Est-ce que l’un est meilleur que l’autre? L’Analyse par Arbre de Défaillances (ADD), en anglais Fault-Tree Analysis (FTA) et l’Analyse des Modes de Défaillance, leurs Effets et de leur Criticité (AMDEC) – en anglais Failure Mode and Effects Analysis (FMEA), sont des outils populaires pour l’analyse de cause racine, la recherche de pannes et l’analyse des risques. Mais les similitudes s’arrêtent là. Chaque analyse a sa propre approche des échecs, qui se traduit par des résultats très différents. Plongeons-nous dans les différences entre l’ADD (FTA) et l’AMDEC (FMEA).

 

Quelles sont les différences entre l’ADD (FTA) et l’AMDEC (FMEA) ?

Ce tableau résume les principales différences entre l’ADD (FTA) et l’AMDEC (FMEA) :

 

ADDAMDEC
approche déductive et descendanteapproche inductive et ascendante
quantitatifqualitatif
met en évidence la corrélation entre plusieurs défaillancesrépertorie les défaillances pour chaque composant et n’analyse pas le système dans son ensemble ;
tient compte des événements extérieursne tient pas compte des événements extérieurs
ne considère pas les échecs partielsne tient pas compte des pannes inattendues
facile à mettre à jour avec le logiciel appropriéconsiste souvent en des feuilles Excel qui nécessitent une mise à jour constante

 

 

La première différence entre l’AMDEC et l’ADD est leur approche de l’échec. L’ADD est une méthode systématique, déductive, du haut vers le bas. Le point de départ est l’échec lui-même, et en suite, il atteint une conclusion plus large – comme une enquête ou un diagnostic.

 

Par exemple, si l’alarme incendie échoue, une ADD/FTA l’utilisera comme un événement majeur. Le diagramme explore ensuite les causes potentielles (si le système de détection d’incendie était défaillant ou si les capteurs de chaleur étaient en panne) jusqu’à ce que la cause première soit trouvée.

 

D’un autre côté, l’AMDEC est une méthode inductive, qui applique une règle générale à une situation particulière. Au lieu de commencer par le haut, il adopte une approche «ascendante» et se concentre sur un seul composant. Basé sur l’historique de l’actif, il décrit tous les modes de défaillance possibles et l’effet de chaque mode de défaillance.

 

C’est pourquoi vous pourriez avoir l’impression de créer un « catalogue de pannes » plus qu’autre chose. Dans l’exemple ci-dessus, une AMDE listerait toutes les défaillances possibles de l’alarme incendie et écrirait la « propagation de l’incendie » comme effet pour chacune d’entre elles.

 

Déterminer les modes de défaillance dans une AMDE par rapport à une ADD

 

Ces deux approches sont très différentes lorsqu’il s’agit de déterminer les modes de défaillance. Cependant, elles ont une chose en commun : les deux approches nécessitent une personne ayant une connaissance approfondie de l’actif et de sa fiabilité.

 

Une analyse AMDEC repose sur la prédiction de tous les modes de défaillance possibles pour chaque composant. Vous pouvez les décomposer en modes qui provoquent une panne complète ; des pannes partielles et des dommages presque imperceptibles. Contrairement à l’ADD, il ne prendra pas en compte les événements conditionnants et n’établira pas non plus la relation entre plusieurs défaillances.

 

D’un autre côté, avec une ADD, nous pourrions négliger les échecs partiels, car chaque hypothèse équivaut à « 0 » ou « 1 » ; il n’y a donc pas d’échelle. Par exemple, s’il y a une panne mais que l’actif conserve un certain degré de fonctionnalité, ça ne sera pas décrit par les données. Cependant, dans l’analyse de projet et de conception, il est très efficace pour identifier les défaillances potentielles et les composants nécessitant des améliorations de sécurité.

 

Pourquoi est-il si difficile de cataloguer les modes de défaillance dans une AMDE ?

En plus de prendre du temps, il est facile d’ignorer les modes de défaillance inattendus ou les défaillances résultant de plusieurs défaillances au sein du système. Un exemple est ce qui s’est passé à la centrale nucléaire de Fukushima, au Japon. Initialement, les réacteurs ont survécu à l’impact du tremblement de terre grâce à des groupes électrogènes de secours. Mais lorsque le tsunami qui a suivi a inondé la pièce avec les générateurs, le pire s’est produit.

 

La possibilité que ces pannes multiples se produisent en même temps n’avait pas été émise. Ni l’inondation de la salle des générateurs. La digue de Fukushima ne mesurait que 5,7 mètres de haut, mais on estime que les vagues ont atteint une hauteur de 14 à 15 mètres ce jour-là.

Analyse quantitative ou qualitative 

L’ADD est l’un des moyens les plus connus d’effectuer une Évaluation Probabiliste des Risques (ERP), ce qui en fait un outil quantitatif. C’est pourquoi il est presque obligatoire dans les industries à haut risque, telles que les industries nucléaire, pétrochimique et pharmaceutique. Mais cela n’a pas toujours été le cas. Encore une fois, nous nous tournerons vers l’histoire pour vous donner un exemple concret qui illustre les différences entre l’ADD (FTA) et l’AMDEC (FMEA).

 

Pourquoi l’AMDEC est-elle une analyse subjective ?

Lorsque la NASA a appliqué une ERP dans les années 60 pour calculer la probabilité de voyager vers la Lune et de revenir « en toute sécurité », le résultat n’était que de 5 %. L’agence spatiale américaine a trouvé ces chiffres trop pessimistes – surtout s’ils étaient divulgués au public – et a opté pour une méthode qualitative. Vous l’avez deviné : l’AMDEC.

 

Même si l’AMDEC calcule également un Numéro de Priorité de Risque (RPN) qui consiste en une échelle de 0 à 10, cela reste subjectif. Autrement dit, un « 4 » n’est pas forcément deux fois plus dangereux qu’un « 2 ». Pourtant, la NASA a utilisé l’AMDEC pour attribuer un niveau de criticité à chaque composant des années 60 au début des années 80. Si la défaillance d’un composant mettait la vie de l’équipage en danger, il avait la « criticité 1 » ; s’il mettait la mission en danger, il avait une « criticité 2 » et tous les autres échecs avaient une « criticité 3 ».

 

Une panne comme celle qui a causé la désintégration de la navette spatiale Challenger en 1986 – où des températures exceptionnellement basses ont compromis les joints toriques – avait une criticité de 1, mais le classement des occurrences n’était que de « 2 », ce qui signifie qu’il se produirait « 2 fois » sur 100 000 ». Aucun calcul n’avait été fait pour corréler la température avec les performances, ni testé par le fabricant.

 

En fin de compte, le classement des événements était trompeur et subjectif. La NASA a sous-estimé le risque et, par conséquent, il n’y avait pas de réserve pour les joints toriques. Après la catastrophe, l’industrie aérospatiale a commencé à utiliser une combinaison d’AMDEC et d’ERP. L’industrie nucléaire avait déjà été parmi les premières à adopter les ADDs après l’accident de Three Mile Island.

 

Cependant, dans le cas de Challenger, il convient de noter que les seules données statistiques disponibles provennaient de vols d’essai et de tests de résistance, qui auraient pu être limités. Pour les actifs sans données statistiques fiables, aucun outil ne peut être véritablement quantitatif !

 

 

Chaînes d’événements en ADD (FTA) et AMDEC (FMEA)

C’est une autre grande différence entre l’ADD (FTA) et l’AMDEC (FMEA). L’ADD prend en compte plusieurs événements, y compris les événements externes (c’est-à-dire les tremblements de terre) et les événements conditionnants (c’est-à-dire les températures). L’AMDEC crée un « système isolé » et ne tient pas compte de la façon dont des agents externes pourraient compromettre son intégrité.

 

Utilisation quotidienne et mises à jour

Il ne s’agit pas d’une différence entre les analyses elles-mêmes, mais dans la façon dont nous les utilisons au jour le jour. L’AMDEC est généralement un tableau détaillé difficile à tenir à jour, tandis que l’ADD est généralement réalisée avec un logiciel (qui intègre également des données statistiques). Par conséquent, la plupart des responsables de la maintenance trouvent plus facile de tenir à jour les ADDs.

 

Quand utiliser l’ADD (FTA) ou quand utiliser l’AMDEC (FMEA)

Compte tenu des différences substantielles que nous avons explorées tout au long du texte, il est clair que l’ADD et l’AMDEC présentent des avantages et des limites. Personne n’est parfait!

 

Quand utiliser une Analyse par Arbre de Défaillances (ADD) : 

  • il y a très peu de « top events » ;
  • vous devez évaluer la sécurité au sein d’un système ;
  • vous devez effectuer une ERP;
  • vous analysez un système complexe dans lequel plusieurs composants interagissent entre eux ;
  • il y a beaucoup de place pour «l’erreur humaine» ou les problèmes logiciels qui déclenchent les modes de sécurité.

 

Quand utiliser une Analyse des Modes de Défaillance et de leurs effets (AMDEC) :

  • vous ne pouvez pas identifier les meilleurs événements pour effectuer uneADD;
  • le but est d’identifier tous les modes de défaillance possibles, même s’ils n’ont pas d’effet dangereux (c’est-à-dire que vous devez préparer un manuel du produit);
  • les performances de l’actif sont prévisibles et ne nécessitent pas beaucoup d’intervention humaine, ce qui rend plus probable que vous puissiez cataloguer tous les modes de défaillance.

 

ADD et AMDEC peuvent-ils fonctionner ensemble ?

L’ADD et le l’AMDEC ne sont pas mutuellement exclusifs. L’analyse des risques peut être quantitative ou qualitative, de sorte qu’ils peuvent travailler ensemble. Pour la plupart des responsables de la maintenance et des installations, un outil hybride serait parfait.

 

D’autres versions de l’AMDEC, telles que FMECA, PFMECA ou une Analyse des Modes de Variation et des Effets (VMEA), sont des solutions intermédiaires qui permettent aux gestionnaires de combiner analyse quantitative et analyse probabiliste.

 

Ces outils sont de plus en plus utilisés dans l’Industrie 4.0 pour décider quels actifs et systèmes ont la priorité absolue dans la maintenance prédictive – qui est (encore) coûteuse et presque toujours réservée aux actifs critiques.