1. Historique et domaine d’application
L’analyse par arbre des défaillances fut historiquement la première méthode mise au point en vue de procéder à un examen systématique des risques. Elle a été élaborée au début des années 1960 par la compagnie américaine Bell Téléphone et fut expérimentée pour l’évaluation de la sécurité des systèmes de tir de missiles. Visant à déterminer l’enchaînement et les combinaisons d’évènements pouvant conduire à un événement redouté pris comme référence, l’analyse par arbre des défaillances est maintenant appliquée dans de nombreux domaines tels que l’aéronautique, le nucléaire, l’industrie chimique... Elle est aussi utilisée pour analyser a posteriori les causes d’accidents qui se sont produits. Dans ces cas, l’événement redouté final est généralement connu car observé. On parle alors d’analyse par arbre des causes, l’objectif principal étant de déterminer les causes réelles qui ont conduit à l’accident.
2. Principe
L’analyse par arbre de défaillances est une méthode de type déductif. En effet, il s’agit, à partir d’un événement redouté défini a priori, de déterminer les enchaînements d’évènements ou combinaisons d’évènements pouvant finalement conduire à cet événement. Cette analyse permet de remonter de causes en causes jusqu’aux évènements de base susceptibles d’être à l’origine de l’événement redouté. Les évènements de base correspondent généralement à des :
- Évènements élémentaires qui sont suffisamment connus et décrits par ailleurs pour qu’il ne soit pas utile d’en rechercher les causes. Ainsi, leur probabilité d’occurrence est également connue.
- Évènements ne pouvant êtres considérés comme élémentaires mais dont les causes ne seront pas développées faute d’intérêt,
- Évènements dont les causes seront développés ultérieurement au gré d’une nouvelle analyse par exemple,
- Évènements survenant normalement et de manière récurrente dans le fonctionnement du procédé ou de l’installation.
- Quelle que soit la nature des éléments de base identifiés, l’analyse par arbre des défaillances est fondée sur les principes suivants :
- Ces évènements sont indépendants,
- Ils ne seront pas décomposés en éléments plus simples faute de renseignements, d’intérêt ou bien parce que cela est impossible,
- Leur fréquence ou leur probabilité d’occurrence peut être évaluée.
Ainsi, l’analyse par arbre des défaillances permet d’identifier les successions et les combinaisons d’évènements qui conduisent des évènements de base jusqu’à l’événement indésirable retenu. Les liens entre les différents évènements identifiés sont réalisés grâce à des portes logiques (de type « ET » et « OU » par exemple). Cette méthode utilise une symbolique graphique particulière qui permet de présenter les résultats dans une structure arborescente. Les conventions de présentation sont proposées dans la norme CEI 61025 :1990 « Analyse par Arbre de Panne (APP) ». A l’aide de règles mathématiques et statistiques, il est alors théoriquement possible d’évaluer la probabilité d’occurrence de l’événement final à partir des probabilités des évènements de base identifiés. L’analyse par arbre des défaillances d’un événement redouté peut se décomposer en trois étapes successives :
- Définition de l’événement redouté étudié,
- Elaboration de l’arbre,
- Exploitation de l’arbre.
Il convient d’ajouter à ces étapes, une étape préliminaire de connaissance du système. Nous verrons que cette dernière est primordiale pour mener l’analyse et qu’elle nécessite le plus souvent une connaissance préalable des risques.
3. Définition de l’évènement redouté
La définition de l’événement final, qui fera l’objet de l’analyse, est une étape cruciale pour la construction de l’arbre. On conçoit que plus cet événement est défini de manière précise, plus simple sera l’élaboration de l’arbre des défaillances. Par ailleurs, s’agissant d’une méthode qui peut se révéler rapidement lourde à mener, elle doit être réservée à des évènements jugés particulièrement critiques. En ce sens, l’utilisation préalable de méthodes inductives (APR, AMDEC, HAZOP) permet d’identifier les évènements qui méritent d’être retenus pour une analyse par arbre des défaillances.
De manière classique, les évènements considérés peuvent concerner :
- le rejet à l’atmosphère de produits toxiques ou inflammables,
- le risque d’incendie,
- le risque d’explosion...
4. Elaboration de l’arbre
La construction de l’arbre des défaillances vise à déterminer les enchaînements d’évènements pouvant conduire à l’événement final retenu. Cette analyse se termine lorsque toutes les causes potentielles correspondent à des évènements élémentaires. L’élaboration de l’arbre des défaillances suit le déroulement suivant :
Figure 1 : Démarche pour l’élaboration d’un arbre des défaillances
La recherche systématique des causes immédiates, nécessaires et suffisantes (INS) est donc à la base de la construction de l’arbre. Il s’agit probablement de l’étape la plus délicate et il est souvent utile de procéder à cette construction au sein d’un groupe de travail pluridisciplinaire. De plus, la mise en œuvre préalable d’autres méthodes d’analyse des risques de type inductif facilite grandement la recherche des défaillances pour l’élaboration de l’arbre. Afin de sélectionner les évènements intermédiaires, il est indispensable de procéder pas à pas en prenant garde à bien identifier les causes directes et immédiates de l’événement considéré et se poser la question de savoir si ces causes sont bien nécessaires et suffisantes. Faute de quoi, l’arbre obtenu pourra être partiellement incomplet voire erroné. Enfin, il est nécessaire de respecter certaines règles supplémentaires à observer durant la construction de l’arbre à savoir :
- Vérifier que le système est cohérent, c’est-à-dire que :
- La défaillance de tous ses composants entraîne la défaillance du système,
- Le bon fonctionnement de tous ses composants entraîne le bon fonctionnement du système,
- Lorsque le système est en panne, le fait de considérer une nouvelle défaillance ne rétablit pas le fonctionnement du système,
- Lorsque le système fonctionne correctement, la suppression d’une défaillance ne provoque pas la défaillance du système. Il peut en effet arriver qu’une défaillance survenant sur un composant annule les effets d’une défaillance antérieure et permet ainsi le fonctionnement du système. Dans un tel cas de figure (système non cohérent), le deuxième composant doit être supposé, dans l’analyse, en fonctionnement lorsque la première défaillance survient.
- S’assurer que tous les évènements d’entrée d’une porte logique ont bien été identifiés avant d’analyser leurs causes respectives,
- Éviter de connecter directement deux portes logiques,
- Ne sélectionner que les causes antérieures à l’existence de l’événement considéré.
5. Exploitation de l’arbre
a. Coupes minimales – Réduction de l’arbre
Une coupe minimale représente la plus petite combinaison d’évènements pouvant conduire à l’événement indésirable ou redouté. On parle parfois également de « chemin critique ». Dans l’exemple précédent, l’occurrence simultanée des évènements A, B et C conduit effectivement à l’événement final. Il ne s’agit cependant pas d’une coupe minimale puisque la combinaison A.B seule peut être à l’origine de l’événement final. La recherche des coupes minimales est effectuée à partir des règles de l’algèbre de BOOLE en considérant que :
- À chaque événement de base correspond une variable booléenne,
- L’événement de sortie d’une porte « ET » est associé au produit des variables booléennes correspondant aux évènements d’entrée,
- L’événement de sortie d’une porte « OU » est associé à la somme des variables booléennes correspondant aux évènements d’entrée,
Quelques-unes des principales règles de l’algèbre de BOOLE sont résumées dans le tableau suivant :
Ainsi, dans l’exemple précédent, la recherche des coupes minimales peut s’effectuer comme suit : ER = E1 . E2 E1 = A +E3 avec E3 = B + C E2 = C + E4 avec E4 = A . B Au total, nous avons donc : ER = (A+B+C) . (C+A.B) = A.C + A.B + B.C + A.B + C +C.A.B Or, A.C + C =C et A.B+ A.B.C = A.B (par absorption) ER = C + A.B + B.C + A.B
De plus, A.B + A.B = AB (Idempotence) et C + B.C = C (Absorption) D’où ER = C + A.B Ainsi, l’événement C seul ou la combinaison des évènements A.B conduisent à l’événement redouté. Il n’existe pas de combinaison plus petite conduisant à cet événement. L’arbre présenté en exemple admet donc deux coupes minimales : C ainsi que A.B. L’ordre d’une coupe est alors défini comme le nombre d’évènements combinés qui figurent dans cette coupe.
Finalement, cet arbre comporte :
- Une coupe minimale d’ordre 1 : C,
- Une coupe minimale d’ordre 2 : A.B.
L’arbre représentant ces coupes minimales est appelé « arbre réduit ». Pour l’exemple considéré dans la Figure 3, l’arbre réduit est le suivant.
Figure 2 : Réduction de l’arbre des défaillances pris en exemple (VILLEMEUR, 1988)
La recherche des coupes minimales peut s’avérer fastidieuse pour des arbres de taille importante. Certains outils informatiques permettent heureusement d’automatiser cette démarche. Ces outils démontrent toute leur utilité pour la réduction d’arbres complexes. Leur utilisation ne doit cependant pas faire oublier que la définition précise de l’événement final constitue la première étape en vue de limiter la complexité de l’arbre des défaillances.
b. Exploitation qualitative de l’arbre des défaillances
L’exploitation qualitative de l’arbre vise à examiner dans quelle proportion une défaillance correspondant à un événement de base peut se propager dans l’enchaînement des causes jusqu’à l’évènement final. Pour cela, tous les évènements de base sont supposés équiprobables et on étudie le cheminement à travers les portes logiques d’événement ou de combinaisons d’évènements jusqu’à l’événement final. De manière intuitive, une défaillance se propageant à travers le système en ne rencontrant que des portes « OU » est susceptible de conduire très rapidement à l’événement final. A l’inverse, un cheminement s’opérant exclusivement à travers des portes « ET » indique que l’occurrence de l’évènement final à partir de l’événement ou la combinaison d’évènements de base est moins probable et démontre ainsi une meilleure prévention de l’événement final. La définition des coupes minimales permet d’accéder directement aux évènements et combinaisons d’évènements les plus critiques pour le système considéré. Ainsi, plus l’ordre d’une coupe minimale est petit, plus l’occurrence de l’événement final suivant ce chemin critique peut paraître probable. Un moyen de prévenir les évènements indésirables ou redoutés vise à modifier l’arbre des défaillances en vue d’obtenir des coupes minimales d’ordre le plus élevé possible, par l’introduction de portes « ET » par exemple. Cette approche qualitative repose néanmoins sur l’hypothèse relativement forte que les évènements de base sont équiprobables. Il peut cependant arriver qu’une coupe minimale d’ordre 1 corresponde à un événement extrêmement peu probable alors qu’une coupe minimale d’ordre supérieur peut correspondre à des combinaisons d’évènements très probables.
c. Exploitation quantitative de l’arbre de défaillances
L’exploitation quantitative de l’arbre des défaillances vise à estimer, à partir des probabilités d’occurrence des évènements de base, la probabilité d’occurrence de l’événement final ainsi que des évènements intermédiaires. Il ne s’agit pas d’une démarche qui permet d’accéder avec exactitude à la probabilité de chaque évènement. Elle doit être mise en œuvre dans l’optique de hiérarchiser les différentes causes possibles et de concentrer les efforts en matière de prévention sur les causes les plus vraisemblables. En pratique, il est souvent difficile d’obtenir des valeurs précises de probabilités des évènements de base. En vue de les estimer, il est possible de faire appel à :
- Des bases de données,
- Des jugements d’experts,
- Des essais lorsque cela est possible,
- Au retour d’expérience sur l’installation ou des installations analogues.
À partir des probabilités des évènements de base, il s’agit de remonter dans l’arbre des défaillances en appliquant les règles suivantes.
À titre d’exemple, appliquons cette démarche à l’arbre réduit présenté en Figure 4, en supposant les probabilités des évènements de base connues :
- P(A) = 10-3,
- P(B) = 10-2
- P(C) = 10-6.
Figure 3 : Déterminations de la probabilité de l’événement final
Cette exploitation quantitative de l’arbre, au même titre que son exploitation qualitative, ne peut être effectué qu’à partir d’un arbre réduit. Par ailleurs, notons, que pour des éléments de base de faible probabilité, la probabilité de l’événement final est sensiblement égale à la somme des probabilités affectées aux coupes minimales. Dans l’exemple précédent, nous avons donc : P(EF) = P(C + A.B) = P(C) + P(A).P(B) - P(A).P(B).P(C) (théorème de POINCARRE) d’où P(EF) = P(C) + P(A).P(B) Les logiciels informatiques développés depuis une dizaine d’années permettent de déterminer automatiquement les probabilités tout au long de l’arbre. L’examen des probabilités des évènements intermédiaires conduisant à l’événement final permet de hiérarchiser les priorités de modifications du système en identifiant les causes les plus probables d’un événement indésirable ou final. La réduction de la probabilité de cet événement final peut alors être envisagée de plusieurs manières :
- En supprimant ou réduisant la probabilité d’occurrence des évènements de base,
- En améliorant la fiabilité du système par l’ajout de portes « ET » entre l’événement final et les évènements de base. Les portes « ET » placées au plus proche de l’événement final permettent de traiter un maximum de coupes minimales et le cas échéant, de traiter certaines causes qui n’auraient pas été envisagées.
6. Limites et avantages
Le principal avantage de l’analyse par arbre des défaillances est qu’elle permet de considérer des combinaisons d’évènements pouvant conduire in fine à un événement redouté. Cette possibilité permet une bonne adéquation avec l’analyse d’accidents passés qui montre que les accidents majeurs observés résultent le plus souvent de la conjonction de plusieurs évènements qui seuls n’auraient pu entraîner de tels sinistres. Par ailleurs, en visant à l’estimation des probabilités d’occurrence des évènements conduisant à l’événement final, elle permet de disposer de critères pour déterminer les priorités pour la prévention d’accidents potentiels. L’analyse par arbre des défaillances porte sur un événement particulier et son application à tout un système peut s’avérer fastidieuse. En ce sens, il est conseillé de mettre en œuvre au préalable des méthodes inductives d’analyse des risques. Ces outils permettent d’une part d’identifier les évènements les plus graves qui pourront faire l’objet d’une analyse par arbre des défaillances et d’autre part, de faciliter la détermination des causes immédiates, nécessaires et suffisantes au niveau de l’élaboration de l’arbre. Depuis une dizaine d’années, des logiciels informatiques sont commercialisés afin de rendre plus aisée l’application de l’arbre des défaillances. Ces outils se montrent très utiles pour la recherche des coupes minimales, la détermination des probabilités ainsi que pour la présentation graphique des résultats sous forme arborescente.