Dans les industries où la sécurité et la fiabilité sont des enjeux critiques, attendre qu’une panne survienne pour réagir n’est plus une option acceptable. Il faut anticiper, modéliser, raisonner sur les causes avant que les conséquences ne se manifestent. C’est précisément ce que propose la Fault Tree Analysis, une méthode d’analyse de risque qui, depuis plus de soixante ans, reste l’un des outils les plus puissants de l’ingénierie de la sûreté.

Qu’est-ce que la Fault Tree Analysis ?

La Fault Tree Analysis, souvent abrégée FTA, est une méthode d’analyse déductive des défaillances. En partant d’un événement indésirable bien défini, appelé l’événement sommet ou “top event”, elle remonte logiquement vers toutes les causes possibles qui pourraient conduire à cet événement. Le résultat de cette analyse est représenté sous la forme d’un arbre de défaillances, une structure graphique qui enchaîne des événements et des portes logiques pour illustrer les relations de causalité.

La FTA ne cherche pas à répondre à la question “que peut-il arriver ?”. Elle cherche plutôt à répondre à “pourquoi cet événement précis pourrait-il se produire, et de quelles manières ?”. Cette posture déductive la distingue d’autres méthodes comme l’AMDEC (Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité), qui adopte une approche inductive en partant des composants pour aller vers les conséquences.

Une brève histoire de la méthode

La FTA a été développée en 1961 chez Bell Telephone Laboratories par H.A. Watson, dans le cadre d’une étude de sûreté commandée par l’armée de l’air américaine pour le missile balistique intercontinental Minuteman. L’objectif était d’évaluer la probabilité qu’un lancement accidentel puisse se produire.

La méthode a ensuite été adoptée et popularisée par Boeing, qui a contribué à l’enrichir et à la formaliser. Dans les décennies suivantes, elle s’est diffusée dans l’industrie nucléaire, l’aérospatiale, l’industrie chimique, et aujourd’hui dans pratiquement tous les secteurs où la gestion des risques est une préoccupation centrale.

Les éléments de base d’un arbre de défaillances

Un arbre de défaillances est construit à partir de deux types d’éléments fondamentaux : les événements et les portes logiques.

Les événements représentent les états ou les occurrences du système. L’événement sommet est la défaillance redoutée que l’on cherche à analyser. En dessous de lui, on trouve des événements intermédiaires, qui sont eux-mêmes des défaillances de niveau inférieur contribuant à l’événement sommet. Enfin, tout en bas de l’arbre, se trouvent les événements de base, c’est-à-dire les défaillances élémentaires qui ne nécessitent pas d’analyse plus profonde, généralement parce qu’elles correspondent à des composants individuels ou à des erreurs humaines bien identifiées.

Les portes logiques, quant à elles, définissent la relation entre un événement et ses causes. La porte ET signifie que toutes les causes doivent se produire simultanément pour que l’événement parent soit déclenché. La porte OU signifie qu’il suffit qu’une seule des causes se produise. Il existe d’autres portes plus avancées, comme la porte k parmi n, qui indique qu’au moins k événements sur n doivent survenir, mais les portes ET et OU suffisent à couvrir la grande majorité des situations rencontrées en pratique.

Comment construire un arbre de défaillances ?

La construction d’un arbre de défaillances suit une démarche structurée en plusieurs étapes.

La première étape consiste à définir précisément l’événement sommet. Cette définition doit être claire, non ambiguë et bornée dans le temps et dans le contexte du système. Une définition floue conduira inévitablement à une analyse incomplète ou incohérente.

La deuxième étape est la délimitation du système à analyser. Il s’agit de préciser les frontières du système, les conditions de fonctionnement nominal retenues, les défaillances déjà prises en compte en amont, et celles qui seront volontairement exclues de l’analyse.

La troisième étape est le développement de l’arbre lui-même. On part de l’événement sommet et on se pose systématiquement la question : quelles sont les causes immédiates et nécessaires de cet événement ? On relie ces causes à l’événement sommet par une porte logique appropriée, puis on recommence le processus pour chaque nouvel événement intermédiaire, jusqu’à atteindre des événements de base.

La quatrième étape est l’analyse qualitative de l’arbre. Elle consiste à identifier les “coupes minimales”, appelées minimal cut sets en anglais. Une coupe minimale est un ensemble minimal d’événements de base dont la survenance simultanée suffit à provoquer l’événement sommet. Plus une coupe minimale contient peu d’événements, plus elle est dangereuse, car elle représente un chemin court vers la défaillance. Une coupe minimale contenant un seul événement de base est appelée un point de défaillance unique, ou “single point of failure”, et doit être traitée en priorité.

La cinquième étape, lorsque les données sont disponibles, est l’analyse quantitative. En associant à chaque événement de base une probabilité d’occurrence ou un taux de défaillance, il devient possible de calculer la probabilité d’occurrence de l’événement sommet. Cette quantification permet de hiérarchiser les risques et d’orienter les efforts de maîtrise là où ils sont les plus utiles.

Les apports de la FTA dans une démarche de sûreté

La Fault Tree Analysis apporte plusieurs bénéfices concrets à une organisation qui l’intègre dans sa démarche de gestion des risques.

Elle favorise d’abord une compréhension partagée du système. Le processus de construction de l’arbre, souvent réalisé en groupe avec des experts de différentes disciplines, force les équipes à expliciter leur compréhension du fonctionnement et des interactions du système. Des hypothèses implicites émergent, des désaccords sont mis à jour, et une vision commune se construit.

Elle permet ensuite d’identifier les vulnérabilités cachées. Les coupes minimales, et en particulier les points de défaillance unique, révèlent des faiblesses structurelles que l’intuition seule n’aurait peut-être pas détectées. Un composant anodin, situé à un point stratégique de l’arbre, peut se révéler être un maillon critique de la chaîne de sécurité.

Elle oriente efficacement les décisions de conception et de maintenance. Plutôt que d’investir uniformément dans la fiabilité de tous les composants, la FTA permet de concentrer les ressources sur les éléments qui contribuent le plus à la probabilité de l’événement sommet. Cela conduit à des choix de conception plus robustes et à des plans de maintenance mieux ciblés.

Enfin, elle constitue un support documentaire précieux. L’arbre de défaillances est un document d’analyse qui peut être conservé, mis à jour lors de modifications du système, et présenté aux autorités de régulation comme preuve de la rigueur de la démarche de sûreté.

Les limites de la méthode

Comme tout outil, la FTA a ses limites, qu’il est important de connaître pour l’utiliser de manière éclairée.

La première limite est la dépendance à l’expertise humaine. La qualité d’un arbre de défaillances dépend directement de la connaissance qu’ont les analystes du système étudié. Une défaillance non imaginée lors de la construction de l’arbre sera tout simplement absente de l’analyse. La FTA ne dit pas “voici tous les chemins vers la défaillance” mais “voici les chemins vers la défaillance que nous avons identifiés”.

La deuxième limite concerne les défaillances de cause commune. La FTA classique suppose que les événements de base sont indépendants les uns des autres. Or, dans la réalité, une même cause, comme une coupure de courant, une inondation, ou une erreur de maintenance, peut déclencher simultanément plusieurs défaillances. Ces phénomènes, appelés Common Cause Failures, nécessitent des méthodes complémentaires pour être traités correctement.

La troisième limite tient à la complexité des systèmes dynamiques. La FTA est une méthode essentiellement statique. Elle capture un instantané du comportement du système, mais ne rend pas facilement compte des séquences d’événements, des phénomènes temporels, ou des états dégradés intermédiaires. Pour ces situations, d’autres techniques comme les arbres d’événements ou les réseaux de Petri sont plus adaptées.

La FTA en pratique : quelques domaines d’application

L’industrie nucléaire est probablement le domaine où la FTA est la plus profondément ancrée. Les analyses probabilistes de sûreté des centrales nucléaires reposent massivement sur des arbres de défaillances pour quantifier la probabilité d’accidents graves et démontrer le respect des critères réglementaires.

Dans l’aéronautique, la certification des aéronefs exige des analyses de sécurité rigoureuses. Les autorités comme l’EASA en Europe ou la FAA aux États-Unis demandent que les fonctions critiques fassent l’objet d’analyses de défaillances, dont la FTA est un composant central.

L’industrie automobile intègre de plus en plus la FTA, notamment avec le développement des systèmes avancés d’assistance à la conduite et des véhicules autonomes. La norme ISO 26262, qui encadre la sécurité fonctionnelle des systèmes électroniques embarqués, recommande explicitement son utilisation.

On la retrouve également dans la pétrochimie, le génie civil, la médecine, et de manière croissante dans le domaine des systèmes d’information et de la cybersécurité, où elle est adaptée pour analyser les scénarios d’attaque et de compromission.

Conclusion

La Fault Tree Analysis est bien plus qu’un simple outil graphique. C’est une discipline de pensée qui impose de la rigueur, de la méthode, et une compréhension profonde des systèmes analysés. Elle transforme la question anxiogène “et si quelque chose se passe mal ?” en une démarche structurée, documentée et communicable.

Dans un monde où les systèmes deviennent toujours plus complexes et interconnectés, la capacité à raisonner sur les défaillances avant qu’elles ne surviennent est une compétence précieuse. La FTA, utilisée seule ou en combinaison avec d’autres méthodes comme l’AMDEC, les arbres d’événements ou les analyses de barrières, reste l’un des piliers de l’ingénierie de la sûreté moderne.

Si vous travaillez sur des systèmes critiques et que vous n’avez pas encore intégré la FTA dans votre boîte à outils, il est peut-être temps de commencer.