des dfaillances racine 135
5.2. Construction du plan de validation en fonction du niveau SIL des
dfaillances racine 138
6. Notre approche de dtermination des validations fonctionnelles par lAMDEC produit (approche fonctionnelle) 139
6.1. Problmes relatifs lapproche classique 140
6.1.1. Problme N1 : Non primeur des approches de conception robuste sur les actions de validation 140
6.1.2. Problme N2 : Sur-qualit potentielle 141 6.1.3. Problme N3 : Perte de temps dans la ralisation des AMDEC par
une recherche de causes parfois inutile 141 6.2. Notre approche pour raliser les AMDEC Produit 142
6.2.1. Recherche des modes de dfaillances potentiels, de leurs effets et coter les critres doccurrence et de gravit 142
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Table des matires
Concevoir et produire sr de fonctionnement Page 4/226
6.2.2. Recherche des Actions Correctives pour rduire les occurrences les plus leves 143
6.2.3. Dfinition du plan de validation 145 7. Dtermination de la relation fonction / caractristique par la matrice dimpact 153
7.1. Cas o on dispose dune relation Y = f(x1, ,xk) connue 154
7.1.1. Calcul des contributions dans le cas dun tolrancement statistique 154 7.1.2. Calcul des contributions dans le cas dun tolrancement au pire cas 154
7.2. Cas o on ne dispose pas dune relation Y = f(x1, ,xk) connue 155
8. Amlioration de lefficience au niveau de lAPR agression 157 8.1. Positionnement de chaque composant dans notre matrice Importance /
Matrise 157
8.2. Dtermination du mode de dfinition du type de validation 159
9. Notre approche de dtermination des validations composants par lAMDEC produit (approche composant) 162
9.1. Recherche des dfaillances potentielles, et en coter loccurrence 163
9.2. Recherche des effets et valuation de la gravit de ces dfaillances grce
la matrice dimpact 164
9.2.1. Dtermination la note de gravit des fonctionnalits client 165 9.2.2. Dtermination de la gravit des caractristiques produit 166
9.3. Recherche des actions correctives mettre en uvre pour rduire les
occurrences les plus fortes 170
9.4. Construction du plan de validation ncessaire et suffisant pour viser
lobjectif de criticit souhait. 171
10. Conclusion du chapitre 175
Vers une matrise de risque efficiente en industrialisation 177 1. Introduction 178 2. Avertissement 179 3. Procdure dindustrialisation efficiente 180 4. Cration du processus de fabrication et du diagramme de flux correspondant 180 5. Traitement des dfaillances process pouvant gnrer des dfaillances
scuritaires 183 5.1. Construction de larbre de dfaillance avec les causes process 183
5.2. Evaluation en SIL des dfaillances process 185
5.3. Construction du plan de surveillance en fonction du niveau SIL des
dfaillances racine 187
6. Notre approche de dtermination du plan de surveillance par lAMDEC processus 190
6.1. Problmes relatifs lapproche classique 191
6.1.1. Problme N1 : Non primeur des actions de matrise sur les actions de contrles 191
6.1.2. Problme N2 : Sur-contrle potentiel 192 6.1.3. Problme N3 : Perte de temps dans la ralisation des AMDEC 192
6.2. Notre approche pour raliser les AMDEC Processus 192
6.2.1. Recherche des anomalies potentielles 193 6.2.2. Rechercher des Actions correctives pour rduire les occurrences les
plus leves 194
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Table des matires
Concevoir et produire sr de fonctionnement Page 5/226
6.2.3. Construction du plan de surveillance au juste ncessaire 195 7. Approche globale de scurisation dune industrialisation par la matrice dimpact
complte. 199 7.1. Analyse de la gravit associe chaque caractristique du produit 200
7.2. Analyse de loccurrence relative chaque caractristique du produit 201
7.2.1. Dtermination du mode de dfaillance process pouvant gnrer une anomalie sur la caractristique 202
7.2.2. Dtermination dun poids chaque mode de dfaillance process 203 7.2.3. Dtermination de la difficult de ralisation de la caractristique 203 7.2.4. Calcul de loccurrence 204 7.2.5. Rduction des occurrences les plus fortes 205
7.3. Dfinition du plan de surveillance 206
7.3.1. Dtermination de la position des contrles 207 7.3.2. Dtermination du mode de dtection 208
7.4. Evaluation de la satisfaction client 210
8. Conclusion du chapitre 214
Conclusion 216
Bibliographie 221
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Introduction
Concevoir et produire sr de fonctionnement Page 6/226
INTRODUCTION
Matrise de risques et conception rapide : est-ce antinomique ?
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Introduction
Concevoir et produire sr de fonctionnement Page 7/226
Matrise de risques et conception rapide : Est-ce antinomique ?
Dans nos civilisations modernes, autant les populations acceptent de prendre les risques quelles choisissent (dans leurs activits sportives, en jouant la bourse, ...) autant elles ne supportent plus les risques subis tels que les risques de contamination par les aliments (problme de la vache folle), les risques mdicaux (scandale du sang contamin), les risques industriels (Tchernobyl, Bhopal, ..) ou les accidents lis des produits dfectueux (prtendu problme sur le rgulateur de vitesse des Renault VEL SATIS). Cette aversion des populations pour le risque subi se retrouve naturellement dans la loi. Ainsi, lorsque le lgislateur stipule que le producteur est responsable du dommage caus par son produit [Conseil europen, 1985], il transfert une partie du risque, autrefois support uniquement par le consommateur, sur lindustriel producteur du bien. Cette lgislation, rendant de fait le chef dentreprise pnalement responsable, pousse celui-ci limiter au maximum les risques lis lutilisation de son produit. Mais, fort heureusement, tous les produits ne prsentent pas de risques lis la scurit. Certains provoquent uniquement un mcontentement du client lorsquils dfaillent. Et dans une conomie de march comme la notre, un client mcontent dun produit pourrait tre tent de se retourner vers le produit concurrent, alors mme quil peut tre lgrement plus cher. La matrise des risques se retrouve donc ainsi au centre dun double enjeu :
- Enjeu juridique avec lobligation lgale de mettre sur le march des produits scuritaires.
- Enjeu commercial pour conserver sa place dans la comptition mondiale actuelle. Ainsi, au fil du XXe sicle, des mthodologies danalyses de risque ont vu le jour, encore actuellement plus ou moins bien dployes dans lindustrie. On peut ainsi citer lAMDEC [STAMATIS, 2003] (Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit) qui, depuis de nombreuses annes, est considre comme la mthodologie la plus efficace pour fiabiliser la conception et lindustrialisation des systmes. A ce titre, bon nombre dindustries (automobile, aronautique, ...) ont rendu obligatoire la ralisation des AMDEC dans leurs processus de dveloppement. Lapproche consiste rechercher de faon exhaustive lensemble des dfaillances potentielles, pour ensuite valuer limportance de chacune dentre elles par une cotation multicritres, afin de prioriser les points sur lesquels le concepteur devra concentrer ses efforts damlioration. Si on considre quun risque est la non ralisation dun besoin client, il est tout dabord primordial de bien connaitre ces besoins. Tel est lobjet de lanalyse fonctionnelle [Bretsche, 2000] qui par une dmarche structure, permet au groupe de travail de bien recenser
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Introduction
Concevoir et produire sr de fonctionnement Page 8/226
lensemble des fonctionnalits attendues par le client, fonctionnalits qui seront regroupes et formalises dans un document appel Cahier des Charges Fonctionnel. Cependant, si lAMDEC est trs efficace pour prioriser les risques, ce nest pas loutil idal pour rechercher les causes dune dfaillance avre ou potentielle. Aussi, sont apparus des outils spcifiquement conus pour la recherche de causes. Le plus classique est le diagramme causes-effets aussi appel diagramme dISHIKAWA [Perigord, 1987] qui permet dorganiser le brainstorming dun groupe de travail pour rechercher lensemble des causes dun vnement donn. Si le diagramme dISHIKAWA savre gnralement suffisant en recherche de cause au niveau process, la non prise en compte de la combinatoire entre ces causes peut en limiter lintrt, notamment en phase conception de systmes complexes. Cest pour palier cet inconvnient quest apparu larbre de dfaillance [Limnios, 2005], sorte de diagramme causes-effets prenant en compte la combinatoire des causes qui amnent un vnement redout par une srie de ET, et de OU. Ces outils ont dabord t utiliss seuls, puis les uns aprs les autres (ou plutt les uns cot des autres). Il a fallu attendre la fin des annes 80 pour voir apparaitre des mthodes mettant en musique tous ces outils.
- Ct matrise de la production, la mthode la plus cite est le six sigma [Harry, 1988] mais on peut galement noter la mthode Shainin [Bothe, 2003].
- Ct matrise de la conception, les outils danalyse de risque ont t organiss dans une mthode appele Suret de fonctionnement [Villemeur, 1988] ou DFSS pour Design For Six Sigma [Wang, 2005].
Mais ces dmarches, bases sur lexhaustivit des analyses, sont fatalement chronophages, aussi cette qute de lexhaustivit est souvent incompatible avec les impratifs de cots et de dlais imposs par le march. En effet, la plupart des industriels se retrouvent actuellement dans une situation paradoxale :
- Le march (voire la lgislation) leur impose un produit de plus en plus sr, quils ne savent assurer autrement quen ralisant des analyses de risque de plus en plus longues (quelquen soit le type).
- Le mme march leur impose des temps de dveloppement de plus en plus courts, incompatibles avec des analyses de risque pousses.
Do un certain nombre dimpasses pas toujours judicieuses et un taux de dfaillance rsultant inadmissible pour le client. De plus, depuis quelques annes, se rajoute cette contrainte de dlai, un facteur supplmentaire : la complexification des systmes. En effet, pour rsister la pression toujours plus forte des pays bas cots de main duvre dans la comptition globale actuelle, les entreprises occidentales nont aujourdhui quune seule alternative : INNOVER [Mascitelli, 2005]. Innover pour proposer un produit rpondant aux nouvelles aspirations des clients et ainsi souvrir de nouveaux marchs. Innover pour pouvoir continuer produire localement des produits des cots compatibles avec les nouveaux prix du march. Mais la notion de risque est malheureusement inhrente la notion dinnovation car rares sont les innovations qui marchent naturellement du premier coup.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Introduction
Concevoir et produire sr de fonctionnement Page 9/226
Mais alors que faire pour sortir de ce paradoxe ? Comment conserver un niveau de risque acceptable dans un contexte de dveloppement de plus en plus rapide de systmes de plus en plus complexes ? La rponse ne peut videmment pas tre monolithique mais rcemment, la problmatique de la rduction des temps de dveloppement a trouv un catalyseur au travers dapproches appeles Lean Design [Mascitelli, 2004]. De la premire revue bibliographique ralise par Baines [Baines, 2006], plusieurs lments mergent :
- Le travail collaboratif au travers du concurrent engineering [Ma, 2008]. - Une dmarche structure de conception qui utilise des outils finalement assez
classiques (gestion de projet type PERT [Azaron, 2006], analyses de risque type AMDEC [Granholm, 2004], etc)
- Une dmarche de scurisation des dveloppements Mme si ce dernier point renvoie des mthodologies plus classiques dj nonces comme le DFSS, il nous semble quun certain nombre damliorations peuvent tre apportes la ralisation classique des analyses de risque et ce deux niveaux :
- Le paramtrage du champ et de la profondeur des analyses raliser - La faon de raliser ces analyses afin de les rendre plus rapides, plus efficientes et
donc plus finanables par lindustriel tout en tant mieux acceptes par les groupes danalyse eux-mmes.
Notre travail dvelopp dans ce recueil se situe donc deux niveaux :
- Un travail de synthse, encore jamais prsent notre connaissance, de lensemble cohrent des dmarches et outils concourant la scurisation dune conception ou dune industrialisation. Ainsi le premier chapitre sera constitu dun descriptif approfondi des mthodologies classiques danalyse de risque en conception, le deuxime prsentera les approches classiques en fabrication.
- Une proposition de nouvelles approches ou damliorations dans la mise en uvre des approches classiques, permettant dadapter le problme de la scurisation dun dveloppement au contexte de rduction des dlais. Ces amliorations fruit de plus de deux dcennies de pratiques industrielles et de recherche defficiences de ces pratiques, seront abordes dans les troisime (vers une matrise de risque efficiente en conception) et quatrime (vers une matrise de risque efficiente en fabrication) chapitres de ce recueil.
Tout comme les littratures relatives la mthodologie six sigma qui spare les approches en conception par le DFSS (Design for Six Sigma) [Chowdhury, 2003] et les approches en production par le DMAIC (Define Measure Analyze Improve Control) [Eckes, 2006] [Brulebois, 2007], nous avons scind ce recueil en matrise des risques en conception et matrise des risques en fabrication , aussi bien pour le descriptif des approches classiques que pour la partie amlioration des pratiques , les mthodologies danalyses de risque tant distinctes quant leur fonctionnement pour chacune des problmatiques ci-dessus.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 10/226
LA MAITRISE DE RISQUE EN CONCEPTION
Ceux la sont de bien plus grand mrite et dexprience qui savent
prvenir les maladies, que ceux qui les gurissent
Michel de lHospital
1505 - 1573
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 11/226
La matrise de risque en conception
1. Introduction
Toutes les entreprises sont soumises un certain nombre de risques (risques humains, techniques, conomiques, ...) ; malheureusement, la plupart des entreprises ne prennent conscience de cette notion de risque que lorsqu'un effet non dsir se produit. Les consquences en sont parfois dramatiques mais heureusement, le plus souvent, elles ne sont que "coteuses". Cependant, combien de chefs d'entreprises disent :"si j'avais pu prvoir ...". Pour palier ces dfaillances, on peut faire des "interventions pompier". Mais ces "interventions pompiers" sont gnralement trs coteuses et relativement peu efficaces. C'est donc au niveau de la prvention qu'il faut intervenir notamment en scurisant les dveloppements. Au cours du XXe Sicle, de nombreux outils et/ou mthodes ont t crs dans le but de rduire les risques techniques inhrents toute mise sur le march dun produit [Lannoy, 2008]. On peut citer ple-mle : les essais de fiabilit, les Analyses Prliminaires de Risques, les Arbres de dfaillances, les check-lists, les AMDEC, etc. Certains de ces outils ou mthodes, telle lanalyse fonctionnelle, visent concevoir bon du premier coup par la formalisation de bonne pratiques de conception, dautres comme lAMDEC, ont pour objet danalyser un premier jet de conception de faon subjective afin de mener des actions correctives pour rduire les risques a priori les plus levs, dautres enfin tels les essais de fiabilit, ont pour objet de sassurer que le systme conu rpondra au besoin client par des tests physiques. De plus, certains de ces outils sont trs rapides mettre en uvre, mais leur porte est cependant gnralement assez rduite, dautres sont beaucoup plus puissants mais ncessitent souvent beaucoup plus de temps de la part des quipes de conception. Le tableau ci-dessous prsente une liste non exhaustive de dmarches et outils que le concepteur pourra rencontrer dans les littratures, classes par type et par temps ncessaire leur mise en uvre.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 12/226
Scurisation dun dveloppement
Bonnes pratiques de conception
Analyse fonctionnelle du besoin
Quality Function Deployment (QFD)
Diagramme de Kano
Tolrancement fonctionnel, Chanes de cotes
Hirarchisation des caractristiques
Conception robuste
Design for manufacturing Design for assembly
Validation par analyse subjective
Analyse Prliminaire de Risque
AMDEC
Arbre de dfaillance non chiffr
Revues de projets, de conception
Validation de la copie conforme
Check-list
Revues de conformit au rfrentiel de conception
Validation par essais
Plans dexpriences de Taguchi
Tests en situation
Tests didentification de fiabilit
Tests de fiabilit acclrs
Validation par simulation numrique
Arbre de dfaillance chiffr
Figure 1.1 : Mthodes et outils de scurisations dun dveloppement
Face cette kyrielle doutils et mthodes, nous avons choisi de ne dvelopper dans ce chapitre que les principaux classiquement mis en uvre dans toute dmarche de Suret de fonctionnement, les autres pourront cependant tre cits ou prsents succinctement en fonction de leur intrt ou apport ponctuel. Ainsi, lorsquon dsire rechercher les dfaillances dun produit du sa conception, lapproche classique consiste regarder le plan dudit produit et se poser la question quest-ce qui pourrait ne pas marcher l-dedans ? . Cependant, faire un produit qui fonctionne parfaitement, sans dfaillance et ce pendant longtemps, ne sert absolument rien si ce produit ne rpond pas compltement aux attentes du march. Aussi, les approches de Suret de Fonctionnement commencent par une bonne dfinition des attentes du client. Ces attentes peuvent tre dcrites de faon intuitive mais une mthodologie plus systmatique reste videmment plus approprie. Cette mthodologie, cest lanalyse fonctionnelle [Villemeur, 1988] [PSA, 1997] [AFNOR, 2000] dont la donne de sortie est un cahier des charges fonctionnel [PSA, 1998] en bonne et due forme. LAnalyse des Modes de dfaillance, de leurs Effets et de leur Criticit (AMDEC) a pour objet danalyser les dfaillances du produit en phase conception et donc de vrifier ladquation du produit conu au cahier des charges du client avant sa mise en fabrication. En France, ce type dAMDEC est classiquement appel AMDEC Produit. Mais, les AMDEC, trs performantes en termes danalyse de risque, sont souvent critiques cause du temps pass pour les raliser. Cest pour palier cet inconvnient quune mthodologie, certes moins forte en termes de puissance danalyse, mais moins gourmande en termes de temps, est apparue. Cette mthodologie, utilise pour mettre en vidence les
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 13/226
principaux risques trs tt dans le cycle de dveloppement, a pris le nom dAnalyse Prliminaire de Risques [Mabrouck, 1997] (APR). Cependant, lAPR comme lAMDEC produit ne sont pas des outils de recherche de causes mais plutt des outils de hirarchisation des risques afin de paramtrer les tudes de SdF mener par la suite (pour lAPR) ou pour dfinir les dfaillances qui mriteraient la mise en uvre dactions correctives (pour lAMDEC Produit). Pour rechercher les causes de manire exhaustive, loutil le plus appropri est l'arbre de dfaillance. Cest un outil qui permet d'analyser la combinatoire des causes qui amnent un vnement redout client par une srie de ET, et de OU. Aussi, cest un outil indispensable dans la matrise des dfaillances fortement impactantes pour le client comme par exemple les dfaillances scuritaires. Ainsi, lanalyse fonctionnelle constituant le point de dpart de lanalyse de risque en conception, elle fera lobjet du premier paragraphe de ce chapitre. Le deuxime paragraphe dcrira lAnalyse Prliminaire de Risques (APR), le troisime sera ddi lAMDEC Produit et le quatrime larbre de dfaillance.
2. Lanalyse fonctionnelle
La norme de vocabulaire ISO 9000 [ISO, 2005] stipule que la qualit est : laptitude dun ensemble des caractristiques intrinsques satisfaire des exigences . Evidemment, pour faire de la qualit et satisfaire les exigences de ses clients, il faut dj les connatre ! Comme le prcise le groupe PSA dans sa procdure interne [PSA, 1997], lanalyse fonctionnelle est un outil qui dcrit de faon exhaustive les fonctions raliser pour satisfaire les besoins rels de lutilisateur . Son principe est de considrer lobjet de ltude comme une bote noire, et de le placer dans son environnement dutilisation pour dcrire ce quil doit faire, faisant abstraction des solutions. Si lanalyse fonctionnelle doit conduire aux bons choix, elle ne les dcrit pas ! Plusieurs approches et formalismes sont dcrits dans la littrature. Citons notamment lapproche anglo-saxonne SADT (Structured Analysis of Design Technique) propose par Doug ROSS au dbut des annes 80 [Ross, 1985] et sa drive SA-RT (Structured Analysis and Real Time) plus spcialement ddie aux systmes temps rels ; cependant, nous retiendrons de la norme danalyse de la valeur NF EN 12973 [AFNOR, 2000] lapproche dveloppe par le cabinet APTE [Bretesch, 2000] (le nom de ce cabinet veut dire : APplication aux Techniques dEntreprise). Cette approche se droule en 6 phases :
- Phase 1 : Dfinir les limites du systme. - Phase 2 : Valider le besoin du systme. - Phase 3 : Rechercher les situations de vie - Phase 4 : Par situation de vie, lister les environnants au systme. - Phase 5 : Rechercher les relations entre le systme et ses environnants : les fonctions - Phase 6 : Libeller ces fonctions
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 14/226
- Phase 7 : Caractriser ces fonctions : le cahier des charges fonctionnel Pour une meilleure comprhension de la mthode, nous illustrerons la dmarche au travers un exemple : le rasoir jetable.
2.1. Phase 1 : Dfinir les limites du systme
Plaons-nous dans une approche dingnierie systme. Pour cette approche, le produit doit tre dcoup en strates (systme, sous-systme, sous-sous systme, etc...). Le principe de cette approche est le suivant : La conception dun niveau consiste spcifier les niveaux infrieurs pour rpondre aux spcifications des niveaux suprieurs . Ce principe peut tre reprsent par le clbre cycle en V, la partie gauche du V correspondant aux phases de spcifications, la partie droite aux phases de validation comme le montre le dessin ci-aprs :
Conceptionsystme n
Conceptionsystme n-1
Validationsystme n-1
ValidationSystme n
Spcification fonctionnelledu systme n
Besoin client oudu systme n+1
Spcification fonctionnelledu systme n-1
Figure 1.2 : Analyses fonctionnelles et cycle en V
Ainsi, plaons-nous comme tant un fabricant de rasoirs jetables, notre client nous demande de dvelopper un nouveau rasoir pour lintgrer dans son kit de rasage . La dcomposition hirarchique de ce kit pourrait tre reprsente de la faon suivante :
Kit de rasage
RasoirMousse MiroirAfter - shave BlaireauNiveau n
Niveau n+1
Figure 1.3 : Dcoupage PBS du rasoir
En gestion de projet, ce type de dcomposition est appel dcoupage PBS pour Product Breakdown Structure et sert de base la construction de lorganigramme des taches WBS (pour Work Breakdown Structure ) [Zachman, 1987], lment constitutif du mode de dtermination de la dure dun projet par un rseau PERT [Castro, 2008].
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 15/226
Dans notre approche, nous reprenons ce type de reprsentation pour montrer ce quest notre systme (le rasoir) et ce qui nen fait pas partie (la mousse, le blaireau, etc...). Cette reprsentation montre bien que cest le niveau N+1 qui spcifie les limites du systme N. Cest notamment au niveau des interfaces que cette dfinition des limites est importante. Ainsi, dans le cadre dun accouplement mcanique par exemple, cest le niveau N+1 qui dfinira quel systme comportera la partie femelle, et quel autre comportera la partie mle. Cette dfinition des limites sera bien videmment reprise dans le cahier des charges fonctionnel mis par le niveau N+1.
2.2. Phase 2 : Validation du besoin du systme
Avant de se lancer dans la conception dun nouveau systme, il est vident quil est intressant de se poser la question de son utilit et de la prennit de celle-ci. Comme le prcise Subir CHOWDHURY dans son livre intitul Design For Six Sigma [Chowdhury, 2003], Cest dessin que le cabinet APTE a dvelopp un petit outil pour valider le besoin du systme. Cet outil a t appel bte cornes en liaison avec son mode de reprsentation :
A qui a sert ?
Systme
- Pourquoi ?
Sur quoi a agit ?
But ?
Disparition ?
- Pour faire quoi ?
Figure1.4 : Bte cornes
En haut gauche, on rpond la question : A qui a sert ? Il sagit l de dfinir le client premier du systme. Evidemment, sil ny a pas de client, cest que le systme ne servira rien. Dans le cas de notre rasoir, la rponse pourrait tre : au kit de rasage qui est notre premier client, c'est--dire notre niveau n+1 dans le dcoupage hirarchique de notre produit. La rponse pourrait galement tre : A lhomme adulte . Ici, on est remont tout en haut de la chane des clients. Cest le groupe de travail qui dfinira quel est le niveau dabstraction idal pour la rponse. En haut droite du dessin, on rpond la question : Sur quoi a agit ? Lobjet est ici de dfinir quel environnant principal sera modifi par notre systme. Si notre systme ne doit modifier aucun environnant, encore une fois cest quil ne servira rien. Dans lexemple de notre rasoir, la rponse pourrait tre : Les poils . Au centre du dessin, on se pose la question de lobjet du systme. En rpondant au double pourquoi (pour quoi et pourquoi).
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 16/226
La question Pour faire quoi ? doit prciser lobjet du systme, que doit-il faire prcisment. Encore une fois, sil ne fait rien, cest quil ne sert rien. Pour notre rasoir, la rponse serait : Couper les poils . Mais il faut galement se poser la question du pourquoi en un seul mot. Cest cette question qui va nous amener rflchir sur le but premier du systme. Pour un rasoir, la rponse pourrait tre : pour tre plus beau ou parce que les poils poussent . La dernire question concerne la disparition du systme. Cette question sert tudier la prennit du systme. Quatre points peuvent entraner la disparition de notre systme :
- Le premier concerne le client. Ainsi, si on perd notre client kit de rasage , notre rasoir spcifique naura plus lieu dtre.
- Le deuxime concerne lenvironnant dcrit en haut droite de la bte cornes. Si cet environnant disparat, encore une fois, le produit perd sa raison dtre (plus de poils, plus de rasoirs !)
- Le troisime concerne la question pour quoi . En effet, si on arrive faire la mme chose dune autre manire et pour moins cher, notre produit risque dtre considr obsolte et ne se vendra plus. A terme, il disparatra. Imaginons par exemple un systme dpilation simple, pas cher, rapide et sans douleur ; nul doute que le bon vieux rasoir mcanique risque dtre renvoy au muse.
- Le quatrime et dernier point est relatif la question pourquoi . En effet, si on perd lobjet premier du systme, encore une fois, terme, cest le systme lui-mme qui perd sa raison dtre. Ainsi, si les critres desthtique voluent de telle sorte que le port de la barbe devienne la rfrence, les fabricants de rasoirs risquent de voir leur chiffre daffaire seffondrer.
Ainsi, si les points disparitions semblent porter une probabilit faible, lentreprise est conforte dans sa dcision de se lancer dans le dveloppement du nouveau produit. Dans le cas contraire, le projet sera stopp ou rorient. Pour notre exemple, nous pouvons considrer que le besoin en rasoir est prenne, ltude vaut donc a priori le coup dtre poursuivie....
2.3. Phase 3 : Rechercher les diffrentes situations de vie
Les situations de vie reprsentent les diffrentes phases dans lesquelles se trouvera le produit tout au long de son existence, chacune dentre elles pouvant influer sur son design.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 17/226
Le schma des phases de vie de notre rasoir pourrait tre le suivant :
Utilisation
limination
Situation de viedu produit
Fabrication
Exceptionnel
Salle de bains
Trousse de toilette
Rasage
Stockage
Normal
Logistique rasoir
Intgration dans kit
Figure 1.5 : Situations de vie du rasoir
Plus le groupe descendra bas dans les sous-situations de vie, plus lanalyse sera fine et prcise ; cependant plus elle sera longue et fastidieuse. Mais il nexiste pas de mthodologie pour dfinir a priori le bon niveau dtude. Ce sera donc au groupe de travail de dfinir, en fonction de son exprience et de son ressenti, le niveau qui lui semble le plus adapt pour son tude. Si lanalyse fonctionnelle est mene dans le seul but davoir une donne dentre pour raliser une analyse de risque style AMDEC, le groupe choisira la ou les situations de vie a priori les plus risque et ne poursuivra lanalyse que sur lesdites situations. Mais si lanalyse fonctionnelle est faite dans son but premier quest la recherche des besoins du client en vue de rdiger un cahier des charges fonctionnel, toutes les situations en bout de branches devront tre tudies telles que ci-aprs pour constituer un cahier des charges le plus exhaustif possible.
2.4. Phase 4 : Lister les environnants du systme
Cette phase consiste rechercher les lments physiques qui sont en relations avec le systme dans la situation de vie tudie. Ces lments peuvent tre les autres composants du systme de niveau n+1 (la mousse raser), lambiance dans laquelle se trouve notre systme (lair ambiant), lutilisateur du systme (lhomme) ou lenvironnant qui doit tre modifi (les poils). Un environnant doit tre un lment physique, on doit pouvoir le toucher mais ne pas oublier les environnants comme les nergies, lambiance (temprature, poussires, etc),
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 18/226
Ainsi, dans notre exemple, les environnants pourraient tre les suivants :
Peau
Main
Eau
Mousse raser
Poils
Oeil
Figure 1.6 : Environnants du rasoir dans la situation de vie rasage
Attention lors de cette phase ne pas faire lerreur classique qui consiste mettre des fonctions (ne pas rouiller) ou des critres de performance (qualit perue) comme environnant.
2.5. Phase 5 : Rechercher les fonctions du systmes
Les fonctions constituent les relations entre le systme et ses environnants, elles sont gnralement classes en deux catgories : les fonctions de service et les contraintes. Les fonctions de service, aussi appeles selon les littratures fonctions principales ou fonctions dusage, reprsentent lobjet du systme. Le terme principal est une rminiscence de certaines approches qui hirarchisaient les fonctions de service en fonctions principales qui rpondent au besoin premier du systme (par exemple laction de couper) et fonctions secondaires moins primordiales pour le client (comme laction dhydrater). Cependant, cette hirarchisation tant subjective, nous nous limiterons dans notre approche au terme de fonction de service retenu dans la norme NF EN 12973 [AFNOR, 2000], qui regroupe les deux notions. Cest pour ces fonctions de service que le client est prt dbourser de largent. Elles relient deux environnants au travers du systme. Ainsi, le systme permet lenvironnant 1 (la main) de modifier lenvironnant 2 (les poils). Les fonctions contraintes, quant elles ne relient quun environnant au systme. Gnralement, elles reprsentent les contraintes auxquelles le systme doit rsister. Elles ne constituent pas lobjet du systme aussi ce nest pas pour elles que le client va acheter le systme, cependant, elles peuvent participer de faon non ngligeable son cot. Aussi, le meilleur produit serait celui qui naurait que des fonctions principales et pas de contraintes. Ce produit ne pouvant tre quimmatriel, nexiste malheureusement pas.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 19/226
Fonctions de services et fonctions de contraintes sont reprsentes dans un schma appel pieuvre comme le montre lexemple suivant :
"RASOIR"
Poils
PeauMousse raser
OeilEau
FC1
FC4
FC5 FC3
FC2
FS1
FS2
Main
Figure 1.7 : Pieuvre du rasoir en situation de vie rasage
2.6. Phase 6 : libeller les fonctions
Comme toute phrase, le libell des fonctions est constitu de la construction classique : sujet, verbe, complments.
- Le sujet, cest le systme. Cest celui qui se trouve dans la bulle centrale de la pieuvre. Comme le sujet va de soit, il nest gnralement pas crit ; cependant, pour les dbutants en analyse fonctionnelle, nous conseillons de lcrire afin dviter quil ne glisse sur un autre des environnants.
- Le verbe transcrit la donne de sortie de la fonction, ce que le produit doit faire. Aussi, les verbes seront des verbes daction. Comme le sujet nest gnralement pas crit, le verbe se retrouvera linfinitif.
- Les complments reprennent les lments des bulles environnants. Ainsi, pour une fonction contrainte qui ne relie quun seul environnant au systme, il ny aura quun seul complment dans la phrase ; alors que pour une fonction de service, la phrase contiendra deux complments correspondant aux deux environnants.
Ainsi la fonction de service n1 pourra tre libelle de la faon suivante : Couper les poils avec la main . Cependant, pour une meilleure comprhension de la phrase, le verbe permettre pourra tre rajout, libellant la fonction de la fonction suivante : Permettre la main de couper les poils . En utilisant la mme approche pour lensemble des fonctions de notre rasoir, chacune des fonctions pourra tre libelle de la faon telle qucrit ci-aprs :
FP1 : (le rasoir) permet la main de couper les poils
FP2 : (le rasoir) permet la main dhydrater la peau
FC1 : (le rasoir) doit tre prhensible par la main
FC2 : (le rasoir) doit prserver la peau
FC3 : (le rasoir) doit rsister l'eau
FC4 : (le rasoir) doit rsister la crme
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 20/226
FC5 : (le rasoir) doit plaire l'il
Pour une meilleure comprhension du lecteur, nous avons mis les parties verbales en rouge et les complments en bleu ou vert pour rappeler les couleurs utilises dans la pieuvre pour chaque environnant. Cette approche par couleur est trs pratique pour conserver un certain lien entre toutes les tapes de lanalyse fonctionnelle.
2.7. Phase 7 : Caractriser les fonctions
Cette phase consiste dfinir des critres de performance pour chacune des fonctions dfinies ci-dessus, den dfinir les niveaux attendus ainsi quune flexibilit (niveau de ngociation possible). En ce sens elle constitue la meilleure faon dcrire le cahier des charges. Les critres de performance correspondant la partie verbale qualifient les donnes de sortie de la fonction, ce quon attend du systme. A contrario, les critres de performance associs aux parties nominales servent qualifier lenvironnant correspondant, ils dcrivent donc les donnes dentre de la fonction. Ainsi, dans le cadre dune dmarche de validation, lexprimentateur se placera dans les conditions dcrites par les critres associs aux parties nominales, il ira valuer les critres correspondant aux parties verbales et prononcera la qualification du produit si les niveaux desdits critres sont atteints. Attention ne pas dfinir trop de critres nouveaux lorsquon est dans le cadre dune volution de produit. En effet, si lvolution est trop forte, le produit risque dtre trop long et trop cher dvelopper. A linverse, si les volutions sont trop faibles, le client risque de ne pas tre capable de voir la diffrence avec le produit de gnration prcdente et ne sera donc pas tent dacheter le nouveau systme [Gautam, 2008]. Tout est donc affaire de dosage entre fonctionnalits nouvelles et cot de dveloppement. Pour mesurer le niveau dvolution du produit, on peut retenir lindicateur dvolution propos par Javier FREIRE and Luis F. ALARCO [Freire, 2002] :
prcdente_rationu_CdC_gncritres_dNombre_de_dentetion_prcCdC_gnra / odifiscritres_mNombre_de_
olutionCritre_v =
- Si ce critre est infrieur 10%, on pourra considrer que lvolution est faible et que le nouveau systme conu ne sera quun restyling du systme de gnration prcdente.
- Si le critre est compris entre 10 et 30%, on pourra considrer que le nouveau systme est une volution du systme de gnration prcdente.
- Si ce critre est suprieur 30%, le nouveau systme devra alors tre considr comme une innovation majeure. Dans ce dernier cas, une tude de march est vivement conseille avant de dcider du lancement du processus de dveloppement.
A chaque critre de performance est associ un niveau. Ce niveau doit tre tolranc pour permettre au concepteur dvaluer sa capabilit [AFNOR, 1995]. Pour viter les contestations lies de possibles diffrences dinterprtation des niveaux, il convient dviter au maximum les critres subjectifs. Dterminer un niveau pertinent nest pas toujours chose aise. En effet, gnralement, plus le niveau est lev, plus le cot de la fonction sera lev mais plus fort devrait tre le niveau
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 21/226
de satisfaction du client et lattractivit du produit. Dfinir le niveau est donc un savant quilibre entre cot et positionnement du produit sur le march. Le diagramme de Kano [Kano, 1984] qui positionne le produit en termes de performance technique et de valorisation client est un outil marketing qui peut aider le groupe dfinir un niveau idoine.
Excellente performance technique
Pitre performance technique
Forte valorisation Client
Faible valorisation Client
Zone de qualit basique
Zone de qualit
passion
Systmeprcdent
MeilleureconcurrencePositionner son
nouveau systme
Figure 1.8 : Diagramme de Kano
A chaque critre est galement associ un niveau de ngociation possible entre le spcificateur et le concepteur. Ce niveau de ngociation est aussi appel flexibilit . Quatre niveaux de flexibilit sont retenus dans la norme NFX 50-151 [AFNOR, 2007] :
F0 : Flexibilit nulle : Niveau impratif.
F1 : Flexibilit faible : Niveau peu ngociable.
F2 : Flexibilit bonne : Niveau ngociable.
F3 : Flexibilit forte : Niveau trs ngociable. Bien que fort peu utilise (le spcificateur ayant souvent trop peur que le concepteur profite dun niveau de ngociation possible pour proposer un produit moins performant quattendu), la flexibilit est une notion trs intressante dans le cadre dune dmarche danalyse de la valeur [AFNOR, 2007]. Cest elle qui permet dorganiser le dialogue dans la recherche dune vritable optimisation. Labsence de cette flexibilit peut conduire le rdacteur du Cahier des Charges fonctionnel spcifier des niveaux survalus, ce qui irait lencontre de loptimisation recherche. Pour aider le spcificateur dfinir les niveaux de flexibilit, nous proposons lchelle suivante, notamment valable dans le cadre de la conception dun systme complexe :
- F3 : Flexibilit forte : La modification du niveau correspondant au critre de performance na pas dinteractions avec les autres systmes de mme niveau dans le dcoupage hirarchique du produit (PBS) => dcision par le chef de projet du systme concern seul.
- F2 : Flexibilit bonne : La modification du niveau associ au critre impacte les autres systmes de mme niveau dans le PBS => le chef de projet du systme concern doit ngocier la modification avec ses homologues des autres systmes de mme niveau, la dcision finale tant prise par le chef de projet du systme de niveau N+1.
- F1 : Flexibilit faible : La modification du niveau du critre impacte la performance globale du programme => Dcision par le chef de programme.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 22/226
- F0 : Flexibilit nulle : Impact rglementaire ou scuritaire => Pas de ngociation possible sur le niveau dudit critre de performance.
Un extrait du cahier des charges relatif notre rasoir pourrait tre le suivant :
Cahier des Charges FonctionnelProduit : Rasoir Pilote : Nicolas S. Animateur : Franois F..Rfrence : BIC-JET Date : 14/07/2008 Indice : A
SV Fonction Groupe de mots Critres Niveaux FlexibilitRasage Fp1 Couper Temps de coupe 5 min 2 min F1
Effort de coupe 20N maxi F2Durabilit 1 an mini F3
Coupures intempestives < 10-9 coupure / rasage F0MTTF (Fiabilit) 10 rasages 2 F1
Main % gaucher 20% 3%Acidit Ph = 6,2 0,1
Poil Longueur 3mm maxiFp2 Hydrater Confort de rasage > 90% hommes F1
Fiabilit 10 rasages 2 F2Taux d'hygromtrie
surfacique de la peau 85% 3% F2
Main % gaucher 20% 3%Acidit Ph = 6,2 0,1
Peau Surface Visage homme adulteAcidit Ph = 6,2 0,1
Fc1 .... ..... .... ....
Tableau 4.27 : Cahier des charges fonctionnel du rasoir
La mthodologie dcrite ci-dessus est classiquement appele Analyse fonctionnelle externe ou analyse fonctionnelle du besoin. Cette analyse, effectue avant la conception car thoriquement mene par le spcificateur, est gnralement complte dune autre analyse fonctionnelle appele Analyse fonctionnelle interne ou analyse fonctionnelle technique ; cette seconde analyse tant effectue aprs design.
2.8. Lanalyse fonctionnelle interne ou technique
Si lanalyse fonctionnelle externe prsente le systme tudi comme une bote noire , lanalyse fonctionnelle interne le montre comme une bote blanche ou plus exactement comme une bote transparente car lanalyse fonctionnelle interne nous fait pntrer lintrieur de ladite boite. Lobjet de cette analyse est de dcrire comment les composants du systme participent la ralisation des fonctions. Evidemment, ce stade, il faut avoir dfini le nombre de composants et le mode de fonctionnement du systme. Cette analyse seffectue donc aprs conception, ou tout au moins, aprs une premire esquisse de larchitecture du systme. Outre les tapes de constitution du groupe de travail et de dfinition de la finalit de lanalyse, lanalyse fonctionnelle interne comporte deux tapes techniques principales :
La dcomposition du systme.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 23/226
Lidentification des flux lintrieur du systme.
2.8.1. Dcomposition du systme
Lobjet de cette dcomposition est de dfinir les lments constitutifs (systmes de niveau n-1) qui composent le systme. Ces lments peuvent tre, suivant le niveau de dtail que lon veut atteindre, fonctionnels, organiques, voire un mlange des deux. Le groupe PSA dans son manuel de rfrence traitant de lanalyse fonctionnelle Interne [PSA, 2005] prconise dviter davoir un trop grand nombre dlments manipuler (10 tant dj beaucoup) et quil vaut mieux alors procder par dcompositions successives, chaque lment de la dcomposition tant son tour dcompos en ses constituants, et ainsi de suite jusquau niveau de dtail souhait . Dans le cadre de lingnierie systme, on considre les systmes de niveau n-1 comme tant les systmes que lon dessine en interne ou qui font lobjet dun cahier des charges destination dune autre entit (entit pouvant appartenir la socit ou tre extrieure). En terme de reprsentation, nous prconisons de reprendre le dcoupage PBS utilis pour la premire tape de lanalyse fonctionnelle externe, complt des composants de niveau n-1 comme le montre le dessin ci-aprs :
Manche CapuchonLame 1Lubrifiant Lame 3 Contre-lames TteLame 2
: Niveau trop bas
Tocophrol Aloe BHTPolysorbatePEG-115M
Kit de rasage
RasoirMousse MiroirAfter - shave BlaireauNiveau n
Niveau n+1
Niveau n-1
Niveau n-2
Figure 1.9 : Dcoupage PBS du rasoir
2.8.2. Identification des flux lintrieur du systme
Lobjet de cette tape est de dfinir comment chaque fonction dfinie lors de lanalyse fonctionnelle externe, est ralise par les diffrents composants . En intgrant les composants dans la bulle centrale de la pieuvre, on reprsente le chemin suivi par chacune des fonctions. Ce chemin reprsente les flux lintrieur du systme, flux qui, daprs les rgles usuelles de la systmique, sont de trois types :
Matire : transport de matire
nergie : transport dnergie
Information : transport dinformation (ce dernier type ncessitant en outre lexistence dun flux dun des types prcdents).
Les fonctions sont alors matrialiss dans le dessin par des traits reprsentants les contacts entre les lments eux-mmes, et entre les lments et les diffrents environnants ; un
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 24/226
contact pouvant tre rel (matrialis, physique) ou virtuel (contact visuel, lectromagntique,). Un tel schma est alors classiquement appel bloc diagramme fonctionnel . Dans le cas de systmes trs complexes, il est conseill pour ne pas surcharger les dessins, de reprsenter les fonctions une par une sur des schmas indpendants pourvu que lensemble soit complet (un schma pour la premire fonction de service, un pour la seconde, un pour les fonctions contraintes, etc...). Sur le schma ci-aprs, et pour des raisons de lisibilit, nous avons reprsent les fonctions contraintes par des renvois associs des symboles gomtriques. De plus, nous avons gris les composants reconduits du produit de gnration prcdente, afin daider le groupe de travail reprer les composants innovants lors des analyses de risque.
Main Poil
PeauCrme raser
Vue
Eau
FC4
FC5
FC3
FC2
FP1
Lame 1Manche
TteLame 3
Contre-lame
Capuchon Lubrifiant
Lame 2
Situation de vie : Utilisation
: Composant et fonction reconduite
FP2
Figure 1.10 : Bloc diagramme du rasoir en situation de vie rasage
Sur un tel schma, on peut reprer des lments (comme le capuchon dans notre exemple) qui ne sont relis rien dautre dans la situation considre. Cela ne signifie pas encore quils sont inutiles. Il se peut en effet quils ne rendent service que dans une autre situation de vie non encore analyse. Par contre, un lment qui ne participe aucune fonction, et ce dans toutes les situations de vie, est un lment qui ne sert rien. Cependant, mme si il ne sert rien, il a tout de mme un cot qui impactera inutilement le cot global du produit. Mme si ce recueil est focalis sur les analyses de dfaillances, on voit ici que loutil analyse fonctionnelle est un outil incontournable pour lanalyse de la valeur. Une reprsentation telle que le bloc diagramme fonctionnel peut tre dlicate raliser, notamment pour les systmes complexes o les flches reprsentant les fonctions lintrieur du systme risquent dtre trop nombreuses. Aussi, la participation des composants la ralisation des fonctions peut tre rsume dans un tableau appel Tableau dAnalyse Fonctionnelle (TAF).
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 25/226
Dans le cas de notre rasoir, le TAF correspondant pourrait tre le suivant :
FonctionComposant Fp1 Fp2 Fc1 Fc2 Fc3 Fc4 Fc5
Manche X X X X X
Tte X X X X X X
Contre-lames X X X X X X
Lame 1 X X X X
Lame 2 X X X X
Lame 3 X X X X
Capuchon X
Lubrifiant X X X X
Tableau 1.1 : Tableau danalyse fonctionnelle du rasoir
Ainsi, on pourra utiliser, selon ses prfrences : - soit le bloc diagramme fonctionnel, plus intuitif et plus imag mais plus compliqu
dessiner avec un ordinateur. - soit le tableau danalyse fonctionnel, plus facile raliser avec un tableur type EXCEL
qui est peut tre une reprsentation plus sure pour de ne rien oublier. En effet :
toute fonction doit tre affecte un composant au moins.
tout composant doit participer au moins une fonction. Ainsi, cette dernire reprsentation est un des outils essentiels pour loptimisation de la conception. Par exemple en analyse de la valeur, la contribution de chaque composant sera affecte en termes de cot. Il est galement possible dvaluer cette contribution en tout autre grandeur dintrt pour ltude en cours comme par exemple la masse, ou la probabilit intrinsque de dfaillance utilise en AMDEC Produit dans son approche composant .
3. LAnalyse Prliminaire de Risques
Comme le prcise Habib HADJ-MABROUK [Mabrouck, 1997], lAnalyse Prliminaire de Risques (APR) a pour but :
- Didentifier les accidents potentiels susceptibles daffecter le systme. - De mettre en vidence les causes envisageables des accidents potentiels. - Dvaluer la probabilit doccurrence des accidents potentiels et la gravit des
dommages quils pourraient causer. - De dterminer les mesures qui permettront de rduire la probabilit des accidents
potentiels ou la gravit des dommages quils pourraient causer. . LAPR se prsente classiquement sous la forme dun tableau colonnes facilement ralisable avec un tableur type EXCEL. C. LIEVENS [Lievens, 1976] dans son recueil intitul Scurit des systmes propose le formalisme suivant :
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 26/226
1 2 3 4 5 6 7 8 9 10 11Sous-
systme ou
fonction
Phase Elments dange-reux
Evne-ment
causant une
situation dange-reuse
Situation dange-reuse
Evne-ment
causant un
accident potentiel
Accident potentiel
Cons-quences
Classifi-cation
par gravit
Mesure prven-
tives
Applica-tion de
ces
mesures
Tableau 1.2 : Formalisme APR propos par C. LIEVENS
Cependant, la ressemblance entre les notions dlments dangereux, de situation dangereuse, daccident potentiel et de consquence fait quun tableau de ce type nous semble difficile utiliser correctement par les quipes de conception. Dans son recueil, LIEVENS lui-mme en convient en crivant page 127 : Il ne faut pas chercher de dfinitions claires permettant de distinguer sans ambigut laquelle des colonnes 3, 4, 5, 6, 7 convient pour placer un vnement particulier . Du formalisme propos par C. LIEVENS, nous prfrons un formalisme plus simple inspir de la procdure du groupe PSA [PSA, 1999]. Cette procdure propose deux approches complmentaires pour la ralisation des ARP :
- une approche fonctionnelle : analyse des consquences des dfaillances des fonctions du systme,
- une approche agression :
Analyse des consquences des agressions du systme vers lextrieur (lments potentiellement dangereux),
Analyse des consquences des agressions du milieu extrieur vers le systme (lments sensibles).
3.1. LAPR approche fonctionnelle
Lapproche fonctionnelle a pour objet dtudier les consquences de chaque mode de dfaillance des fonctions dcrites dans lanalyse fonctionnelle, elle est donc effectue pour chaque fonction du systme dans chaque situation de vie. Par mode de dfaillance on entend :
- Labsence de fonction a la sollicitation (a ne marche pas). - La perte de fonction en fonctionnement (a ne marche plus). - Le fonctionnement dgrad (a marche mal) - Le fonctionnement intempestif (a marche alors quon a rien demand). - Le fonctionnement intermittent (a sarrte et a repart tout seul).
Limpact de chacun des modes de dfaillance sera dcrit au travers le tableau suivant :
Page :Date :
Fonction Mode de dfaillance de la fonction
Evnement initiateur Consquence systme et description du scnario
Evnement Redout G F Actions de matrise des risques
G F'
1 2 3 4 5 6 7 8 9 10
Systme :
Situation de vie : Pilote :
Tableau 1.3 : Formalisme APR fonction propos par PSA
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 27/226
Dans la colonne 1 seront reprises toutes les fonctions dcrites dans lanalyse fonctionnelle. Mme si lanalyse de lensemble des fonctions, fonctions de services comme fonctions contraintes, peut paraitre trop long, nous suggrons de ne pas liminer de fonctions a priori cette tape, notamment les fonctions contrainte. En effet, la perte de certaines fonctions contrainte peut entrainer de graves dysfonctionnements dans la vie future du systme. Ainsi, cest par lAPR que le concepteur pourra objectiver le fait de ne pas retenir telle ou telle fonction dans ses analyses futures telles que les AMDEC. Dans la colonne 2 seront nots les modes de dfaillances des fonctions demandes au systme. Pour tendre vers lexhaustivit de lanalyse, lanimateur doit faire attention a bien prendre en compte lensemble des modes de dfaillance tels que not plus haut (absence, arrt, dgrad, intempestif et intermittent). Mais, certains modes de dfaillances peuvent paraitre impossibles (le rasoir ne coupe pas) ou compltement farfelus (le rasoir coupe en bandes correspondant un fonctionnement intermittent). Il va de soi que ces modes de dfaillances ne seront pas analyss. Cependant, pour montrer au client (ou aux personnes qui seraient susceptibles de reprendre lanalyse par la suite) que lanalyse a t mene de faon mthodique, nous conseillons de noter lensemble des modes de dfaillance du systme et de mettre la mention sans objet sur les lignes correspondant aux modes de dfaillances impossible. Le tableau ci-aprs montre les modes de dfaillance inhrents notre rasoir jetable :
Page : 1Date : 15/08/08
Fonction Mode de dfaillance de la fonction
Evnement initiateur Consquence systme et description du scnario
Evnement Redout G F Actions de matrise des risques
G F'
1 2 3 4 5 6 7 8 9 10Ne rase plus (arrt fonction)Rase mal (fonction dgrade)Coupe sans qu'on le demande
(fonction intempestive)Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)
N'hydrate pas (Absence de fonction la sollicitation)
N'hydrate plus (arrt fonction)Hydrate mal (fonction
Hydrate sans qu'on le demande (fonction intempestive)
Hydrate de temps en temps (fonction intermittente)
N'est plus prhensible par la main (arrt de fonction)
Est mal prhensible par la main (fonction dgrade)
N'est pas prhensible par la main (abscence de fonction)
Est prhensible par la main sans qu'on lui demande (fonction
intempestiveEst prhensible de temps en
temps (fonction intermittente)
Systme : Rasoir Bic-Jet
Situation de vie : Rasage Pilote : Nicolas S.
FP1 : permet la main de couper les poils Sans objet
Sans objet
FC1 : Doit tre prhensible par la main
Sans objet
Sans objet
Sans objet
Sans objet
Sans objet
FP2 : Permet la main d'hydrater la peau
Tableau 1.4 : Modes de dfaillance du rasoir
La colonne 3 dcrit le ou les vnements initiateurs qui pourraient entrainer le mode de dfaillance. Lvnement initiateur se situe au niveau N-1 par rapport systme dans le dcoupage hirarchique du produit (PBS). Aussi, lvnement initiateur correspond la dfaillance dun des composants ou la dsolidarisation dune des liaisons inter-composants du systme, gnres soit par une mauvaise fabrication ou montage dudit composant, soit par une dfaillance intrinsque de ce composant ou liaison par sous-dimensionnement ou par sur-sollicitation (par rapport au niveau dfini dans le cahier des charges).
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 28/226
Dans la colonne 4, on recherche limpact de lvnement initiateur, tout dabord sur le systme, puis sur lensemble des systmes N+1, N+2, , N+k (niveau correspondant au systme dtenu par le client utilisateur dans la situation de vie tudie). Cest ce que PSA appelle la description du scnario . Attention, lanalyse prliminaire de risque se doit dtre une tude rapide ayant pour but de reprer les macro-risques majeurs inhrents au systme. Aussi, il nest pas ncessaire de fouiller la description de ces colonnes 3 et 4, lanalyse serait alors trop proche dune AMDEC ; mais de forcer le groupe rflchir en terme de robustesse du systme pour objectiver la note de frquence renseigne dans la colonne 7. La colonne 5 dcrit lvnement redout par le client. Par client, on entend lutilisateur final du macro-systme dans la situation de vie tudie. Lvnement redout sexprime donc en termes de gne pour le client, allant depuis un lger agacement jusqu la non possibilit dutiliser son systme, voire jusque latteinte de intgrit de lui-mme ou de ses proches en passant par la dgradation dautres systmes de son entourage (dgts matriels) pour les systmes scuritaires. Le tableau ci-aprs prsente la partie qualitative de lanalyse prliminaire de risque quaurait pu raliser un groupe danalyse de notre rasoir jetable :
Page : 1Date : 15/08/08
Fonction Mode de dfaillance de la fonction
Evnement initiateur Consquence systme et description du scnario
Evnement Redout G F Actions de matrise des risques
G F'
1 2 3 4 5 6 7 8 9 10
Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable
Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasageCoupe sans qu'on le demande
(fonction intempestive)Dsolidarisation liaison corps /
contre-lame Dsolidarisation des lames Coupure de l'utilisateur
Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)
N'hydrate pas (Absence de fonction la sollicitation)
Mauvaise accroche de la plaquette lubrifiante sur la tte
Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable
N'hydrate plus (arrt fonction)Dfaillance de la plaquette
lubrifiante par dpassement de la dure de vie de la tte
Sensation de brlure l'utilisation
Hydrate mal (fonction dgrade)
Evaporation d'un composant de la plaquette lubrifiante
Perte du caractre glissant du rasoir
Sensation d'accroche l'utilisation
Hydrate sans qu'on le demande (fonction intempestive)
Hydrate de temps en temps (fonction intermittente)
N'est plus prhensible par la main (arrt de fonction)
Dsolidarisation liaison manche / tte Rasoir inutilisable
Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation
N'est pas prhensible par la main (abscence de fonction)
Est prhensible par la main sans qu'on lui demande (fonction
intempestiveEst prhensible de temps en
temps (fonction intermittente)
FP2 : Permet la main d'hydrater la peau
Sans objet
Sans objet
FC1 : Doit tre prhensible par la main
Sans objet
Sans objet
Sans objet
Systme : Rasoir Bic-Jet
Situation de vie : Rasage Pilote : Nicolas S.
FP1 : permet la main de couper les poils Sans objet
Sans objet
Tableau 1.5 : Analyse prliminaire de risque partie analyse qualitative
Les colonnes 6 et 7 constituent la partie quantitative de lanalyse prliminaire de risque. Leur objet est de hirarchiser les risques pour permettre au groupe danalyse de prioriser ses actions. La colonne 6 note G comme Gravit caractrise le niveau de gne du mode de dfaillance pour le client. La note renseigne dans cette colonne dcoule donc directement de limpact client dfini dans la colonne 5.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 29/226
En APR, les notes de gravit sont classiquement values sur une chelle de 1 4 ; 4 correspondant la gne la plus forte pour le client (et donc aux problmes de scurit dans le cas de systmes prsentant un caractre scuritaire) et 1 limpact le plus faible. Pour limiter la variabilit dans la cotation, il est conseill de constituer des grilles de cotation les plus objectives possibles. Cependant, il a t impossible au normalisateur de dfinir des grilles idales qui seraient utilisables par chacun. En effet, les impacts tant forcment diffrents entre la dfaillance dune fuse ou dun stylo, les grilles doivent tre construites en fonction du type de produits (ou du secteur dactivit) par les entreprises elles-mmes. Dans le cas dun produit automobile, le groupe PSA propose la grille suivante [PSA, 1999] :
Niveau Critres de slection Performances gnrales du systme (ex. vhicule) conserves ; lutilisateur peut continuer utiliser son systme ; il ny a pas dimpratif une intervention rapide. Cot limit au dpannage ou remplacement de litem dfaillant ; lvnement redout nentrane pas de dommages au systme (ex. vhicule ou organe). Pas de risque pour lhomme (utilisateurs, occupants, ...). Dgradation des performances, apparition de symptmes inquitants, gne importante ; lutilisateur peut continuer utiliser son systme, mais une intervention simpose rapidement. Lvnement redout peut conduire des dommages ou interventions supplmentaires sur le systme (ex. imposer une contre visite au contrle technique). Pas de risque pour lhomme (utilisateurs, occupants, ...). Lvnement redout conduit un arrt total du systme ncessitant une intervention pour le rendre nouveau utilisable (notion de panne ). Lvnement redout peut conduire des dommages importants au systme (ex. vhicule ou organe) entranant des cots levs de rparations (pices et main-duvre) , voire lirrparabilit. Risque ngligeable pour lhomme (utilisateurs, occupants, ...).
4 Lvnement redout est susceptible dentraner des risques de morts ou de dommages corporels pour lhomme (utilisateurs, occupants, ...).
1
2
3
Tableau : Grille de gravit propos par PSA
De notre ct, nous avons tabli une grille de cotation de la gravit issue dune simplification de la grille propose par PSA, permettant, notre avis, une utilisation non cantonne au secteur de lautomobile (tout en restant cependant lie la conception de produits industriels grand public) :
Note Importance
1 Performances gnrales du systme conserves ; lutilisateur peut continuer utiliser son systme ; il ny aura pas d'intervention si la dfaillance intervient en dehors de la priode de garantie.
2 Dgradation des performances, apparition de symptmes inquitants, gne importante ; lutilisateur peut continuer utiliser son systme, mais une intervention simpose rapidement.
3 Lvnement redout conduit un arrt total du systme ncessitant une intervention pour le rendre nouveau utilisable (notion de panne ).
4 Lvnement redout est susceptible dentraner des risques de morts ou de dommages corporels pour lhomme (utilisateurs, occupants, ...).
Tableau 1.6 : Proposition de grille de cotation de la gravit
Dans la colonne 7 note F comme Frquence, on value loccurrence de lapparition du mode de dfaillance. Ici encore, les notes de Frquences seront classiquement values sur
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 30/226
une chelle de 1 4, cette valuation se faisant en fonction du nombre et de la probabilit dapparition des vnements initiateurs. Comme pour la gravit, il est conseill dobjectiver ses grilles de cotation pour limiter la variabilit des notes proposes. Le groupe PSA propose des grilles construites en fonction des taux de dfaillances pressentis par le groupe de travail :
Niveau Critre de slection
1 Il est pratiquement impossible que l'vnement se produise au cours de la dure de vie de la population totale des systmes.
2 L'vnement est trs rare mais possible au cours de la dure de vie de la population totale des systmes.
3 L'vnement se produira plusieurs fois sur la population totale des systmes (au plus une fois sur la dure de vie dun systme).4 L'vnement se produira plusieurs fois sur chacun des exemplaires au cours de sa dure de vie.
Tableau 1.7 : Grille de frquence propos par PSA
Cependant, il nous semble que lvaluation de la frquence base sur lutilisation dune grille articule autour du taux de dfaillance ressenti, est trs dlicate pour le groupe de travail. Aussi, plutt que de baser ce critre sur la frquence des dfaillances potentielles, nos rflexions nous ont amen une grille de cotation indite que nous avons appele grille de matrise. Cette grille est base sur le niveau dinnovation du systme et sur limpact du nombre potentiel de dfaillances sur la sant financire de lentreprise. De plus, au niveau du degr dinnovation, nous dissocions la reprise dlments de la reprise de concepts. La reprise dlments prouvs (reprise de plan) dans les mmes conditions dutilisations donne a priori une excellente garantie sur labsence de dfaillance de lensemble tudi. La reprise dun concept (par exemple liaison par vis crou) prouv mais avec modification de pices lmentaires introduit ncessairement un risque plus grand sur la matrise.
Note Niveau de matrise
1Reprise d'lments prouvs en srie :=> Il est pratiquement impossible que l'vnement se produise au cours de la dure de vie de l'ensemble de la population des systmes
2Reprise de concepts prouvs
dont les quelques dfaillances n'engendrent pas de pnalisation du march=> Il est possible que quelques systmes dfaillent au cours de leur dure de vie
3Forte modifications de concepts connus=> Il est possible qu'une part non ngligeable de systmes prsentent une dfaillance au cours de leur vie impactant la rentabilit du produit (retours garantie)
4Conception innovante=> Il est possible qu'une majorit de systmes prsentent des dfaillances au cours de leur vie engendrant un problme d'image de marque du produit voire de l'entreprise
Tableau 1.8 : Proposition de grille de cotation de la frquence
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 31/226
Le tableau ci-aprs prsente les cotations values par le groupe danalyse de notre rasoir jetable :
Page : 1Date : 15/08/08
Fonction Mode de dfaillance de la fonction
Evnement initiateur Consquence systme et description du scnario
Evnement Redout G F Actions de matrise des risques
G F'
1 2 3 4 5 6 7 8 9 10
Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1
Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasage 2 3Coupe sans qu'on le demande
(fonction intempestive)Dsolidarisation liaison corps /
contre-lame Dsolidarisation des lames Coupure de l'utilisateur 4 4
Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)
N'hydrate pas (Absence de fonction la sollicitation)
Mauvaise accroche de la plaquette lubrifiante sur la tte
Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable 3 4
N'hydrate plus (arrt fonction)Dfaillance de la plaquette
lubrifiante par dpassement de la dure de vie de la tte
Sensation de brlure l'utilisation 2 3
Hydrate mal (fonction dgrade)
Evaporation d'un composant de la plaquette lubrifiante
Perte du caractre glissant du rasoir
Sensation d'accroche l'utilisation 1 3
Hydrate sans qu'on le demande (fonction intempestive)
Hydrate de temps en temps (fonction intermittente)
N'est plus prhensible par la main (arrt de fonction)
Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1
Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation 1 1
N'est pas prhensible par la main (abscence de fonction)
Est prhensible par la main sans qu'on lui demande (fonction
intempestiveEst prhensible de temps en
temps (fonction intermittente)
Systme : Rasoir Bic-Jet
Situation de vie : Rasage Pilote : Nicolas S.
FP1 : permet la main de couper les poils Sans objet
Sans objet
FP2 : Permet la main d'hydrater la peau
Sans objet
Sans objet
FC1 : Doit tre prhensible par la main
Sans objet
Sans objet
Sans objet
Tableau 1.9 : Analyse prliminaire de risque partie analyse quantitative
Selon la norme NFX 60-500 [AFNOR, 1988], la fiabilit dun systme est dfinie comme tant l aptitude dune entit accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn . Aussi, la note de gravit reprsentant la puissance de limpact du mode de dfaillance sur le client utilisateur final, il est classique que les objectifs de fiabilit du systme soient allous en fonction de cette note. Ainsi, le groupe Renault propose de faon gnrique les objectifs de fiabilit suivant (les niveaux dimpacts proposs par Renault ne sont pas nots de 1 4 mais de A D) :
Grade Dfaillance Dure objectif Proportion maxi de dfaillantsA Dfaut de scurit 400 000 km20 ans
B1 Panne immobilisante 300 000 km20 ans
B2 Perte de confiance dans le vhicule faisant s'arrter le conducteur220 000 km
15 ans
C Dfaillance majeure : Ncessit de rparer rapidement
100 000 km10 ans
C1 Non respect des normes d'mission En fonction des normes en vigueur en Europe
D Dfaillance mineure : Gnant mais n'empchant pas de rouler
60 000 km5 ans
0,03%
Pas de dfaillances de scurit autorises
Tableau 1.10 : Objectifs de fiabilit classiquement allous par Renault
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 32/226
Cependant, qui dit objectifs dit obligation pour le fournisseur dapporter la preuve que sont systme y rpond ! Cette preuve pourra tre amene soit de faon qualitative par un arbre de dfaillance, soit de faon quantitative par des essais physiques (larbre de dfaillance fera lobjet du paragraphe 5 du prsent chapitre, mais les essais physiques, pouvant tre considrs comme une dmarche part entire, ne seront pas abords). Ainsi, il nest pas rare que les constructeurs de systmes demandent leurs fournisseurs quipementiers de prsenter des arbres de dfaillances relatifs chaque mode de dfaillance dont la note de gravit serait gale 3 (panne du systme) ou 4 (problme de scurit). La colonne 8 de notre tableau danalyse prliminaire de risque dcrit les actions de matrise de risque mise en uvre par le concepteur du systme. Ces actions peuvent tre dordre technique (cration dune redondance, mise ne place dun protecteur, ) ou organisationnelle (analyse des dfaillances intrinsques chaque composants par une AMDEC, ), et doivent aboutir une diminution de la Frquence F et / ou de la Gravit G. Le seuil de dclenchement dune action spcifique doit tre mene en fonction du couple Frquence / Gravit. Le groupe PSA a ainsi dfini son seuil de dclenchement par la matrice suivante :
1 2 3 4 Risque jug acceptable pour lequel aucune action nest entreprendre
1
2 Risque jug inacceptable pour lequel une action est entreprendre
3
4
Risque jug acceptable uniquement si toutes les actions de conception pouvant rduire la gravit ont t explores et ont fait lobjet dune valuation probabiliste chiffre
F
G
Tableau 1.11 : Matrice de dclenchement dactions de matrise de PSA
Pour juger de la pertinence de laction envisage, il est ncessaire de rvaluer le niveau du risque que le mode de dfaillance pourrait prsenter une fois laction mise en uvre. Ces nouvelles cotations F et G seront renseignes dans les colonnes 9 et 10.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 33/226
Le tableau ci-aprs prsente les actions correctives proposes par le groupe danalyse afin de rduire le niveau de risques relatif notre rasoir jetable :
Page : 1Date : 15/08/08
Fonction Mode de dfaillance de la fonction
Evnement initiateur Consquence systme et description du scnario
Evnement Redout G F Actions de matrise des risques
G F'
1 2 3 4 5 6 7 8 9 10
Ne rase plus (arrt fonction) Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1
Rase mal (fonction dgrade) Usure trop rapide des lames Mauvais rasage 2 3 Utilisation de lames en carbures 2 2Coupe sans qu'on le demande
(fonction intempestive)Dsolidarisation liaison corps /
contre-lame Dsolidarisation des lames Coupure de l'utilisateur 4 4Conception sans dfaillances
lmentaire de niveau 1 (validation par arbre)
4 1
Ne rase pas (Absence de fonction la sollicitation)Rase de temps en temps (fonction intermittente)
N'hydrate pas (Absence de fonction la sollicitation)
Mauvaise accroche de la plaquette lubrifiante sur la tte
Perte de la plaquette lubrifiante en phase rangement Rasoir inutilisable 3 4
Reprise plaquette prouve sur rasoir classique 3 1
N'hydrate plus (arrt fonction)Dfaillance de la plaquette
lubrifiante par dpassement de la dure de vie de la tte
Sensation de brlure l'utilisation 2 3
Reprise plaquette prouve sur rasoir classique 2 1
Hydrate mal (fonction dgrade)
Evaporation d'un composant de la plaquette lubrifiante
Perte du caractre glissant du rasoir
Sensation d'accroche l'utilisation 1 3
Hydrate sans qu'on le demande (fonction intempestive)
Hydrate de temps en temps (fonction intermittente)
N'est plus prhensible par la main (arrt de fonction)
Dsolidarisation liaison manche / tte Rasoir inutilisable 3 1
Est mal prhensible par la main (fonction dgrade) Forme non adapte du manche Fatigue l'utilisation 1 1
N'est pas prhensible par la main (absence de fonction)
Est prhensible par la main sans qu'on lui demande (fonction
intempestiveEst prhensible de temps en
temps (fonction intermittente)
FP2 : Permet la main d'hydrater la peau
Sans objet
Sans objet
FC1 : Doit tre prhensible par la main
Sans objet
Sans objet
Sans objet
Systme : Rasoir Bic-Jet
Situation de vie : Rasage Pilote : Nicolas S.
FP1 : permet la main de couper les poils Sans objet
Sans objet
Tableau 1.12 : Approche fonctionnelle de lAPR du rasoir
Malgr lapparence chronologique de la numrotation des colonnes, nous conseillons de ne pas remplir les colonnes dans lordre. En effet, les colonnes 1 ; 2 ; 5 ; 6 sont inhrentes au besoin du client. Ces colonnes devraient donc tre ralises par celui-ci la suite directe de lanalyse fonctionnelle externe et transmises au concepteur en mme temps que le cahier des charges fonctionnel. Les colonnes 3 ; 4 et 7 sont quant elles dpendantes des concepts techniques mis en uvre dans le produit, elles ne pourront donc tre renseignes que par le concepteur aprs un premier jet de conception reprsent par lanalyse fonctionnelle interne.
3.2. LAPR approche agressions
Comme prcis en introduction lAPR, il existe deux approches agressions complmentaires lapproche fonctionnelle dcrite ci-dessus :
Une approche agression du systme vers lextrieur, appele galement agressions externe qui tudie limpact sur lenvironnement dune dfaillance dun lment potentiellement dangereux.
Une approche agressions du milieu extrieur vers le systme, appele galement agressions interne qui des tudie les consquences des agressions potentielles que le milieu extrieur peut induire sur les lments sensibles du systme.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 34/226
3.2.1. Agression du systme vers lextrieur
Comme pour lapproche fonctionnelle, nous prfrons le formalisme propos par PSA pour raliser cette analyse :
Systme :
Pilote :Elment
potentiellement dangereux
Evnement initiateuragression systme
Consquence systmeet
description du scnario
Evnement Redout(au niveau du client) G F
Actions dematrise des risques G F'
1 2 3 4 5 6 7 8 9
Page : Date :Situation de vie :
Tableau 1.13 : Formalisme APR agressions externes propos par PSA
Dans la colonne 1, le groupe de travail recherchera lensemble des lments prsentant une forme, ou contenant suffisamment dnergie latente, pour prsenter un danger potentiel. Par nergie latente, on entend une nergie capable dtre libre de faon incontrle (rsistance chauffante, ressort tendu, lment sous pression, etc) Dans la colonne 2, on recherchera le ou les vnements initiateurs (dfaillance interne au systme, mauvaise manipulation de lutilisateur, modification du milieu environnant, ) qui pourraient librer cette nergie latente, pouvant ainsi provoquer lvnement redout au niveau du client utilisateur. A partir de la colonne 3 incluse, on retrouve les mmes items que dans lapproche fonctionnelle. Ainsi, le scnario de la colonne 3 dcrit la succession dvnements depuis la transformation de lvnement initiateur jusqu lvnement redout final pour le client, en passant par les impacts au niveau des systmes de niveau N, N+1, N+2, , N+k (niveau correspondant au systme dtenu par le client utilisateur dans la situation de vie tudie). Comme pour lapproche fonctionnelle, il nest pas ncessaire de faire des excs de zle pour remplir cette colonne (lAPR se devant dtre ralise rapidement), celle-ci servant essentiellement au groupe de travail mieux apprhender la probabilit dapparition de lvnement (cotation F). Dans la colonne 4, on retrouve la description de lvnement redout au niveau du client en termes de gne dans lutilisation de son systme (dgradation ou chec de la mission), de risque corporel, de pertes financires, etc Les lments entrant dans la partie cotation comme la partie action corrective (colonnes 5 9) restent identiques ceux prsents dans les colonnes correspondantes de lapproche fonctionnelle.
tel-0
0450
032,
ver
sion
1 - 2
5 Ja
n 20
10
-
Chapitre 1 La matrise de risque en conception
Concevoir et produire sr de fonctionnement Page 35/226
Le tableau ci-aprs prsente un exemple de lapproche agression externe qui aurait pu tre ralise lors de lanalyse prliminaire de notre rasoir jetable :
Elment potentiellement
dangereux
Evnement initiateuragression systme
Consquence systmeet
description du scnario
Evnement Redout(au niveau du client) G F
Actions dematrise des risques G F'
1 2 3 4 5 6 7 8 9Lames Lames trop aiguise Coupure de l'utilisateur 4 1
Montage lames non parallle Coincement de la peau entre les lames Coupure de l'utilisateur 4 3Mise en place protecteur de
lames 2 1
Plaquette lubrifiante Plaquette allergne
Plaquette contenant un composant chimique
provoquant certaines allergiesInflammation de la peau 4 3 Reprise plaquette prouve sur
rasoir classique 4 1
Situation de vie : Rasage
Page : Date : 15/08/08Pilote : Nicolas S.
Systme : Rasoir Bic-jet
Tableau 1.14 : Approche agression externe de lAPR du rasoir
Au niveau phasage de cette approche dans le projet de dveloppement, on remarquera que contrairement lapproche fonctionnelle qui se positionne ds la phase spcification, lapproche agression externe ne peut tre ralise quaprs une premire base de conception car son point dentre est la liste des lments constitutifs du systme (synthtise par lanalyse fonctionnelle interne). Comme le montrera le paragrap