normalisation x 60-510 francaise Dscambre 1988 CEI 812-1985 Techniques d’analyse de la fiabilité des systémes Procédure d’analyse des modes de défaillance et de leurs effets (AMDE) E: Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA) D: Zuverlassigkeit von Systemen - Untersuchungstechniken — Ausfallarten-und Ausfallauswirkungsanalyse (SMEA) Fascicule de documentation publié par I'UTE. correspondance Le présent fascicule de documentation reproduit la Publication CEI 812-1985. analyse descripteurs Ce fascicule de documentation intéresse tout particuliérement les produc- teurs de composants et de systemes. Il traite de l'analyse des modes de defaillance et de leurs effets (AMDE) ainsi que de l'analyse des modes de defaillance, de leurs effets et de leur criticité (AMDEC), qui constituent des méthodes d'analyse de la fiabilité permettant de recenser les défaillances dont les conséquences affectent le fonctionnement d'un systéme dans le cadre d'une application. Il précise comment appliquer ces méthodes danalyses : = en fournissant la procédure @ suivre pour réaliser une analyse, = en spécifiant les termes pertinents, les hypothéses formulées, les mesures de criticité, les modes de défaillance, ~ en déterminant les principes de base, — en fournissant des exemples de tableaux types. Fiabilité, composants, systémes, techniques d'analyse, modes de défaillan- ce, criticte. modifications corrections ‘edité et ditusé par 'Union technique de "Blectrcité, 12, place des états-unis, 75789 paris cedex 16 - tél. (1) 47 287257, ditfusé egalement par association francaise de normalisation (afnor) tour europe cedex 7, ©2080 paris la défense 18 tirage 86-12X 60-510 - SOMMAIRE AVANT-PROPOS, 2.1 Objectif de analyse 2.2 Application . 3. Principes fondamentaux de 'AMDE . 3.1 Terminologie 3.2 Notions ... 3.3 Définition de la structure fonctionnelle du systime 3.4 Informations nécessaires a la réalisation de 'AMDE 3.5 Représentation de la structure du systéme 3.6 Les modes de défaillance 3.7 La notion de criticité 3.8 Relations entre 'AMDE et les autres méthodes analyse 4, Procédure ... 4.1 Definition du sy 4.2 Elaboration des diagrammes . 4.3 Elaboration des principes de base ...... 4.4 Les modes de défaillance, leurs causes et leurs effets 4.5 Méthodes de détection des défaillances 4.6 Appréciation de limportance des défaillances et solutions de rechange . 4.7 La rubrique « Remarques» dans les tableaux ....... 5. Analyse de criticité 5 5.1 Probabilité d'un m¢ 5.2 Evaluation de la criticité 6. Compte rendu de analyse TABLEAU I~ Exemples d'une liste de modes de défaillance généraux TABLEAU II ~ Modes de deéfaillance génériques : FIGURE I - Exemple de grille de criticité ANNEXE A ~ Exemple de tableau pour I'analyse des modes de défaillance, de leurs effets et de leur criticité ANNEXE B ~ Exemple d’échelle de la criticité des effets de défaillance . ‘i [ANNEXE C - Correspondance entre les publications de la CEI citées en référence et les normes francaises a appliquer Eo=a X 60-510 AVANT-PROPOS 1 Ce fascicule de documentation reproduit la Publication 812 « Techniques d’analyse de la fiabilité des systémes — Procédure d’analyse des modes de défaillance et de leurs effets (AMDE) » ~ 1985 - de la Commission Electrotechnique Internationale (CEL). Par souci d'effcacité, de simplification, d'économie et d’harmonisation avec le texte de la CEL, il n'a pas été jugé opportun de procéder aux modifications rédactionnelles mineures qui auraient éé nécessaires pour mettre la typographie en accord avec les régles habituellement appliquées dans le domaine de la normalisation frangaise. C’est ainsi, par exemple, que le terme «norme » n’a pas été remplacé par « fascicule de documentation » et gu’aucun article « Validité » wa été introduit. 2 Le probléme des réferences est wraité dans Vannexe C. 3 Le présent fascicule de documentation a éé adopté le 2 décembre 1986 par le Comité de Direction de 'UTE.X 60-510 -4- TECHNIQUES D’ANALYSE DE LA FIABILITE DES SYSTEMES — PROCEDURE D’ANALYSE DES MODES DE DEFAILLANCE ET DE LEURS EFFETS (AMDE) 1. Domaine d’application La présemte norme contient une description de analyse des modes de défaillance et de leurs effets (AMDE), et de l'analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC), ainsi que quelques directives précisant comment appliquer ces méthodes d’analyse selon les divers objectifs recherchés, comme suit: — en foumissant la procédure a suivre pour réaliser une analyse; — en spécifiant les termes pertinents, les hypothéses formulées, les mesures de criticité, les modes de défaillance; — en déterminant les principes de base — en fournissant des exemples de tableaux types. Etant donné que !AMDEC est une suite logique de 'AMDE, toutes les remarques générales ordre qualitatif se rapportant Tune sont applicables a l'autre. 2. Généralités Lranalyse des modes de défaillance et de leurs effets (AMDE) et I'analyse des modes de défail- lance, de leurs effets et de leur criticité (AMDEC) sont des méthodes d’analyse de la fiabilité qui ermettent de recenser les défaillances dont les conséquences affectent le fonctionnement du sys- téme dans le cadre d'une application donnée. En régle générale, toute défaillance ou tout mode de défaillance d'un composant altére le fonc- tionnement du systéme. L’étude de la fiabilité, de la sécurité et de la disponibilité d'un systeme fait appel & deux types d'analyses complémentaires: l'analyse qualitative et l'analyse quantitative. Lanalyse quantitative permet de calculer ou de prévoir les indices de performance du systéme pendant qu'il remplit une tache spécifique ou lorsqu'l doit fonctionner sur une longue période dans des conditions particuliéres. Les indices classiques caractérisent la fiabilité, la sécurité la disponi- bilit, les taux de défaillance, le temps moyen jusqu’a défaillance (MTF), etc. L’AMDE commence au niveau — composant ou sous-ensemble — pour lequel on dispose d’'in- formations de base sur les défaillances (modes de défaillances premiéres). Partant des caractéristi- ques fondamentales des défaillances des éléments et de la structure fonctionnelle du systéme, VAMDE permet de dégager la relation qui existe entre les défaillances des éléments et les défail- lances, les dysfonctionnements, les contraintes opérationnelles et la dégradation du fonctionnement ou de Pintégrité du systéme. Pour pouvoir étudier les défaillances secondes ou d’un ordre plus élevé de systémes ou de sous-systémes, il est parfois nécessaire d’examiner également la suite chronolo- sique des événements. L'AMDE, au sens strict, se limite & une analyse qualitative des modes de defaillance du matériel. Elle ne porte pas sur les erreurs humaines ni sur les erreurs de logiciel, bien qu’en fait, dans les systémes actuels, ces deux types d'erreurs puissent survenir. Mais, prise dans un sens plus large, elle pourrait englober ces deux facteurs. On utilise la notion de criticité pour définir a gravité des conséquences d'une défaillance. Il existe plusieurs catégories ou niveaux de criticité qui sont fonction du danger et de I'incapacité plus ou ‘moins grande du systéme de fonctionner et, parfois, de la probabilité des défaillances. I vaut mieux procéder séparément & l'analyse de cette probabilité.X 60-510 Liétude de la criticité et de la probabilité des modes de défaillance est une suite logique de TAMDE. Cette analyse de la criticité des modes de défaillance mis a jour est bien connue sous le nom de AMDEC. 2.1 Objectif de Vanalyse L'AMDE et ’AMDEC jouent un réle essentiel dans un programme d’assurance de la fiabilité. Ces méthodes peuvent s'appliquer & un large éventail de problémes survenant dans les systémes tech- niques. Elles peuvent étre plus ou moins approfondies ou modifiées en fonction du but 4 atteindre. ‘L’analyse, qui est peu utlisée pendant les phases d'étude, de planification et de définition, trouve un large emploi au cours de la conception et de la mise en czuvre. Il convient, toutefois, de rappeler que TAMDE n'est qu'une étapé d’un programme de fiabilité et de maintenabilité qui requiert d'effectuer dde multiples tiches dans des domaines variés. L’AMDE est une méthode inductive qui permet de réaliser une analyse qualitative de la fiabilité ou de la sécurité d’un systéme depuis un niveau bas jusqu’a un niveau élevé. L’établissement des diagrammes fonctionnels de fiabilité et des graphes d'état obtenus la structure du systéme est étroitement selon: — la fagon dont ont été déterminés les différents critéres relatifs a la défaillance du systéme; — la dégradation de la fonction ou la réduetion de la garantie d’accomplissement de la fonction du systeéme; — Ia steurité; — d'autres phases du fonctionnement. L’AMDE et 'AMDEC servent entre autres fins a: 4a) évaluer les effets et la séquence des événements provoqués par chaque mode connu de défail- lance d'un dispositif — quelle qu’en soit lorigine — aux divers niveaux fonctionnels du sys- tee; }) déterminer Vimportance ou la criticité de chaque mode de défaillance compte tenu de son influence sur le fonctionnement normal du systéme ou sur son niveau de performance et en évaluer impact sur la fiabilité ou sur la sécurité du processus considéré; ©) classer les modes de défaillance connus suivant la facilité avec laquelle on peut les détecter, les iagnostiquer, les simuler, changer un composant et suivant les moyens mis en ceuvre pour y faire face et maintenir le systéme en état de marche (réparation, entretien et logistique, etc), ainsi que toute autre caractéristique pertinente; @) Gtablir les échelles de signification et de probabilité de défuillance, & condition de pouvoir disposer des informations nécessaires. 2.2. Application 2.2.1 Domaine d’application de !'AMDE L’AMDE est une méthode essentiellement adaptée a l'étude des défaillances du matériau et de Yéquipement. Elle s'applique a des systémes soit de types différents (électriques, mécaniques, hydrauliques, etc), soit alliant plusieurs techniques. L'AMDE peut également étre utilisée pour étude des logiciels et de action humaine. partir de TAMDE. Des diagrammes séparés seront nécessaires 2.2.2. Modes d'utilisation de "AMDE dans le cadre d'un projet Lutilisateur devra déterminer comment et quelle fin il exploitera 'AMDE dans sa propre discipline. Elle peut étre employée seule ou pour compléter et étayer d'autres méthodes d’analyse de Ja fiabilité. La réalisation d'une AMDE est nécessaire pour comprendre le comportement du maté- riel et son influence sur la maniére de faire fonctionner le systéme ou l’équipement. L’utilité de cette AMDE peut varier grandement d’un projet a l'autre.X 60-510 L'AMDE est une technique pour faciliter examen critique de la conception et qui permet dévaluer et de garantir la fiabilité. Elle doit donc étre utilisée dés les premiéres phases de la conception d'un systéme ou d'un sous-systéme. Elle peut étre employée 4 tous les niveaux de la conception du systéme. Le personnel qui effectue cette analyse doit avoir regu une formation spéciale; les spécialistes des systémes et les concepteurs doivent 'aider dans sa tiche. Au fur et & ‘mesure que le projet progresse et que des modifications sont apportées 4 la conception, 'AMDE doit étre mise a jour. En fin de projet, l'AMDE est un instrument de vérification a posteriori de la conception et peut se révéler précieuse lorsqu'il s'agit de prouver la conformité du systéme congu aux normes et a Ja réglementation imposées ainsi qu’aux exigences de 'utilisateur. Les informations fournies par I'AMDE permettent de dégager des priorités pour les controles des. processus et les vérifications prévues en cours de fabrication et d'installation, ainsi que pour les essais de qualification, de réception et de mise en service. L'AMDE contient des données indis- pensables au diagnostic et & Yentretien. ‘Avant de décider de la fagon dont on appliquera I'AMDE a un dispositif ou a un systéme, et d’en fixer 'ampleur, il faut préciser lobjectif recherché et planifier la réalisation de I'analyse en fonction des autres activités. D'autre part, il convient également de se rappeler qu'une certaine vigilance rédéterminée s'impose afin d'éviter des modes de défaillance et des effets indésirables. Cela con- duit a prévoir une analyse qualitative des modes de défaillance et de leurs effets a des niveaux spécifiques (systémes, sous-systémes, composants, éléments) pour établir une étroite connexion centre cette analyse et le processus itératif de conception et de développement. La place de AMDE dans un programme de fiabilité doit étre clairement établie pour garantir son efficacité. 223° Utilisation de 'AMDE (On trouvera, ci-dessous, quelques exemples détaillés des applications possibles et des avantages de TAMDE. 4) diéfinir les défaillances qui, lorsqu’elles se produisent seules, ont des effets inacceptables ou importants et rechercher les modes de défaillance qui peuvent avoir des conséquences graves sur le fonctionnement désiré ou exigt. Parmi ces effets, on comptera les défaillances secon- aires; 4). déterminer s'il est nécessaire: — de prévoir des redondances; — de perfectionner la conception de fagon 4 augmenter la probabilité des conséquences «sires» des défaillances; — @établir s'il convient de surdimensionner le matériel evou de simplifier la conception; ©) déterminer s'il faut changer de matériaux, de pices, de dispositifs ou de composants; @) metire en évidence les défaillances aux conséquences graves et, partamt, déterminer s'il est nécessaire de revoir et de modifier la conception; @) préparer le modéte logique qui permettra de calculer les probabilités de conditions anormales de fonctionement du systéme; J) trouver tout ce qui peut présenter un risque ou soulever un probléme de responsabilité juridique et découvrir toutes les violations de la réglementation; ® Sassurer que le programme d’essais peut bien mettre en évidence les modes de défaillance potentiels; 1h) Gtablir les cycles d'utilisation qui peuvent prévoir et éviter les défaillances dues a rusure; 1) insister sur les éléments clefs qui devront étre soumis a des contréles de qualité, & des inspec- tions et des verifications des procédés de fabrication; J) éviter des modifications cofteuses en détectant le plus t6t possible les faiblesses de la concep- tion;aus X 60-510 K)_ établir les besoins relatifs & Tenregistrement de données etd la surveillance pendant les essais, Jes vérifications et en cours d'exploitation; 1) obtenir des informations qui permettront de définir les dispositions relatives a lentretien pré- ventif et aux réparations, de rédiger des manuels de dépannage, de réaliser un appareillage essai intégré et de préciser les points qui doivent faire objet d'essais; ‘m) faciliter Vétablissement des critéres et des programmes d'essais, des méthodes employées pour iagnostiquer les pannes, par exemple, vérification du fonctionnement, essai de fiabilité; 1) recenser les circuits qui nécessitent une analyse des cas les plus défavorables (cette analyse est souvent nécessaire pour les modes de défaillance qui impliquent une dérive des paramétres); ) faciliter la tache des opérateurs en concevant, par exemple, des processus permettant d'isoler les pannes et en prévoyant des modes de fonctionnement de remplacement et des changements de Ja configuration de fonctionnement; 1p) faciliter les échanges entre: — ingénieurs «généralistes» et «spécialistes»; = fabricant de matériel et ses fournisseurs; — utilisateur du systéme et concepteur ou fabricant; Y permettre a ranalyste de mieux connaitre et de mieux comprendre le comportement du maté riel étudié; 7) mettre au point une méthode systématique et rigoureuse pour étudier les installations dans lesquelles est situé le systéme, 2.2.4 Limites et inconvénients de 'AMDE L’AMDE est extrémement efficace lorsqu’elle est appliquée a l'analyse des deéfaillances <'lé- ‘ments conduisant a la défaillance globale du systéme. Dans le cas de systémes complexes qui ont de multiples fonctions et comportent nombre de ‘composants, l'AMDE peut étre cependant trés difficile a établir et son application peut étre fasti- dieuse. Cela s’explique par 'énorme volume d’'informations détaillées sur le systéme qu'll convient étudier. Cette difficulté peut méme étre accrue s'il existe plusieurs modes opératoires possibles et s'il faut, de surcroit, tenir compte de diverses politiques en matiére de réparation et d'entretien. En outre, les conséquences des erreurs humaines ne sont pas habituellement étudiées au cours ’une AMDE. L’examen des interactions homme-machine se fait selon des méthodes particuliéres (analyse des taches, par exemple). Les erreurs humaines surviennent généralement au cours de fonctionnements séquentiels des systémes. Par conséquent, pour étudier leur impact, des méthodes ‘comme lanalyse causes-conséquences par exemple s'imposent. Néanmoins, TAMDE permet de déceler les composants les plus vulnérables & 'erreur humaine. L'AMDE présente également un inconvénient lorsque les effets de 'environnement sont importants. La prise en compte de ces effets suppose une connaissance approfondie des caractéristiques et des performances des différents composants du systéme, On remarquera que lerreur humaine et les effets de l'environnement constituent une source 3. Principes fondamentaux de !AMDE_ BL Terminologie ‘Toute la terminologie est, sauf mention contraire, conforme a la Publication 271 dela CE! des termes de base, définitions et mathématiques applicables a la fiabilité.X 60-510 3.2. Notions L'AMDE repose sur: — Ja notion de décomposition du systéme en «éléments»; — Jes représentations graphiques de la structure fonctionnelle du systéme et le recensement des diverses données nécessaires 4 la réalisation de cette AMDE; — la notion de mode de défaillance; — la notion de criticité (si cette analyse est requise). Enfin, il parait essentiel, avant de décrire de fagon plus détaillée la procédure a suivre pour réaliser une AMDE, de préciser les liens existant entre ' AMDE (et 'AMDEC) et les autres métho- des d’analyse qualitative (et quantitative). 3.3. Définition de la structure fonctionnelle du systeme L’analyse commence par le choix du niveau approprié le plus bas (habituellement une piéce, un circuit ou un module) pour lequel on dispose d’un volume d’informations suffisant. On dresse un tableau des divers modes de défaillance de chaque élément se trouvant & ce niveau. Lreffet de la défaillance des éléments pris individuellement, et tour de réle, est alors considéré comme un ‘mode de défaillance dont on étudiera Pimpact au niveau suivant. Par itérations successives, on dégage ainsi les effets des défaillances & tous les niveaux fonctionnels nécessaires jusqu'au niveau du systéme ou le plus élevé compte tenu des modes de défaillance spécifiques. Il convient donc de déterminer le niveau de décomposition & partir duquel l'analyse doit étre effectuée. Un systéme peut ainsi étre décomposé en sous-systémes, plus petits éléments non décomposables, ou pices détachées (composants). L'étude de dispositifs autres qu’électriques est parfois requise. Afin d'obtenir des résultats quantitatify, il faut choisir un niveau pour lequel il est possible d'obtenir des données sur les taux de défaillance, pour chaque mode de défaillance ou erreur, qui soient suffisantes (et fiables) ou, sinon, proposer des hypothéses raisonnables sur ces taux de défaillance. Le niveau de décomposition choisi suppose que 'on ait une connaissance approfondie et fiable des modes de défaillance des éléments. En dehors de cette contrainte, il n'est ni possible, ni opportun, de fixer des régles précises pour le choix du niveau de décomposition. 3.4 Informations nécessaires & la réalisation de !AMDE 3.4.1 Structure du systeme Il est nécessaire de connaitre les informations suivantes — les différents éléments du systéme avec leurs caractéristiques, performances, réles, et fonc- tions; — Jes connexions entre ces éléments; — Je niveau et la nature des redondances; — Timplantation du systéme dans linstallation globale (si possible). Les informations relatives aux fonctions, caractéristiques et performances doivent étre connues & tous les niveaux considérés jusqu’au niveau le plus élevé. 3.4.2 Démarrage, fonctionnement, contr6le-commande et entretien du systime (On doit préciser les différents modes de fonctionnement du systéme, les variations de configu- ration ou de position du systéme et de ses composants dans les différentes phases du fonctionne- ment. Les performances minimales exigées du systéme doivent étre définies et des impératifs particuliers, comme la disponibilité ou la sireté, doivent étre étudiés par rapport a des niveaux de performance, de dommage et de danger spécifiés. lest également nécessaire de connaftre: — les durées de chaque téche;-9- X 60-510 — les intervalles entre essais périodiques; — les délais c'imervention corrective avant apparition de conséquences graves pour le systéme; — installation dans son ensemble, 'environnement et/ou le personnel; — les conditions de reparation comprenant les actions correctives possibles et les délais, matériels ‘eVou personnels nécessaires pour leur mise en ceuvre. I est nécessaire d’obtenir des informations complémentaires sur: — les différentes procédures de mise en service du systéme; — Je contréle pendant les différentes phases de fonctionnement; — Tentretien préventif ou correctif; — les méthodes employées pour les essais périodiques éventuels. 3.4.3 Environnement du systéme Tl est nécessaire de préciser environnement du systéme, incluant les conditions ambiantes et celles qui sont créées par les autres systémes de I'installation. Il est également nécessaire de déli- miter le systime, Cest-a-dire de définir ses relations et dépendances ou interconnexions avec autres systémes, comme des systémes auxiliaires ainsi que les interfaces avec les opérateurs. Habituellement, dans les phases de conception, toutes ces informations ne sont pas connues et il sera, par conséquent, nécessaire d’émettre des hypothéses et de faire des approximations. Au cours de Tavancement du projet, il faudra donc compléter les données et modifier AMDE pour fournir de nouvelles connaissances ou modifier des hypothéses ou approximations. LAMDE, ou toute autre méthode d’analyse d'un systme, suppose une certaine modélisation du systéme, c'est-d-dire une schématisation de 'ensemble des informations relatives au systéme. Il est parfois utile de formuler des hypotheses sur la nature des modes de défaillance et la gravité de leurs conséquences. Ainsi, on peut étre amené, dans les études de stireté, 4 émettre des hypothéses prudentes concernant l'impact sur le systéme de certaines défaillances. Dans quelques cas, AMDE conduit a des décisions concemant les effets, Ia crticité et les probabilités conditionnelles qui nécessitent identification de certains éléments du logiciel, leur nature, leur sequence et leur synchronisation. On prendra soin alors de bien noter ces caractéristi- ues car tout changement ou toute amélioration ultérieure du logiciel peut modifier 'AMDE et, partant, les évaluations qui en auront été tirées. Une révision de 'AMDE et de ses évaluations pourra s'imposer dans ce cas avant approbation des améliorations apportées au logiciel. 3.5. Représentation de la structure du systeme (On peut utiliser des représentations symboliques de la structure et du fonctionnement du systé- me, notamment des diagrammes. Les diagrammes généralement utilisés sont les diagrammes fonc- tionnels qui mettent en lumiére toutes les fonctions essentielles pour le systéme. Dans le diagramme, les blocs sont connectés entre eux par des lignes qui représentent les entrées ct les sorties de chaque fonction. La nature de chaque fonction et de chaque entrée doit étre en principe clairement précisée. Il peut éventuellement y avoir plusieurs diagrammes qui couvrent les diverses phases de fonctionnement du systéme. Diune facon générale, les descriptions graphiques, y compris celles qui sont étroitement liées & des méthodes d’analyse — telles que les arbres de défaillance ou les diagrammes causes-conséquences — contribuent a faciliter la comprehension du systéme, de sa structure et de son fonctionnement. Leur utilisation souléve, toutefois, le probléme des relations entre ces diverses méthodes et TAMDE. Ce probléme est traité au paragraphe 3.8.X 60-510 -10- 3.6 Les modes de défaillance On définit un mode de défaillance comme effet par lequel une défaillance est observée sur un élément du systéme. L'importance du recensement complet de tous les modes de défaillance possibles ou potentiels de tous les éléments d'un systéme est primordiale, car ' AMDE est essentiellement fondée sur cette liste. Les constructeurs des composants ou de chaque équipement devraient étre associés a la détermination des modes de défaillance des produits qu’ils fabriquent, guidés par les différentes considérations suivantes: — si le composant est nouveau, on peut se référer 4 des composants dont les fonctions et la structure se rapprochent Je plus de ce dernier, ou aux essais déja effectués; — sile composant a déja été mis en service et utilisé, on peut se référer A ses performances, aux rapports de défaillance de ce composant et aux essais effectués en laboratoire; — Jes composants complexes qui peuvent étre décomposés en éléments peuvent étre analysés qualitativement en considérant chacun comme un systéme; — on peut également déduire des modes de défaillance potentiels a partir des paramétres physi- ques, caractéristiques du fonctionnement du composant. On effectuera les classifications des modes de défaillance. Deux classifications communes sont: 4) identification des modes de défaillance généraux déduits de la définition de la fiabilité (tableau 1), 4) Ja classification la plus compléte possible de tous les modes de défaillance génériques (tableau 11). 3.6.1 Défaillance de mode commun (de cause commune) (DMC) Une analyse de fiabilité ne peut pas se limiter aux défaillances aléatoires et indépendantes. Cenaines défaillances dites «de mode commun» (DMC) (ou «de cause commune») peuvent se roduire. Dans ce cas, la dégradation des possibilités ou la défaillance du systéme est due & des anes survenant simultanément dans différents composants dudit systéme, une méme cause (erreur de conception, erreur humaine, etc.) étant & l'origine de ces pannes. Une défaillance de mode commun résulte d'un événement qui, en raison des dépendances, Provoque simultanément des états de panne sur plusieurs composants (en éliminant les défaillances secondaires résultant des effets d'une défaillance primaire). Les défaillances de mode commun peuvent étre analysées de maniére qualitative avec TAMDE. ‘Comme celle-ci consiste 4 examiner successivement chaque mode de défaillance et ses causes et & organiser tous les essais périodiques et toutes les opérations d'entretien préventif nécessaires, etc, toutes les causes possibles d'une défaillance de mode commun peuvent étre passées en revue. Ces causes appartiennent a cing catégories principales: 4) les effets de environnement (conditions normales, anormales ou accidentelles); 1) les erreurs de conception; ©) les erreurs de fabrication; 4) les erreurs de montage; ©) Jes erreurs humaines (pendant l'exploitation ou entretien). On peut utiliser une liste établie d'aprés ces catégories pour définir précisément toutes les causes possibles des défaillances de mode commun. ine suffit pas installer des systémes redondants pour résoudre le probléme des défaillances de mode commun. Plusieurs méthodes peuvent étre combinées afin d'y remédier.Ils'agit, entre autres mesures préventives, des suivantes: diversité fonctionnelle, installations redondantes de différents3.6.2 3.6.3 37 -u- X 60-510 types, séparation matérielle des systemes, essais, etc. Comme précédemment, des listes détaillées peuvent aider a vérifier si les méthodes envisagtes sont efficaces ou adéquates. A proprement parler, l'étude des mesures employées pour éviter ces défaillances sort du cadre de l'AMDE. Facteurs humains Lorsqu’on congoit certains systémes, il est essentiel de prévoir l'occurrence d'erreurs humaines, en prévoyant par exemple des enclenchements mécaniques sur la signalisation ferroviaire, des mots de passe permettant I'usage des ordinateurs ou laccés aux données. L’effet de la défaillance de ces ispositifs dans un tel systéme dépendra du type d'erreur commise par 'opérateur. Il convient également de tenir compte de certains modes d’erreur humaine dans des systémes qui, par ailleurs, n'ont pas de défaillance, de fagon a verifier Vefficacité des mesures adoptées pour y remédier. Bien qu'incompléte, méme une liste partielle de ces modes est bénéfique. Erreurs de logiciel Tout mauvais fonctionnement résultant d'erreurs ou de lacunes au niveau du logiciel aura des effets dont la criticité dépendra de la conception — matériel et logiciel — du systéme. Prévoir ces erreurs ou lacunes et analyser leurs effets n'est possible que dans une certaine mesure. En outre, ‘cette recherche sort du cadre d'une AMDE. Toutefois, on peut évaluer les effets d’éventuelles erreurs au niveau du logiciel sur le matériel concemé. La notion de eriticté Liattention quill convient d’accorder & une défaillance donnée dépend, de toute évidence, de sa probabilité d'apparition et de la gravité de ses conséquences. La notion de criticité quantifie 'ana- lyse et sert de complément a TAMDE. II n’existe pas de critére général de criticité applicable & un systéme, car cette notion est essentiellement lige au concept de gravité des conséquences et & leur probabilité apparition. La notion de gravité elle-méme peut étre définie de multiples fagons, suivant que Pobjectif recherché est d'assurer la sécurité de Thomme, d’éviter les dommages ou les pertes indirectes, ou de garantir la disponibilité du service. Liintroduction de la notion de criticité apporte beaucoup a 'AMDE en examinant: — les éléments qui doivent étre l'objet d'une étude plus approfondie en vue d'éliminer un danger particulier, d’améliorer la probabilité des conséquences non dangereuses, de diminuer le aux de défaillance, le risque ou 'étendue du dommage: — Jes éléments qui méritent une attention spéciale pendant la fabrication, qui exigent des contréles de qualité sévéres et dont la manutention doit étre soumise 4 des normes strictes; — les impératifs particuliers a inscrire dans les spécifications d’achat en ce qui concerne la con- ception, les performances, la fiabilité, la sécurité ou assurance de la qualité; — les normes de réception des produits des sous-traitants ainsi que les paramétres qui devront étre ‘minutieusement vérifiés; — dans quels cas, des procédures, des mesures de sauvegarde, du matériel de protection, des systémes de surveillance ou d’alarme spéciaux devront étre prévus; — comment utiliser les moyens de prévention des accidents pour garantir une rentabilité maxi- male. Il convient, pour définir la criticité, d’établir une échelle de valeurs permettant d’apprécier la gravité des conséquences en fonction des critéres retenus. L’annexe B donne un exemple de clas- sification de la gravité des conséquences comprenant quatre degrés de gravité. Le choix du nombre de degrés est assez arbitraire. Dans l’exemple cité, le nombre de degrés a été fixe en combinant ‘quelques eritéres jugés pertinents, qui sont: — les dommages subis par les personnes (blessures, mort); — Ia perte de la (ou des) fonction(s) du systéme;X 60-510 othe — V'impact sur l'environnement et les dommages subis par le matériel. Les termes: «catastrophique», «critique», «majeur» et «mineur» sont d’un usage répandu et ont été définis dans la Publication 271 de la CE I. Mais ces définitions peuvent, ou non, étre adaptées & ccertaines applications de AMDE. L’emploi de ces termes est envisageable dans une étude, & condition qu’ils soient clairement définis. 3.8 Relations entre 'AMDE et les autres méthodes d'analyse est nécessaire d’examiner Ja fagon dont s'articulent, dans le cadre dun projet, les différentes méthodes d'analyse de la fiabilité et de la disponibilité d'un systéme. L'AMDE (ou 'AMDEC) peut étre utilisée seule. En tant que méthode inductive systématique analyse, ! AMDE est, le plus souvent, complémentaire de toute autre démarche, du type déductif notamment. Au cours d'un projet, il est souvent extrémement difficile de discerner le type de démarches — inductive ou déductive — qui est privilégi¢ car elles sont utilisées conjointement dans Je processus de pensée et d'analyse. Dans le cas de niveaux de risques connus, concernant des installations ou des systemes industriels de type courant, la démarche inductive est privilégiée. L’AMDE est done un outil de base de la conception. Mais elle devra étre complétée par d'autres méthodes, notamment pour l'étude des défaillances multiples et des effets séquentiels. En outre, suivant l'état d’avancement du programme, une méthode pourra étre mise au point avant une autre. Dans les premiéres phases, lorsque seules les fonctions et la structure générale du systéme et des sous-systémes sont définies, il est possible de représenter le bon fonctionnement ou Je déroulement des défaillances du systéme par un diagramme de fiabilité ou un arbre de défail- lance, respectivement. Toutefois, l’élaboration de ces diagrammes du systéme suppose une démar- che inductive, du type AMDE, au niveau des sous-systémes, avant leur conception. Dans ce cas, TAMDE ne peut étre une procédure figée: elle est, au contraire, un processus de pensée qu'il est difficile de représenter sous la forme rigide de tableaux. En régle générale, pour analyse d'un systéme complexe comportant plusieurs fonctions et de nombreux composants en interrelations multiples, I'AMDE se révéle indispensable, mais non suffisante. 4. Procédure ‘Comme la conception des systémes et leur application sont caractérisées par une complexité trés variable, il peut étre nécessaire de mettre au point une AMDE trés particularisée, qui soit adaptée & information recueillie. Les étapes essentielles suivantes sont utilisées pour les études d’AMDE. 4) définition du systéme, de ses fonctions et de ses performances minimales; }) elaboration de diagrammes fonctionnels et de fiabilité et d'autres représentations ou modéles mathématiques et descriptions; ¢) Aéfinition des principes de base et rassemblement des documents nécessaires & analyse; d) recensement des modes de défaillance, de leurs causes, de leurs effets et de leur importance relative, et description de leur déroulement e) énumération des méthodes et des dispositions prévues pour détecter et isoler les défaillances; J) inventaire des interventions possibles, au niveau de la conception et de exploitation, pour lutter contre des événements particuliérement indésirables; 8) evaluation de la criticté d'un événement (AMDEC seulement); A) calcul de la probabilité des défaillances (AMDEC seulement); i) recherche des combinaisons particuliéres de défaillances multiples dont il faut tenir compte acultati; J) recommandations. L'AMDE peut comporter une analyse de la «criticité», Si ce n'est pas le cas, les étapes g) et A) sont omises.-13- X 60-510 4.1, Définition du systeme et de ses spécifications 41.1 Définition du systeme Pour que la définition d'un systéme soit complete, il convient de préciser les fonctions principales t secondaires, le réle, le fonctionnement, les contraintes fonctionnelles et les conditions explicites de défaillance de ce systéme. Etant donné que chaque systéme est concu pour un mode d’exploi- tation au moins et qu'il peut étre amené a fonctionner pendant des périodes trés varies de sa vie, il faut préciser, lors de la définition du’systéme, le déroulement et la durée de son fonctionnement our chacun de ses modes. 4.1.2 Définition des spécifications relatives au fonctionnement lest indispensable de définir tant le fonctionnement acceptable du systéme dans son ensemble et de ses éléments constitutifs que les caractéristiques de fonctionnement qui seront jugées inaccep- tables. Les spécifications doivent donc comprendre une définition des valeurs acceptables des caractéristiques du systéme en fonctionnement, 4 l'arrét ou en attente, pour toutes les durées correspondantes et pour toutes les conditions de l'environnement. 4.1.3 Définition des spécifications relatives & Venvironnement Il est nécessaire de définir précistment l'environnement dans lequel le systéme est suppost fonctionner ou étre placé, ou encore auquel il risque d’étre exposé. Les performances attendues du systtme dans chaque cas doivent étre spécifiées. Par environnement, on peut entendre des facteurs comme la température, rhumidité, la radioactivité, les vibrations, et la pression. Pour des systémes cybemétiques, il convient de tenir compte d'autres facteurs — psychologiques, physiologiques et écologiques — dans la mesure oi ils conditionnent les performances de homme, la conception et exploitation du systéme. 4.1.4 Spécifications réglementaires Lorsqu’on définit les spécifications relatives aux systéme, il ne faut omettre aucun réglement se rapportant 4 la production, 4 Iutilisation, aux sous-produits de exploitation et 4 tout autre élément qui peut avoir une répercussion sur la conception du systéme. 4.2 Elaboration des diagrammes Les diagrammes mettant en évidence les éléments fonctionnels du systéme sont indispensables aussi bien pour faciliter la compréhension technique des fonctions du systéme que pour Panaly- ser. Toutes les relations séries, les relations paralléles et les imterdépendances fonctionnelles qui existent entre ces composants doivent étre portées sur les diagrammes. Ces diagrammes permettent de déceler les défaillances fonctionnelles dans le systéme. I faut souvent plus d'un diagramme pour représenter tous les modes de fonctionnement. Divers diagrammes logiques peuvent étre requis our chaque mode de défaillance. Le diagramme doit au moins comporter: a) la décomposition du systéme en ses sous-systémes principaux ainsi que les relations fonction- nelles; }) toutes les entrées et sorties, identifiées de maniére appropriée, et tous les numéros d'identifica- tion qui sont ensuite systématiquement employés lorsqu’on se référe & chaque sous-systéme; ©) toutes les redondances, les circuits de remplacement ainsi que les autres caractéristiques struc- ‘urelles destinées A garantir la sécurité intrinséque en cas de panne.X 60-510 -14- 4.3 Elaboration des principes de base 43.1 Les niveaux d'analyse Les régles régissant le choix des niveaux du systéme auxquels sera pratiquée analyse varient selon les résultats recherchés et 'information disponible sur Ia conception. A titre indicatif, citons les principes suivants: 4) Je plus haut niveau d'analyse du systeme est choisi en fonction de la structure du systéme et des impératifs de sortie; +) le niveau te plus bas du systéme auquel analyse pourra etre effectuée avec efficacitéest le niveau our lequel on dispose des informations nécessaires & la définition et & la description des fone- tions du systéme. Le choix de ce niveau se fait en fonction des expériences passées. Ainsi il est Jjustifié de pratiquer une analyse moins détaillée lorsqu’on a affaire & un systéme dont la con- ception est au point et dont la fiabilité, la maintenabilitt et la sécurité sont bonnes. A inverse, il est souhaitable d’envisager plus de détails et de descendre a un niveau plus bas du systéme lorsque le systéme analyst est de conception récente ou lorsque les statistiques de fiabilité sont inexistantes; ©) les niveaux prévus ou imposts de maintenance et de réparation sont des indications utiles pour le choix du niveau le plus bas du systéme & analyser; il faut d’abord définir le niveau le plus bas augue! seront effectuées les opérations d’entretien (définition du «plus petit élément interchan- seable»). On procéde alors 4 Tanalyse du niveau qui suit immédiatement celui-ci. Pour des Aéments critiques du systime, l'analyse est effectuée jusqu’au plus petit élément imerchangea- bie. 4.3.2 Informations contenues dans !' AMDE Il est intéressamt de pouvoir effectuer I'AMDE sur des tableaux concus spécialement pour le systéme étudié et préparés en fonction des objectifs recherchés. Ces tableaux sont habituellement disposés sous forme de colonnes, comme le montre I'annexe A. Ces tableaux contiennent, en général, les informations suivantes: 4) le nom de élément du systéme analysé; 5) Ja fonction remplie par cet élément; ©) son repére; @) Jes modes de défaillance; ) les causes de défaillance; J) les effets des défaillances; £8) les méthodes de détection des défaillances; +) wn jugement qualitatif sur importance de la défaillance et les solutions de emplacement pré- ‘vues; a) des remarques; Dans le cas d'une AMDEC, ces tableaux peuvent en plus contenir des informations sur: i) Wa criticine; ) Ja probabilité de défaillance. 44 Les modes de défaillance, leurs causes et leurs effets La bonne marche d'un systéme dépend du fonctionnement de certains éléments critiques. Pour ‘pouvoir juger de la qualité du fonctionnement d'un systéme, il faut donc rechercher ces éléments critiques. On peut améliorer les procédures de détection des modes de défaillance, de leurs causes et de leurs effets en préparant,une liste des modes de défaillance prévisibles, conmpte tenu: — des utilisations du systéme;-15- X 60-510 — de Pélément particulier considéré; — du mode de fonctionnement; — des spécifications relatives au fonctionnement; — des délais fixés; = de Penvironnement. Les définitions des modes de défaillances pour 'AMDE, les causes de défaillance et les effets des défaillances dépendent du niveau d’analyse. Suivant Pévotution de I'analyse, les effets des défail- lances reconnus au niveau inférieur peuvent devenir des modes de défaillance au niveau supérieur. De la méme maniére, les modes de défaillance au niveau inférieur peuvent devenir les causes de défaillance au niveau supérieur, et ainsi de suite. 44.1 Modes de défaillance Les principaux modes de défaillance sont indiqués dans le tableau I. Normalement, tout mode de défaillance peut étre classé dans au moins une de ces catégories. Toutefois, il est impossible d’effectuer une analyse concluante & partir de ces catégories trop géné- rales des modes de défaillance. Il donc fallu les multiplier comme on peut le voir dans le tableau II. Les modes de défaillance énumérés dans le tableau II décrivent de facon suffisamment précise les défaillances de tout élément, quel qu’il soit. Si on les utilise conjointement avec les impératifS de fonctionnement portés en entrées et sorties sur le diagramme de fiabilité, on peut identifier et décrire tous les modes de défaillance possibles. 44.2 Causes de défaillance (On définit et on décrt les causes de chaque mode de défaillance considéré comme possible pour ‘pouvoir en estimer la probabilité, en déceler les effets secondaires et prévoir des mesures correctives adaptées. Comme un mode de défaillance peut avoir plusieurs causes, il convient d'inventorier et de décrire toutes les différentes causes possibles de chaque mode de défaillance. On tient également compte des causes de défaillance aux niveaux adjacents du systéme. La liste du tableau II sert également a définir avec plus de précision, a la fois les modes et les ‘causes dune défaillance. Ainsi, un systéme d’alimentation peut avoir comme mode de défaillance générale «défaillance en fonctionnement», comme mode de défaillance spécifique «perte de la sortie» (29) et comme cause de défaillance «circuit ouvert (éectrique)» (31). 4.4.3 Efets des défaillances Les conséquences de chaque mode de défaillance sur le fonctionnement, la fonction ou état d'un élément du systéme doivent étre déterminées, évaluées et enregistrées. Il convient aussi, chaque fois que la nécessité s'en fait sentir, de tenir compte de l'entretien, du personnel et des fonctions du systéme. L’analyse des effets des défaillances est axée sur 'élément particulier du systéme, dans le diagramme étudié, qui sera affecté par la défaillance en question. Les conséquences d’une défaillance peuvent également rejaillir sur le niveau suivant du systeme et atteindre, en fin de compte, le niveau le plus haut. I! convient donc d’évaluer, chaque fois, les effets des défaillances sur le niveau supérieur. 4.43.1 Effets locaux Par «effets locaux» on entend les effets du mode de défaillance sur ’élément étudié du systéme. Les conséquences de chaque défaillance possible sur la sortie du composant seront décrites ainsi que les effets secondaires. La définition des effets locaux fournit des éléments permetiant d'apprécier les solutions de rechange ou de concevoir des actions correctives 4 recommander. Dans certains cas, il peut ne pas y avoir d'effet local, en dehors du mode de défaillance lui-méme.X 60-510 -16- 443.2 Effets finals Lorsqu’on recherche les effets finals, on définit et on évalue Pimpact d'une défaillance possible sur le niveau le plus haut du systéme, en analysant tous les niveaux intermédiaires. L’effet final écrit peut étre produit par une défaillance multiple (ainsi, la défaillance d'un dispositif de sireté est 4Yorigine d'un effet final catastrophique seulement lorsque le dispositif de sfireté tombe en panne et que, simultanément, la fonction premiére du systéme, pour laquelle le dispositif de stireté est congu, sort des limites permises). Les effets finals d'une défaillance multiple sont inscrits sur les tableaux. 4.5 Méthodes de détection des défaillances Les méthodes permettant de détecter les modes de défaillance seront décrites. Les autres modes de défaillance qui se traduisent par des indications identiques a celles qui apparaissent lorsque se Produit le mode de défaillance étudié sont analysés et consignés. On évalue le besoin de détection de défaillance séparée des éléments redondants en cours de fonctionnement. 4.6 Appréciation de Vimportance des défaillances et solutions de rechange Liimportance relative de la défaillance doit etre inscrite sur le tableau, comme doivent tre notées toutes les dispositions prises au moment de la conception, a un niveau donné du systéme, pour prévenir ou atténuer I'effet du mode de défaillance. Ce travail indique ainsi clairement le véritable comportement du matériel en présence d'un défaut interne de fonctionnement. Parmi les solutions, on peut citer: — les composants redondants qui permettent de maintenir le systéme en marche si un ou plusieurs composants tombent en panne; — les modes de fonctionnement de remplacement; — les dispositifs tels que des appareils de surveillance ou des alarmes; — tout autre moyen garantissant un fonctionnement efficace ou limitant les dommages. ‘Au cours de la phase de conception, arrangement ou la configuration des éléments fonctionnels (matériels et logiciels) d'un équipement peuvent étre modifiés pour changer les capacités de cet équipement. Aprés des réorganisations de ce type, il est nécessaire d'examiner & nouveau les modes de défaillance concemnés avant de procéder & une autre AMDE. 4.7 La rubrique «Remarques» dans les tableaux Si on n’a pas l'intention d'effectuer une analyse de la criticité, la derniére rubrique du tableau sera consacrée a des remarques explicitant les autres rubriques du tableau. Les améliorations de la conception seront consignées; on insistera sur ces points dans le résumé. Peuvent également étre mentionnés: — les conditions inhabituelles; — les effets des défaillances des composants redondants; — les points critiques de la conception; — toute autre remarque complétant les informations données sur la ligne concernant le composant considéré; — les réfférences d'autres rubriques pour l'analyse des défaillances séquentielles. ‘Analyse de criticité est parfois souhaitable d’évaluer la criticité d'un effet d'une défaillance et d'estimer la proba- bilité du mode de défaillance a prendre en compte. La criticité et la probabilité d'une défaillance sont quantifiées pour aider les spécialistes & choisir les actions correctives résultantes et leurs priorités et établirclairement la frontire entre le risque acceptable et celui qui ne Vest pas. Chaque-- X 60-510 effet de défaillance est classé en fonction de son caractére plus ou moins critique pour le fonction- ‘nement du systéme dans son ensemble, compte tenu des spécifications relatives au systéme, de son Dut et de ses limitations. Une liste des défaillances critiques devra étre dressée pour chaque éq pement. Il existe, toutefois, des catégories et des classes généralement reconnues qui s'appliquent & la plupart des équipements. Ces catégories sont établies en fonction des conséquences énumérées ci-dessous, qui sont classées par niveau de criticité: 4a) conséquences pour le personnel chargé de exploitation ou pour le public (mort ou dommages corporels); b) détérioration de l'équipement extérieur au systéme ou de léquipement Iui-méme; ¢) conséquences économiques dues a la perte des sorties ou des fonctions du systéme; @) défaillance accomplir une tiche due 4 Vincapacité du matériel de remplir correctement sa fonction principale. Lrexemple d'une échelle de criticité, donné dans 'annexe B, est établi en fonction des conséquen- ces suivantes: dommages corporels, détérioration du matériel et dégradation de la fonction. 1 faut étre prudent lorsqu’on choisit ces catégories de criticité et ne le faire qu'a bon escient. IL faut, de toute évidence, tenir compte de tous les facteurs pertinents, en raison de leur retentissement sur le processus d’évaluation du systéme, en ce qui conceme essentiellement le fonctionnement, le oft, les délais, la sécurité et le risque. 5.1 Probabilité d'un mode de défaillance D'aprés des évaluations obtenues par l'analyse, on chiffre la probabilité de chaque mode de défaillance hypothétique. Si Yon veut calculer une probabilité de défaillance, pour un mode donné et des conditions de fonctionnement particulidres, il faut disposer d'un recueil de données de fabilité statistiquement significatives. Des prédictions sont effectuées parallélement 4 TAMDE en utilisant directement les recueils de données cités précédemment. 5.2 Evaluation de la criticité Pour estimer la criticité, on peut se servir d'une grille de criticité qui est un moyen commode de représenter les niveaux de criticité en ordonnées et la probabilité de défaillance ou les fréquences en abscisses. Dans I'exemple représenté sur la figure 1, page 19, on a arbitrairement classé les proba- bilités ou les fréquences en quatre catégories, comme suit: trés faible, faible, moyenne et forte. Dans de nombreux cas, les probabilités ou les fréquences seront classées de fagon non linéaire. Aprés avoir classé les modes de défaillance et leur avoir affecté une probabilité, ou une fréquence, ceux-ci sont reportés dans les cases correspondantes de la grille. Plus une case est éloignée de origine, le long de la diagonale, plus la criticité est grande et plus il est urgent de prendre des ‘mesures correctives. On déterminera l'intervalle spécifique de probabilités ou fréquences corres- pondant a chaque classe lorsqu’on procédera 4 une analyse de criticité. 6. Compte rendu de analyse Le compte rendu de !AMDE (ou de 'AMDEC) pourra étre inclus dans une étude de portée plus générale ou étre fourni séparément. Quoi qu'il en soit, le compte rendu devra toujours comprendre un résumé et le rapport détaillé de I'analyse. Ce résumé comprendra une courte description de la méthode employée, Le niveau du systéme auguel se sera arrétée analyse ainsi que les hypothéses et les principes de base utilisés seront précisés. En outre, ce compte rendu devra comprendre une liste: — des recommandations a I'usage des concepteurs, des responsables de la planification et de entretien, et des utilisateurs; — des défaillances qui, lorsqu'elles se produisent seules au départ, ont des conséquences graves; — des modifications apportées 4 la conception 4 la suite de !AMDE (AMDEC).X 60-510 -18- Tasteau 1 Exemple d'une liste de modes de défaillance généraux 1 | Fonetionnement prémanaré 2. | Ne fonctionne pas au moment préve 3. | Ne varie pas au moment préva Tasteau I Modes de défaillance génériques 1 | Défaitance structurele (rupture) = 2 | Blocage physique ou coincement 19 | Nevarte pas 3 | Vibetions 20 | Newémarre pasNiveau de erteté m X 60-510 ‘Tris faible Fic. 1. — Exemple de grille de criticité.X 60-510 rey | emt ee = aba saomisy | "3p ” = 17 rua | tad | some | seem | aedoy | vonwoa 2, won | mmo | oneina | ona | emmeap sp mu ope bebe ee beet een een eens ee eee GLIOLLID UNST JC Ld SLadaa SUNT 9A “GONVTVAGC IC SAGOW SIC ASATVNV-1 UNOd NVATAVL AG TTAWAXS V aXdNNV-a- X 60-510 ANNEXE B EXEMPLE D'ECHELLE DE LA CRITICITE DES EFFETS DE DEFAILLANCE Niveau de Conditions définissant la criticité criticité Vv Tout événement qui pourrait occasionner la perte d'une (ou des) fonction(s) essen- tielles) du systéme en causant des dommages importants audit systéme ou a son envi- ronnement ou pourrait entrainer pour l'homme la mort ou des dommages corporels. TI —_Toutévénement qui pourrait occasionner la perte d'une (ou des) fonction(s)essentielle(s) ‘du systéme et causer des dommages importants audit systéme ou d son environnement en ne présentant toutefois qu'un risque négligeable de mort ou de blessure. 0 Tout évenement qui nuit au bon fonctionnement d'un systéme sans toutefois causer de dommage notable ni présenter de risque important pour homme. 1 Tout évenement susceptible de nuire au bon fonctionnement du systéme en causant un dommage négligeable audit systéme ou a son environnement sans toutefois présenter de risque pour l'homme.X 60-510 ae ANNEXE C CORRESPONDANCE ENTRE LES PUBLICATIONS DE LA CEI CITEES EN REFERENCE ET LES NORMES FRANCAISES A APPLIQUER PUBLICATIONS CEI CITES CEL 271 (1974) Liste des termes de base, définitions et mathé- matiques applicables a la fiabilité. CEI 271A (1978) Premier complément a la Publication 271. NORMES FRANGAISES A APPLIQUER UTE C 20-310 (1981) Liste des termes de base, définitions et mathé- matiques applicables a la fiabilité. CEI 271B (1983) Deuxiéme complément a la Publication 271. ‘Note. ~ Les publications CEI et les normes francais de la clase C sont en vente & "Union technique de I'Elect 12, Place des Etats-Unis - 75783 PARIS CEDEX 16 - Tél. Paris (1) 4723 7257. UTE C 20-310 (1985) Adgitif 1 au document UTE C 20-310.CGERFAU IMPRESSION (1964/6 = 10059) 19201 = X60S10 - LOtDex 121986