45 0 5MB
ENVIRONNEMENT - SÉCURITÉ
Ti112 - Sécurité et gestion des risques
Sécurité des systèmes industriels
Réf. Internet : 42830 | 2nde édition
Actualisation permanente sur www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur La plus impor tante ressource documentaire scientifique et technique en français
Une information fiable, claire et actualisée Validés par un comité scientifique et mis à jour en permanence sur Internet, les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et scientifiques, en poste ou en formation. Outil d’accompagnement de la formation et de la carrière des ingénieurs, les ressources documentaires Techniques de l’Ingénieur constituent le socle commun de connaissances des acteurs de la recherche et de l’industrie.
Les meilleurs experts techniques et scientifiques Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs, professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur scientifique et technique de référence. Les meilleurs spécialistes sont réunis pour constituer une base de connaissances inégalée, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne • Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et actualisations de votre ressource documentaire • Les articles téléchargeables en version PDF
Des services associés Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste des services associés à vos droits d’accès et les utiliser.
Des services associés Pour toute information, le service clientèle reste à votre disposition : Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : [email protected]
III
Cet ouvrage fait par tie de
Sécurité et gestion des risques (Réf. Internet ti112) composé de : Management de la sécurité
Réf. Internet : 42154
Méthodes d'analyse des risques
Réf. Internet : 42155
Risques chimiques - Toxicologie et écotoxicologie
Réf. Internet : 42156
Risques chimiques - Pesticides et produits phytosanitaires
Réf. Internet : 42568
Encadrer le risque chimique et connaître ses obligations
Réf. Internet : 22742
Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743 dans l’entreprise Risques d'explosion
Réf. Internet : 42157
Risques d'incendie
Réf. Internet : 42583
Risques électriques
Réf. Internet : 42496
Sécurité par secteur d'activité et par technologie
Réf. Internet : 42159
Sécurité des systèmes industriels
Réf. Internet : 42830
Santé et sécurité au travail
Réf. Internet : 42158
Menaces et vulnérabilités : protection des sites industriels
Réf. Internet : 42648
Risques naturels et impacts industriels
Réf. Internet : 42828
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Sécurité et gestion des risques (Réf. Internet ti112) dont les exper ts scientifiques sont : William DAB Titulaire de la chaire d'Hygiène et Sécurité, CNAM
Jean-Pierre DAL PONT Président de la SFGP (Société française de génie des procédés), Secrétaire général de l'EFCE (Fédération européenne du génie chimique), Président de la SECF (Société des experts chimistes de France)
François FONTAINE Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS
Didier GASTON Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN Expert en sécurité des procédés Rhodia Recherches et Technologies
Olivier IDDIR Ingénieur quantification des risques, TechnipFMC, membre du réseau des experts, Département Expertise et Modélisation
André LAURENT Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX Expert en maîtrise des risques à la Direction de la sécurité de la SNCF
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires
V
Les auteurs ayant contribué à cet ouvrage sont :
Philippe CHARPENTIER
Laurent MIQUET
Pour l’article : S8270
Pour l’article : BE9814
Joseph CICCOTELLI
Yves MORTUREUX
Pour l’article : S8270
Pour l’article : AG4670
Éric ERCOLANI
Jean-Marc PONCET
Pour l’article : BE9814
Pour l’article : BE9814
Philippe GULLY
Jean-Pierre SIGNORET
Pour l’article : BE9814
Pour l’article : SE4074
Philippe LUBINEAU
Gilles ZWINGELSTEIN
Pour l’article : SE2075
Pour les articles : S8250 – S8251 – S8252 – S8253 – SE1649 – SE1650 – SE1655 – SE1660 – SE1665 – SE1667 – SE1669 – SE1671 – SE1675 – SE1677 – SE1679 – SE1681 – SE1673
Chantal MEURIS Pour l’article : BE9814
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires
VI
Sécurité des systèmes industriels (Réf. Internet 42830)
SOMMAIRE 1– Sureté de fonctionnement des systèmes industriels
Réf. Internet
Sûreté de fonctionnement. Principaux concepts
S8250
11
La sûreté de fonctionnement : méthodes pour maîtriser les risques
AG4670
19
Sûreté de fonctionnement. Analyse et bases de données de iabilité
S8251
23
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle
S8252
29
Sûreté de fonctionnement des systèmes industriels complexes. Exemples d'applications
S8253
31
Blocs-diagrammes de iabilité
SE4074
37
Sécurité en cryogénie
BE9814
43
2– Sécurité des machines
Réf. Internet
Intégration de la sécurité à la conception des machines
SE2075
49
Équipements de travail : sécurité des systèmes programmés
S8270
53
3– Méthodes de maintenance
Réf. Internet
Introduction aux méthodes de maintenance basées sur la iabilité
SE1649
59
Méthodes de maintenance basées sur la iabilité et sur les risques
SE1650
61
Méthode de maintenance basée sur la iabilité de Nowlan et Heap
SE1655
67
Méthode de maintenance basée sur la iabilité RCM2™ de John Moubray
SE1660
71
Méthode de maintenance basée sur la iabilité de la SAE
SE1665
75
Méthode de maintenance basée sur la iabilité de la CEI
SE1667
79
Méthode de maintenance basée sur la iabilité de la MSG 3
SE1669
83
Méthode AP913 de maintenance basée sur la iabilité des centrales nucléaires américaines
SE1671
89
Méthode de maintenance basée sur la iabilité inversée PMO2000®
SE1675
95
page
page
page
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires
VII
Méthode de maintenance basée sur les risques et la iabilité CWA-RBIM
SE1677
99
Méthodes d'analyse des causes racines des défaillances
SE1679
103
Signalement, analyse et correction de défaillances
SE1681
109
Méthode de maintenance basée sur la iabilité « Streamlined » de l'EPRI
SE1673
115
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires
Sécurité des systèmes industriels (Réf. Internet 42830)
Q 1– Sureté de fonctionnement des systèmes industriels
Réf. Internet
Sûreté de fonctionnement. Principaux concepts
S8250
11
La sûreté de fonctionnement : méthodes pour maîtriser les risques
AG4670
19
Sûreté de fonctionnement. Analyse et bases de données de iabilité
S8251
23
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle
S8252
29
Sûreté de fonctionnement des systèmes industriels complexes. Exemples d'applications
S8253
31
Blocs-diagrammes de iabilité
SE4074
37
Sécurité en cryogénie
BE9814
43
page
2– Sécurité des machines 3– Méthodes de maintenance
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires Y
Q
QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP
Sûreté de fonctionnement Principaux concepts par
Q
Gilles ZWINGELSTEIN Ingénieur de l’école nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite, Université Paris Est Créteil, France Note de l’éditeur Cet article est la version actualisée de l’article [S8250v2] intitulé Sûreté de fonctionnement des systèmes industriels complexes. Principaux concepts rédigé par Gilles ZWINGELSTEIN et paru en 2009
1. 1.1 1.2 1.3
Préambule ..................................................................................................... S 8 250v3 - 3 Sûreté............................................................................................................... — 3 Sécurité ............................................................................................................ — 3 Relations entre sûreté et sécurité .................................................................. — 3
2. 2.1 2.2
Enjeux et évolution de la sûreté de fonctionnement........................ Enjeux de la sûreté de fonctionnement ........................................................ Évolutions de la discipline sûreté de fonctionnement.................................
3.
Missions, fonctions et défaillances d’un système et de ses composants ...................................................................................... Missions et fonctions...................................................................................... Défaillances ..................................................................................................... Procédés industriels ................................................................................... Description générale....................................................................................... Terminologie générale ................................................................................... Description fonctionnelle ............................................................................... Description matérielle .................................................................................... Rappels sur les probabilités ..................................................................... Notion de variable aléatoire........................................................................... Notion de probabilité d’un événement ......................................................... Fonction de répartition d’une variable aléatoire .......................................... Valeur moyenne, variance et écart-type d’une variable aléatoire continue ... Adaptation des définitions pour la description du comportement de systèmes physiques .................................................................................. Lois de probabilité rencontrées dans les études de fiabilité ....................... Concepts de base et sûreté de fonctionnement ................................ Concepts de maintenance .............................................................................. Fiabilité (reliability) ......................................................................................... Méthodes d’estimation des lois de fiabilité et données du retour d’expérience .................................................................................................... Disponibilité (availability)............................................................................... Maintenabilité (maintainability)..................................................................... Caractéristiques de la maintenance .............................................................. Fiabilité humaine ......................................................................................... Coût global de possession........................................................................ Maintenabilité intégrée à la conception et soutien logistique intégré (SLI)...................................................................................................
3.1 3.2 4. 4.1 4.2 4.3 4.4 5. 5.1 5.2 5.3 5.4 5.5 5.6 6. 6.1 6.2 6.3 6.4 6.5 6.6 7. 8. 9.
p。イオエゥッョ@Z@ュ。イウ@RPQY
10. 10.1 10.2 11. 12. 13.
Sécurité .......................................................................................................... Enjeux et démarches ...................................................................................... Niveau d’intégrité suivant la norme IEC 61508 : SIL (safety integrity level).. Conclusion .................................................................................................... Glossaire ........................................................................................................ Sigles, notations et symboles..................................................................
— — —
4 4 4
— — — — — — — — — — — — —
5 5 6 9 9 9 10 11 11 11 12 12 13
— — — — —
13 13 14 14 15
— — — — — —
18 18 19 21 22 22
—
24
— — — — — —
25 25 28 28 29 30
Pour en savoir plus ...............................................................................................Doc. S 8 250v3
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QQ
S 8 250v3 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP SÛRETÉ DE FONCTIONNEMENT
_______________________________________________________________________________________________________
a sûreté de fonctionnement est une des préoccupations majeures des responsables de l’exploitation de systèmes industriels complexes pour répondre aux exigences opérationnelles et réglementaires. Cet article décrit la terminologie et les principaux concepts pour optimiser la fiabilité, la maintenabilité et la sécurité des installations industrielles complexes. Compte tenu des diverses interprétations et définitions des termes « sûreté » et « sécurité », la première section précise ces notions suivant les secteurs d’activités et les différentes normes pour éviter toute ambiguïté dans le contenu de cet article. La sûreté de fonctionnement est une discipline scientifique multidisciplinaire à part entière et évolue en permanence pour intégrer les nouveaux outils et exigences en matière notamment de maintenance et de maîtrise des risques technologiques. Ces enjeux font l’objet de la deuxième section. Qualifiées souvent de science des défaillances, les études de sûreté de fonctionnement reposent sur des définitions précises des fonctions, missions et défaillances et sont développées dans de la troisième section. En parallèle, les décompositions hiérarchiques fonctionnelles et matérielles des processus industriels qui permettent de préciser les niveaux d’analyse sont précisées dans la quatrième section. L’instant d’occurrence d’une défaillance se produisant de façon aléatoire, des rappels sur les probabilités et les principales lois de défaillance sont détaillées dans la cinquième section. La sixième section est principalement dédiée aux définitions qui constituent les bases de la sûreté de fonctionnement : fiabilité, maintenabilité, disponibilité et sécurité. Le retour d’expérience sur les causes racines des incidents et accidents faisant ressortir que plus de 60 % d’entre elles sont imputables aux erreurs humaines ; la septième section fournit une description des méthodes d’évaluation de la fiabilité humaine. La rentabilité économique d’une installation industrielle pendant la durée de son cycle de vie, de la conception à son démantèlement dépend en partie de la sûreté de fonctionnement. La huitième section précise son rôle dans les évaluations des coûts globaux de possession et de cycle de vie ; ces coûts dépendent très fortement des choix retenus lors de la phase de conception de l’installation industrielle. La neuvième section fournit les bases des méthodes de maintenance intégrée à la conception et du soutien logistique intégré. Actuellement, les conséquences des défaillances sur la santé des personnes, les biens et l’environnement sont les préoccupations majeures des responsables d’exploitation qui sont soumis à des réglementations de plus en plus contraignantes. La dixième section présente les enjeux et les méthodologies pour la maîtrise des risques technologiques en y précisant également la terminologie. Elle précise le rôle des moyens de prévention à mettre en place pour obtenir un niveau de risque acceptable en se basant sur le modèle « swiss cheese » de Reason. Une attention particulière est portée au cas particulier des systèmes instrumentés de sécurité. La conclusion insiste sur la nécessité d’une assimilation parfaite des concepts liés à la fiabilité, la maintenabilité, la disponibilité et la sécurité pour entreprendre avec succès une étude en sûreté de fonctionnement. Les progrès réalisés depuis le début des années 2000 en intelligence artificielle ouvrent de nouvelles perspectives en sûreté de fonctionnement, notamment pour la prédiction des défaillances avec les nouveaux outils développés CBM (condition based monitoring, PHM (prognostics and health management) et RUL (remaining useful life).
L
Q
S 8 250v3 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP ________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
1. Préambule
de logistique de maintenance, les conditions d’utilisation et l’influence du personnel d’exploitation). • Norme CEI 60050 – Sûreté de fonctionnement : aptitude à fonctionner quand et tel que requis ; la sûreté de fonctionnement comprend la disponibilité, la fiabilité, la récupérabilité, la maintenabilité, l’efficacité de la logistique de maintenance et, dans certains cas, d’autres caractéristiques telles que la durabilité, la sûreté et la sécurité.
Tchernobyl, Bhopal, AZF, Concorde, Columbia, Fukushima, Brétigny, Pont de Gènes sont des exemples des activités industrielles et humaines qui malheureusement font presque quotidiennement les grands titres des actualités avec leurs cortèges d’incidents, d’accidents ou d’événements catastrophiques. En effet, le zéro défaut, ou le risque zéro, n’existe malheureusement pas pour les activités industrielles à cause de l’occurrence de défaillances humaines ou matérielles. Pour minimiser les conséquences de ces défaillances sur la santé des personnes, les biens et l’environnement, des normes internationales et des réglementations spécifiques ont été élaborées pour définir des méthodes. C’est ainsi que les notions de sûreté et de sécurité ont été définies. Bien que les termes « sûreté » et « sécurité » ont en fait la même racine étymologique (latin securus : sûr) leurs définitions portent à confusion car, suivant les secteurs, leurs contenus diffèrent totalement. Cela vient de l’héritage des mots « safety » et « security » utilisés dans le monde anglo-saxon où ces termes ont vu le jour pour la première fois au milieu du XXe siècle. Pour la bonne compréhension de cet article et éviter toute confusion, les termes sûreté et sécurité vont être explicités suivant leurs secteurs d’application.
1.2 Sécurité Cette notion possède des interprétations multiformes dans les domaines techniques, la santé des personnes et la prévention des actes de malveillance.
■ Sécurité suivant la norme ISO/IEC GUIDE 51:2014 La sécurité est l’absence de risque intolérable, le risque étant défini comme la combinaison de la probabilité de la survenue d’un dommage et de sa gravité. Le dommage représente une blessure physique, une atteinte à la santé des personnes, une atteinte aux biens ou à l’environnement, sachant que le risque tolérable correspond à un niveau de risque accepté dans un contexte donné et fondé sur les valeurs admises par la société.
■ Sécurité aérienne
1.1 Sûreté
La sécurité vise à réduire et maîtriser à un niveau acceptable les risques liés à l’exploitation des aéronefs. Il s’agit de prévention et de protection contre des événements d’origine accidentelle, quelle qu’en soit la nature : technique, structurelle, météorologique, humaine non intentionnelle. Si la finalité est la même, à savoir la préservation des personnes et des biens, les notions de sûreté et de sécurité ont leur logique propre et diffèrent tant sur les causes que sur les remèdes. Elles doivent être pensées de manière conjointe et coordonnée dans un objectif d’efficience.
L’acceptation au sens général du terme « sûreté » dépend des secteurs industriels. Cette section fournit à titre d’exemple les définitions utilisées dans les secteurs aéronautiques et nucléaires et dans les normes internationales. La définition de la sûreté de fonctionnement, objet de cet article, y est précisée.
■ Sûreté aérienne Ce terme est défini par la DGAC (Direction générale de l’aviation civile) : « La sûreté vise à protéger l’aviation civile contre les actes volontaires malveillants dont les motivations peuvent être très diverses (terrorisme, criminalité, activisme politique, folie individuelle d’un passager… ».
■ Sécurité nucléaire L’article L. 591-1 du Code de l’environnement précise que la sécurité nucléaire comprend la sûreté nucléaire, la radioprotection, la prévention et la lutte contre les actes de malveillance, ainsi que les actions de sécurité civile en cas d’accident.
■ Sûreté nucléaire
■ Sécurité industrielle
Le droit français (article L. 591-1 du Code de l’environnement) précise que la sûreté nucléaire est « l’ensemble des dispositions techniques et des mesures d’organisation relatives à la conception, à la construction, au fonctionnement, à l’arrêt et au démantèlement des installations nucléaires de base ainsi qu’au transport des substances radioactives, prises en vue de prévenir les accidents ou d’en limiter les effets ».
La sécurité industrielle désigne les moyens – humains, techniques et organisationnels – de prévention et d’intervention contre les risques à caractère accidentel. Il peut être question de risques techniques, physiques, chimiques ou environnementaux, mais dont l’origine est toujours involontaire.
■ Sécurité au travail Fortement liée à la santé au travail, la sécurité au travail est une démarche pluridisciplinaire qui vise à supprimer ou à réduire les risques d’accidents susceptibles de se produire lors de l’exercice d’une activité professionnelle.
■ Sûreté dans le secteur des PME et PMI Suivant Veritas, la sûreté désigne « l’ensemble des moyens dédiés à la prévention des actes de malveillance. Ces actes, par définition volontaires, ont pour finalité le profit et/ou l’intention de nuire ». Cette définition est reprise par la majorité du tissu français des PMI et PME.
■ Sécurité fonctionnelle Elle représente un aspect de la sécurité au sens général. C’est une méthodologie qui permet d’analyser et d’éliminer des risques à caractère inacceptable qui pourraient engendrer des blessures, porter atteinte, directement ou indirectement à la santé des personnes, dégrader l’environnement et altérer la propriété.
■ Sûreté de fonctionnement suivant les normes EN et CEI Les normes NF EN 13306 et CEI 60050 sont principalement dédiées à la sûreté de fonctionnement. La norme NF EN 13306 est dédiée à la maintenance tandis que la norme CEI 60050 propose des termes génériques applicables à tous les domaines de la sûreté de fonctionnement, y compris les applications électrotechniques.
1.3 Relations entre sûreté et sécurité
• Norme NF EN 13306 – Sûreté de fonctionnement : aptitude à fonctionner comme cela est requis et lorsque cela est requis ; elle précise que la sûreté de fonctionnement comprend la disponibilité, la sûreté, la sécurité, la durabilité et les facteurs qui les influencent (la fiabilité, la maintenabilité, les performances
Si la finalité est la même, à savoir la préservation des personnes et des biens contre des actions involontaires ou intentionnelles de malveillance, les notions de sûreté et de sécurité ont leur logique propre et diffèrent tant sur les causes que sur les
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QS
S 8 250v3 – 3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP SÛRETÉ DE FONCTIONNEMENT
Q
_______________________________________________________________________________________________________
2.2 Évolutions de la discipline sûreté de fonctionnement
remèdes. Elles doivent être pensées de manière conjointe et coordonnée dans un objectif d’efficience. Ceci d’autant plus qu’avec les nouveaux outils de la maîtrise des risques, les frontières s’interpénètrent, notamment avec les notions de barrières physiques et organisationnelles et les concepts de défense en profondeur comme c’est le cas dans le domaine de l’industrie nucléaire. Dans cet article, les concepts de sûreté de fonctionnement correspondront strictement aux normes CEI 60050 et ISO/ IEC GUIDE 51.
Historiquement, les premières études firent leur apparition essentiellement dans les transports ferroviaires pour le développement des recueils statistiques des pièces mécaniques. Les études quantitatives de l’époque reposaient sur l’identification d’éléments supposés critiques pour lesquels des améliorations de la conception technique s’imposaient. Le développement des transports aériens conduisit ensuite à évaluer la sécurité opérationnelle des vols d’aéronefs propulsés par un, deux, trois et quatre moteurs. À cette occasion et pour la première fois, on a introduit des objectifs chiffrés en termes de probabilité d’occurrence d’accident par heure de fonctionnement. La Seconde Guerre mondiale sonna le glas du concept du maillon le plus faible. Quelques années après, en 1949, le capitaine Murphy énonça sa fameuse loi « If anything can go wrong, it will » (si un problème risque de se produire, cela arrivera).
2. Enjeux et évolution de la sûreté de fonctionnement
Dans les années 1950, l’avènement de l’électronique dans des équipements techniques complexes fit prendre conscience de l’importance de leur fiabilité. En vue de quantifier la fiabilité des composants, les premiers indicateurs chiffrés firent leur apparition comme le MTBF (mean time between failure) pour servir de base aux premières clauses contractuelles de fiabilité. Introduite pour traduire le terme anglais « reliability », la fiabilité est la probabilité de non-défaillance d’un équipement sur un intervalle de temps donné (du latin fidare : faire confiance, fidus : fidèle et du latin médiéval « fiablete » : ce qui est digne de confiance).
2.1 Enjeux de la sûreté de fonctionnement La sûreté de fonctionnement a été définie pendant plusieurs décennies comme la science des défaillances. Cependant, pour réduire les risques à un niveau le plus faible possible et acceptable par l’opinion publique, des méthodes, des techniques et des outils scientifiques nouveaux ont été développés pour évaluer les risques potentiels, prévoir l’occurrence des défaillances et tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent. La sûreté de fonctionnement est connue sous le sigle FMDS (fiabilité, maintenabilité, disponibilité, sécurité), en anglais RAMS (reliability, availability, maintainability and safety). D’autres dénominations sectorielles utilisent le terme « analyse de risque » (dans le milieu pétrolier) et cyndinique pour la science du danger. L’ensemble de ces développements méthodologiques à caractère scientifique représente la discipline de la sûreté de fonctionnement. Au sens large, la sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les défaillances des systèmes technologiques et les défaillances humaines pour éviter des conséquences sur la santé et la sécurité des personnes, les pertes de productivité, les atteintes à l’environnement et pour les générations futures, la préservation des ressources de la planète. Elle se caractérise à la fois par les études structurelles statiques et dynamiques des systèmes, du point de vue prévisionnel mais aussi opérationnel et expérimental (essais, accidents), en tenant compte des aspects de probabilités et des conséquences induites par les défaillances techniques et humaines. Cette discipline intervient non seulement au niveau de systèmes déjà construits, mais aussi au niveau conceptuel pour la réalisation de systèmes. Comme indiqué dans le préambule, de nombreuses normes ont vu le jour dans les différents secteurs pour en donner des définitions plus précises. En plus de son sens général défini par l’aptitude d’un système à fonctionner comme cela est requis et lorsque cela est requis, cet article sera consacré à la description des principaux concepts de la sûreté de fonctionnement : disponibilité, sûreté, sécurité, durabilité, récupérabilité, et les facteurs qui les influencent (la fiabilité, la maintenabilité, les performances de logistique de maintenance, les conditions d’utilisation et l’influence du personnel d’exploitation). Actuellement, les préoccupations en matière de prévention et de réduction des risques sont de plus en plus contraignantes pour les industriels en matière de prévention et de réduction des risques. Suivant la norme ISO/IEC GUIDE 51, le risque est défini par la combinaison de la probabilité de la survenue d’un dommage et de sa gravité, le dommage étant une blessure physique ou une atteinte à la santé des personnes, ou une atteinte aux biens ou à l’environnement. Ces nouveaux enjeux de plus en plus d’actualité feront l’objet de développements dans cet article.
S 8 250v3 – 4
La disponibilité instantanée se définit par la probabilité d’être en état d’accomplir sa fonction à un instant donné. Anglicisme introduit vers 1965, la maintenabilité est l’aptitude d’un système à être maintenu en état. Elle correspond à la probabilité que la remise en état d’une entité en panne soit effectuée dans un intervalle de temps. Dans les années 1960 et dans le cadre de leurs programmes de missiles et de la conquête spatiale, les États-Unis ont formalisé l’essentiel des méthodes d’analyse de la sûreté de fonctionnement utilisées aujourd’hui : • analyse des modes de défaillance, de leurs effets et de leur criticité ; • arbre des causes et des défaillances ; • méthode du diagramme du succès ; • méthode d’évaluation de la fiabilité humaine. La décennie 1970 vit la diffusion des techniques d’évaluation opérationnelles et prévisionnelles de la fiabilité et l’acceptation de la notion probabiliste de la sécurité dans les secteurs industriels présentant des risques pour les biens, les personnes et l’environnement. Dans le nucléaire en particulier, l’accident de Three Mile Island le 28 mars 1979, qui ne fît aucune victime mais qui eut un impact considérable sur l’opinion publique, conduisit à des développements comme ceux entrepris par Norman Rasmussen dans le cadre du rapport WASH-1400. Ensuite, la normalisation des termes relatifs à la sûreté de fonctionnement commença à s’établir sous l’égide notamment de la CEI. Cela a conduit à formaliser les notions de maintenance, de disponibilité, de maintenabilité et les concepts associés : testabilité, durabilité, survivabilité, diagnostic, soutien logistique intégré, soutenabilité, sûreté et sécurité. Les deux dernières décennies avant l’avènement du troisième millénaire ont été marquées par la mise en œuvre dans les études de sûreté de fonctionnement de nouveaux outils : • pour les problèmes relatifs aux défaillances techniques : chaînes de Markov, réseaux de Pétri, logiciels industriels de sûreté de fonctionnement ; • de nouvelles générations d’outils d’évaluation pour les facteurs humains ;
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP ________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
3. Missions, fonctions et défaillances d’un système et de ses composants
• la création de bases de données du retour d’expérience pour permettre des évaluations quantitatives des métriques de la sûreté de fonctionnement. Depuis le début du troisième millénaire, les exigences réglementaires et/ou les certifications relatives à la sécurité des biens et des personnes et la préservation de l’environnement ont conduit au développement de méthodes pour évaluer les dangers et les risques, pour leur prévention et pour leur maîtrise. La mise en œuvre dans les systèmes industriels de systèmes informatiques embarqués ont imposé des contraintes sécuritaires très importantes (automobile, aéronautique, transports) tels que les niveaux de sécurité SIL (safety integrity level). Actuellement, il n’existe désormais pratiquement plus d’activités industrielles où la sûreté de fonctionnement n’est pas prise en compte (même partiellement) dans tout le cycle de vie du produit (conception, fabrication, exploitation, maintenance et mise au rebut/recyclage. La prise en compte du coût global de possession (CGP) exigée par les clients dans les cahiers des charges avec la notion de conception à coût objectif est en train de révolutionner le monde de la sûreté de fonctionnement. En parallèle, les méthodes du soutien logistique intégré ont été développées pour assurer une maintenabilité optimisée pendant le cycle de vie des équipements complexes. À la suite de nombreuses catastrophes industrielles liées à des défaillances techniques, humaines et à des risques naturels dans de nombreux pays industrialisés, les autorités administratives ont imposé un classement des installations industrielles en fonction de leur dangerosité (établissements classés Seveso III, ICPE…) qui imposent des études de sûreté de fonctionnement pour obtenir les autorisations d’exploiter. Également dans le cadre de différentes certifications ou labellisations telles que ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, lLOOHS-2001], MASE, ISO 22000, EMAS, les industriels ou organisations doivent entreprendre obligatoirement des études de sûreté de fonctionnement pour identifier et prévenir les différents types de risques. La sécurité au travail, en particulier en France, implique actuellement les aspects réglementaires de la sécurité des personnes avec notamment la rédaction du document unique. C’est ainsi que les CHSCT (comités d’hygiène, de sécurité et des conditions de travail) et les départements QHSE (qualité, hygiène, sécurité et environnement) ont vu leur apparition dans les établissements commerciaux et industriels. De plus, les stratégies de maintenance modernes font de plus en plus appel aux connaissances de la fiabilité des matériels et à leurs modes de défaillance : maintenance basée sur la fiabilité MBF [2], [SE 1 649], maintenance basée sur les risques et la fiabilité [SE 1 677]. Cependant, le talon d’Achille actuel de la sûreté de fonctionnement provient du fait que les données de base servant à la modélisation sont soit inadéquates, soit inexistantes. Cela induit une réelle difficulté à obtenir des résultats quantifiés et fiables pour les études de sûreté de fonctionnement. J.-C. Ligeron en 2006 dans son ouvrage Le cercle des fiabilistes disparus ou critique de la raison fiabiliste [3] indiquait qu’il allait devenir nécessaire de repenser une nouvelle école de sûreté de fonctionnement. Notamment, « cela implique de réviser les fondements de la sûreté de fonctionnement permettant de rendre cohérents les différents outils et méthodes, en pratiquant une sorte de diététique de la sûreté de fonctionnement ». Ses vœux sont en passe d’être exaucés avec l’apparition de nouveaux outils issus de l’intelligence artificielle. Ainsi, à l’aide de très nombreuses données contenue dans le « big data », le « cloud », des techniques innovantes telles que le « data mining », l’apprentissage automatique (« machine learning ») et l’apprentissage profond (« deep learning ») se sont développées. Elles permettent actuellement des applications en sûreté de fonctionnement pour la prédiction des défaillances, les stratégies de maintenance avec les notions introduites dans le monde anglo-saxon sous les vocables CBM (condition based monitoring), PHM (prognostics and health management) et RUL (remaining useful life). Le lecteur pourra compléter ses connaissances dans de très nombreux ouvrages [4], [5], [6], [7], [8], [9], [10], [11], [12]. L’ensemble des normes internationales, organismes, institutions et sites Internet français et étrangers est donné dans le « Pour en savoir plus » de cet article.
3.1 Missions et fonctions Une étude de sûreté de fonctionnement passe nécessairement par une analyse exhaustive des différentes phases de fonctionnement faisant appel à des termes précis tels que missions et fonctions assurées par un bien. Il est particulièrement indispensable de définir les notions de fonction et de mission. Ces définitions sont, en effet, très variables d’un secteur d’activité à un autre ou d’un pays à un autre. Les missions et fonctions d’une entité découlent directement de la définition et de la spécification de ses exigences opérationnelles : • Quelles sont les exigences opérationnelles, et comment l’entité sera-t-elle utilisée ? • Où l’entité sera-t-elle utilisée ? • Combien de temps l’entité sera-t-elle utilisée ? En particulier, ces définitions sont obligatoires pour réaliser des études de maintenance basée sur la fiabilité et/ou sur les risques, pour la réalisation d’études d’AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité) ou d’arbres de défaillances comme décrits dans les références.
3.1.1 Missions Le profil de la mission d’une entité se décompose en plusieurs phases distinctes ; il est indispensable, pour chacune d’entre elles, de disposer d’un ensemble de fonctions bien définies. Exemple Ainsi, pour le véhicule de transfert automatique européen « JulesVerne », le premier vaisseau ravitailleur de la station spatiale internationale dont la durée de mission était programmée sur six mois, les cinq principales phases de la mission étaient les suivantes (http:// www.esa.int) : • lancement depuis la base de Kourou avec la fusée Ariane 5 ; • séparation de la fusée Ariane 5 ; • après plusieurs jours en orbite, amarrage à l’ISS, station spatiale internationale ; • après amarrage, utilisation pour rehausser l’orbite de la station, refaire le plein de carburant de l’ISS et réapprovisionner l’équipage et évacuer les déchets ; • une fois cette dernière phase accomplie, désintégration dans l’atmosphère. Les phases de la mission réalisées par le premier véhicule de transfert automatique européen (ATV – Automated Transfer Vehicle) « Jules-Verne » pour la station ISS sont représentées sur la figure 1. La mission était considérée comme remplie si toutes les phases se déroulaient conformément aux spécifications.
3.1.2 Fonctions La compréhension de la notion de fonction et de ses paramètres est l’élément clé sur lequel reposent les analyses de sûreté de fonctionnement car on recherche les éléments matériels qui vont entraîner la perte ou la dégradation des fonctions. L’AFNOR définit une fonction comme « l’action d’une entité ou de l’un de ses constituants exprimée en termes de finalité ».
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QU
S 8 250v3 – 5
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP SÛRETÉ DE FONCTIONNEMENT
_______________________________________________________________________________________________________
secondaires » et leur perte peut également avoir des conséquences catastrophiques. Exemple En reprenant l’exemple de la chaudière, une fonction secondaire est de maintenir l’intégrité du confinement de la vapeur. L’existence d’une fuite ou le risque d’une explosion entraînerait une défaillance de la fonction principale. Le calorifugeage de la chaudière est une autre fonction secondaire de la chaudière ayant pour but de minimiser les pertes thermiques.
Q
■ Fonctions de protection et de commande
Figure 1 – Phases du module « ATV » Jules Verne
Dans la majorité des cas, tout système industriel fonctionne avec des fonctions de régulation et de protection, qui constituent de fait des barrières de protection pour éviter des dysfonctionnements graves. Les fonctions de protection et de commande ont pour but de garantir, par des moyens de signalisation ou la mise en route de systèmes redondants, la sécurité des biens, des personnes et de l’environnement. Ces fonctions de protection sont assurées par des systèmes de signalisation, d’alarme ou de protection automatique.
Cette définition de nature qualitative est indispensable pour décrire de façon globale une fonction. La fonction fait appel à des notions qualitatives et quantitatives. Exemple Pour un système tel qu’un propulseur à poudre, la description de sa fonction est simple : fournir une poussée nominale de 15 t pendant 30 s. Cette définition donne ses caractéristiques en termes quantitatifs. Un moteur électrique possède une fonction de base consistant à convertir de l’énergie mécanique en énergie électrique.
Exemple Dans le cas d’une chaudière à vapeur alimentée par un brûleur à gaz : • les soupapes de sécurité assurent une protection passive contre le risque de surpression ; • le système de mesure de pression et de température permet aux opérateurs de contrôler les anomalies de fonctionnement ; • et le système de détection de gaz à l’intérieur de la chaudière a pour rôle d’éviter son explosion.
Les différences entre ces fonctions sont quelquefois subtiles et l’acception de leur terminologie doit toujours faire l’objet d’une acceptation au sens d’une même entreprise et de ses prestataires. Pour des systèmes plus complexes, il est indispensable de classer et de hiérarchiser la nature des fonctions : • principales ; • secondaires ;
■ Fonctions redondantes
• de protection ;
Dans les industries telles que celles des secteurs aéronautiques, nucléaires et spatiaux, des systèmes ou des matériels redondants (doublés, triplés ou quadruplés) sont couramment mis en œuvre pour assurer le niveau requis de sécurité ou de sûreté. Ces systèmes redondants peuvent fonctionner en permanence (redondance active) ou être en attente (redondance passive).
• redondantes.
■ Fonctions principales Une fonction principale peut se définir comme étant la raison d’être d’un bien ou d’un système défini souvent avec ses caractéristiques associées (durée, caractéristiques physiques, chimiques…
Exemple Dans l’industrie automobile, c’est ainsi que l’on équipe certains véhicules avec un double circuit de freinage. Pour un avion bimoteur, les deux moteurs illustrent la redondance active. En effet, en cas de panne d’un des moteurs, le propulseur restant a été conçu pour pouvoir ramener l’aéronef sur un terrain d’atterrissage avec toutes les conditions de sécurité.
Exemple Une première définition générale de la fonction principale d’une chaudière est de fournir de la vapeur. Une seconde définition de la fonction de la chaudière à vapeur est de fournir de la vapeur à 110 °C avec un débit de 40 t/h pendant 24 h.
■ Fonctions instrumentées de sécurité
Cet exemple de définitions montrent la difficulté de décrire une fonction quand on s’intéresse à ses modes de défaillance. En effet, dans la première définition, la perte de la fonction correspond à une non-fourniture de vapeur. Il n’existe dans ce cas qu’un seul mode de défaillance. En revanche, en utilisant la deuxième définition, trois modes de défaillance de la fonction apparaissent :
Les systèmes instrumentés de sécurité (SIS) sont utilisés comme moyens de prévention pour réaliser les fonctions instrumentées de sécurité (FIS) lorsque les systèmes automatisés présentent des risques potentiels pour les personnes, l’environnement ou les biens. Ces fonctions sont conçues pour réaliser des fonctions de prévention et de protection de ces systèmes.
• non-fourniture de vapeur à 110 °C (température supérieure ou inférieure) ; • non-fourniture du débit de 40 t/h (débit supérieur ou inférieur) ;
3.2 Défaillances
• non-fourniture de la vapeur à une température de 110 °C, avec un débit de 40 t/h, pendant 24 h.
L’évolution de la discipline sûreté de fonctionnement au cours des trente décennies précédentes a conduit à l’introduction de nouvelles définitions relatives aux défaillances et à la dégradation.
Sous l’aspect sémantique, une fonction est définie par un verbe à l’infinitif suivi d’un complément d’objet.
■ Défaillance
■ Fonctions secondaires
Suivant la norme NF-EN 13306 « la défaillance est la perte de l’aptitude d’un bien à accomplir une fonction requise. Après la défaillance, le bien est en panne et correspond à l’état de défail-
Dans de nombreux cas, un système assure d’autres fonctions que la fonction principale. Ces fonctions sont appelées « fonctions
S 8 250v3 – 6
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUP ________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
lance du bien ». Une autre définition est souvent utilisée et décrit la défaillance comme étant « l’altération ou la cessation de l’aptitude d’un ensemble à accomplir sa (ou ses) fonction(s) requise(s) avec les performances définies dans les spécifications techniques ». La défaillance est souvent le résultat d’une dégradation qui correspond à un état néfaste de l’état physique avec le temps, l’utilisation ou en raison d’une autre cause.
Q
Suivant la norme CEI 60050, la dégradation est une modification préjudiciable de l’aptitude à satisfaire à des exigences. La défaillance est aussi qualifiée de « défaillance fonctionnelle ». Pour bien comprendre la notion de défaillance, on peut faire une analogie avec le la représentation d’une fonction mathématique multivariable Y = f(X1, X2, X3,……XN.). Dès qu’une variable Xi sort de son domaine de validité, automatiquement la fonction Y n’est plus assurée. La figure 2 illustre cette situation, et dans ce cas, on associe à la perte de la fonction un mode de défaillance causée par le comportement de la composante Xi. Il s’ensuit qu’un ensemble est défaillant s’il est considéré ou déclaré incapable d’assurer les fonctions requises par l’exploitant utilisant des critères fonctionnels simples. Toute étude de fiabilité implique l’acceptation de deux états totalement exclusifs : le fonctionnement normal et le fonctionnement défaillant. Contrairement à la maintenance où l’on considère un fonctionnement dégradé, la sûreté de fonctionnement considère uniquement deux états : un état de fonctionnement normal et un état de panne. Le passage d’un état de fonctionnement normal à un état défaillant pouvant se manifester en fonction du temps de manière progressive, soudaine ou de façon aléatoire, la fiabilité ne connaît pas la notion de défaillance partielle ou progressive. La figure 3 représente trois cas conduisant tous à une défaillance.
Figure 3 – Cas de figure conduisant tous à une défaillance
Cette définition inclut, de façon très explicite, la perte de la fonction d’une entité et, pour cette raison, elle porte souvent à des interprétations différentes suivant les intervenants. Certains secteurs industriels, pour lever cette ambiguïté, ont dressé des listes standardisées de défaillances fonctionnelles.
■ Mode de défaillance Il est défini par la manière selon laquelle une défaillance se produit ; une défaillance fonctionnelle se manifeste dans la majorité des cas par plusieurs modes de défaillance.
■ Effet d’une défaillance
Exemple
Il s’agit de la conséquence d’une défaillance, dans ou au-delà de la frontière de l’entité défaillante. Il peut être nécessaire de tenir compte des modes de défaillance individuels et de leurs effets.
Si l’on considère un moteur électrique dont la fonction principale est de convertir une énergie électrique en énergie mécanique, le refus de démarrage est une défaillance fonctionnelle du moteur. Dans d’autres secteurs industriels, en adoptant une approche matérielle de la défaillance, une perte de l’isolement du stator est considérée comme une défaillance.
■ Dégradation Modification préjudiciable de l’aptitude à satisfaire à des exigences.
■ Défaillance potentielle
Cette grande différence d’approche constitue une réelle difficulté pour entreprendre de façon efficace un dialogue entre les concepteurs et les exploitants. C’est la raison pour laquelle, dans un cahier des charges d’une étude de sûreté de fonctionnement, il est indispensable de définir un glossaire commun accepté entre les différents partenaires pour lever toute ambiguïté ultérieure liée à une mauvaise compréhension.
Les évolutions récentes relatives à la maintenabilité et aux stratégies de maintenance telles que la maintenance basée sur la fiabilité et la CBM-PHM-RUL ont nécessité d’introduire de nouvelles notions relatives aux défaillances qui se produisent suite à une dégradation des équipements. La figure 4 représente l’évolution de la condition de l’équipement pendant son cycle de vie. À partir de sa mise en service, l’équipement commence à se dégrader lentement sans qu’il soit possible de le détecter avec les moyens de surveillance mis en place. La défaillance potentielle suivant la norme SAE JA1012 est une valeur de la condition identifiable qui indique qu’une défaillance fonctionnelle est en train de se produire. On associe deux notions d’intervalle à courbe de dégradation de la condition : l’intervalle P-F et le « Net P-F interval ». L’intervalle P-F est le temps qui s’écoule entre le moment où la défaillance potentielle devient identifiable et celui où on atteint la défaillance fonctionnelle. Le « Net P-F interval » est défini comme l’intervalle de temps qui s’écoulera vraisemblablement entre la découverte de la défaillance potentielle et l’instant de l’occurrence de la défaillance. En maintenance, cet intervalle de temps permet de définir la meilleure stratégie de maintenance.
Figure 2 – Domaines de variation d’un paramètre d’une fonction
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QW
S 8 250v3 – 7
Q
QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ agTVWP
La sûreté de fonctionnement : méthodes pour maîtriser les risques Q par
Yves MORTUREUX Ingénieur civil des Ponts et Chaussées Expert Sûreté de Fonctionnement à la Direction déléguée Système d’exploitation et sécurité à la SNCF Vice-Président de l’Institut de Sûreté de Fonctionnement
1. 1.1 1.2 1.3
Caractérisation de la sûreté de fonctionnement ............................ Considérer avec réalisme les entités auxquelles on a affaire.................. Exploiter toutes les connaissances disponibles, rechercher le juste nécessaire..................................................................................................... Produire de la confiance partageable grâce à la sûreté de fonctionnement ......................................................................................
AG 4 670 - 3 — 3 —
3
—
4 4 4 4 6 7 7 7
2. 2.1 2.2 2.3 2.4 2.5 2.6
Notions fondamentales .......................................................................... Sûreté de fonctionnement .......................................................................... Risque ........................................................................................................... Fiabilité ......................................................................................................... Maintenabilité .............................................................................................. Disponibilité ................................................................................................. Sécurité.........................................................................................................
— — — — — — —
3.
Taux de défaillance, MTBF, MTTF, MUT ..............................................
—
8
4. 4.1 4.2 4.3
Données de fiabilité (ou de maintenabilité) ..................................... Généralités ................................................................................................... Bases de données........................................................................................ Retour d’expérience ....................................................................................
— — — —
10 10 10 11
5. 5.1 5.2 5.3
— — —
12 12 12
5.4 5.5 5.6
Démarches et méthodes fondamentales d’une approche SdF .... Présentation des caractéristiques .............................................................. Analyse préliminaire de risques (APR) ...................................................... Analyse des modes de défaillance, de leurs effets et de leurs criticités (AMDEC) ....................................................................................................... Arbres de causes, d’événement, de défaillances...................................... Graphes d’états. Réseaux de Petri ............................................................. Complémentarités entre ces méthodes.....................................................
— — — —
13 13 15 16
6.
Fiabilités électronique, mécanique, logicielle, humaine... ...........
—
16
Références bibliographiques .........................................................................
—
17
ans l’industrie, on parle de plus en plus de sûreté de fonctionnement. Cette discipline, qui a acquis ce nom et sa forme actuelle principalement au cours du dernier demi-siècle et dans les secteurs de la défense, de l’aéronautique, de l’espace, du nucléaire, puis des télécommunications et des transports, serait désormais utile, voire indispensable, à tous les secteurs de l’industrie et même d’autres activités. De quoi s’agit il ? La sûreté de fonctionnement est une riche palette de méthodes et de concepts au service de la maîtrise des risques.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPQ
D
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité L’entreprise industrielle
QY
AG 4 670 − 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ agTVWP
LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________
La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un ensemble de moyens : des démarches, des méthodes, des outils et un vocabulaire. Le but qui impose le recours à la sûreté de fonctionnement est plus reconnaissable sous le terme de « maîtrise des risques ».
Q
■ Comme il est habituel avec ce type de mots ou d’expressions, « sûreté de fonctionnement » désigne à la fois un ensemble de moyens et un ensemble de résultats produits par ces moyens : — une forme d’esprit particulière dans la considération portée aux systèmes (en particulier industriels, mais rien ne justifie de se limiter à l’industrie) ; des démarches, méthodes et outils propres à connaître, caractériser et maîtriser les effets des aléas, des pannes, des erreurs... ; — des caractéristiques des systèmes (produits, services, systèmes de production, installations, etc.), exprimant la conformité dans le temps (constance, fréquence de la conformité) de leurs comportements et actions avec des attentes plus ou moins explicites (on note la proximité de ces notions avec la qualité) : sécurité, fiabilité, disponibilité, maintenabilité, voire invulnérabilité, capabilité, coût global de possession, survivabilité... Par extension, on parle de la « sûreté de fonctionnement d’un système » comme la caractéristique de ce système qui permet de placer en lui une confiance justifiée. C’est d’une simplicité séduisante et trompeuse. La confiance dépend de ce à quoi on accorde de l’importance (innocuité, productivité, qualité... ?) et des valeurs relatives de ces caractéristiques ; elle repose sur un ensemble de démarches et s’exprime par un ensemble de caractéristiques, en particulier des disponibilités et de la sécurité. C’est un atout majeur du concept de sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir réduire à une valeur (qui s’appellerait la sûreté de fonctionnement du système) le résultat de ces démarches. ■ Les caractéristiques pertinentes pour exprimer les fondements de la confiance que l’on place et que l’on veut transmettre dans son système prennent des formes (des noms et des définitions) propres au système dont il s’agit, aux cultures des acteurs concernés et à leurs vocabulaires. Fondamentalement, il s’agit toujours de disponibilité et de sécurité fondées sur des fiabilités et des maintenabilités élémentaires, mais le foisonnement des vocabulaires en usage dans les différentes branches de l’industrie (et encore plus si on élargit au-delà du monde industriel) prouve que chacun a besoin de notions propres adaptées à son contexte. Par contre, les démarches et méthodes, même cachées sous des noms divers et variés, s’avèrent universelles. Plutôt que les caractéristiques, ce sont les méthodes qui seront au cœur de ce premier article. En matière de sûreté de fonctionnement (et pas seulement là), il nous paraît infiniment plus important de comprendre une démarche et un raisonnement, quitte à réinventer le vocabulaire en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des outils en se laissant guider par eux. Cette dernière pratique, très répandue, conduit malheureusement assez souvent à des conclusions gravement erronées. La sûreté de fonctionnement n’est que du bon sens organisé et systématisé. S’en éloigner en se laissant conduire par une recette ou une méthode à l’encontre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves. ■ Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la systématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état d’esprit spécifique, à quelques questions que l’on se pose systématiquement ; cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en calcul de probabilités, essais, modélisations, analyses, recueil et traitement de données... À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de fonctionnement, mais le principe en est toujours le même. Nota : Le lecteur pourra utilement se reporter au CD-Rom Sécurité/Prévention des risques (projet 2002) et, plus particulièrement, à l’article [SE 1 020] « La sûreté de fonctionnement : démarches pour maîtriser les risques ».
AG 4 670 − 2
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité L’entreprise industrielle
RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ agTVWP
___________________________________________________________________ LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES
1. Caractérisation de la sûreté de fonctionnement
Une première caractéristique d’une approche sûreté de fonctionnement, c’est le principe de considérer un système pour tout ce qu’il peut être et non seulement pour ce qu’on veut qu’il soit.
La sûreté de fonctionnement (SdF) est peut-être d’abord un état d’esprit avant d’être un ensemble de méthodes. Qu’est-ce qui caractérise cet esprit ?
1.2 Exploiter toutes les connaissances disponibles, rechercher le juste nécessaire
1.1 Considérer avec réalisme les entités auxquelles on a affaire
L’application du principe évoqué au paragraphe 1.1 met donc en présence de nombreuses éventualités d’échecs ou d’accidents. Il y a l’attitude qui consiste à les ignorer et celle qui consiste à les éliminer totalement. La SdF consiste à remplacer le choix binaire entre ces deux extrêmes par le choix continu entre toutes les positions intermédiaires. Entre excès de précautions (coûteux, contraignant) et jeu avec le feu (tout va bien jusqu’à la catastrophe), il y a un juste milieu en harmonie avec les grands principes, la politique de son entité (entreprise, association...).
Un composant, un sous-système peut tomber en panne. Un homme peut avoir une activité différente de ce qu’on a voulu lui prescrire. Les conditions d’environnement peuvent être défavorables, etc. La sûreté de fonctionnement consiste à ne pas considérer un système uniquement à travers son cahier des charges comme s’il ne devait jamais avoir comme comportements et comme effets que ceux pour lesquels il a été conçu.
Entre la connaissance déterministe que la panne va toucher tel composant à tel moment et l’ignorance totale (on ne sait pas quelle panne va survenir, ni où, ni quand), il y a des connaissances incomplètes ou incertaines. La sûreté de fonctionnement, loin de les écarter (comme si on ne pouvait rien faire d’une incertitude) les exploite.
Exemple : un frein de bicyclette est conçu, fabriqué, installé pour ralentir et arrêter la bicyclette. Premièrement, la SdF considère qu’il n’est pas acquis, parce qu’il peut le faire, qu’il va le faire. Il peut ne pas remplir totalement, instantanément, à chaque sollicitation sa fonction. Deuxièmement, la SdF considère que, à partir du moment où il existe, il va avoir des effets, peut-être sans rapport avec sa fonction. Normalement, un frein de bicyclette produit de la chaleur, peut faire du bruit, occupe de la place, ajoute du poids à certains endroits. Un frein de bicyclette, ce sont des pièces qui pourraient, accidentellement, tomber dans les rayons, des câbles tendus qui pourraient, accidentellement, casser, cingler, blesser, etc. Il y a lieu d’en examiner les conséquences pour faire des choix appropriés.
Le cas des composants électroniques après la Seconde Guerre mondiale est caractéristique, puisqu’il est à l’origine de l’essor évoqué dans l’« historique » : en présence d’un lot de composants « identiques » (fabriqués ensemble), il n’était pas possible (techniquement ou économiquement) de déterminer lesquels allaient tomber en panne et quand. Par contre, le retour d’expérience montrait une très grande régularité dans le nombre de pannes rapporté au nombre de composants par unité de temps.
Historique Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la comparaison des fréquences des pannes des avions bimoteurs et quadrimoteurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. ■ À partir de la deuxième guerre mondiale, une discipline se développe sous le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractérisées par la découverte de l’efficacité d’une approche probabiliste appliquée à l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une chaîne de composants est le produit des probabilités de succès de chacun des composants – fut l’origine d’un développement très rapide dans les domaines cités. Cette période fut aussi celle d’un développement rapide de l’électronique qui introduit des composants nombreux dont les défaillances individuelles sont imprévisibles à ce stade des connaissances, mais dont les défaillances collectives présentent des régularités statistiques ; sur un lot de composants homogène, on sait prédire avec une bonne confiance le nombre de défaillances par unité de temps qui vont se produire alors qu’on reste totalement incapable de prédire quel composant va tomber en panne et quand. ■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser cette approche probabiliste si réussie à d’autres « composants » : mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la maintenabilité). En même temps se développent des méthodes permettant de maîtriser les risques de systèmes complexes (centrale nucléaire, supersonique...) et non plus simplement de chaînes de composants (même complexes). Ces démarches sont conduites par les équipes constituées autour de la « théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des risques qui a toujours accompagné les activités à risque comme le transport.
Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’accidents. Elles ont développé des approches déterministes très poussées et se sont essentiellement appuyées sur le surdimensionnement, la redondance et l’analyse logique pour assurer la sécurité. L’apport des approches probabilistes permet de chercher à ajuster les mesures de prévention des événements aléatoires au lieu de rester abrité derrière des normes de dimensionnement larges et coûteuses.
■ À partir de la décennie 1980, les efforts entrepris dans tant de directions s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette discipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionnement. On note les développements suivants : — constitution de bases de données de fiabilité ; — début de normalisation en matière de sûreté de fonctionnement ; — développement des méthodes d’analyse, de modélisation, de représentation des systèmes complexes ; — développement de logiciels de calculs ; — développement de logiciels de modélisation ; — campagnes d’essais pour recueillir des données de fiabilité ; — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart des industries ; — utilisation de la sûreté de fonctionnement pour maîtriser tout type de risque industriel (et peu à peu des risques juridiques, individuels, financiers, etc.) et non seulement la sécurité ; — apparition et développement des clauses contractuelles de sûreté de fonctionnement et des exigences légales et réglementaires de sûreté de fonctionnement ; — besoin croissant de connaissances pointues dans les domaines scientifiques concernés dans les systèmes complexes : systèmes programmés, sciences humaines et sociales. Aujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble des moyens qui permettent de se donner et de transmettre une confiance justifiée dans le succès d’un projet, d’une activité et son innocuité.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité L’entreprise industrielle
RQ
AG 4 670 − 3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ agTVWP
LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________
Q
La sûreté de fonctionnement est souvent définie comme :
Entre une position très prudente consistant à ne pas utiliser ces composants faute de pouvoir éviter les pannes, en les remplaçant à temps par exemple, et une position très risquée consistant à espérer ne pas subir trop de pannes aux mauvais moments, la SdF permet d’évaluer statistiquement le risque pris en fonction des choix d’architecture, de politique de maintenance, etc., mais elle ne le permet que parce qu’il y a une information utile qui est, ici, la loi de probabilité de défaillance des composants en fonction du temps !
— fiabilité, disponibilité, maintenabilité et sécurité ; — science des défaillances ; — maintien de la qualité dans le temps. Toutes ces définitions sont reconnues à divers titres par l’Institut de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est porteuse de beaucoup du contenu de la SdF, mais chacune est cependant réductrice, trop étroite.
1.3 Produire de la confiance partageable grâce à la sûreté de fonctionnement
■ La définition « fiabilité, maintenabilité, disponibilité et sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à § 2.6) et met en avant la cohérence de ces approches. Par contre, si la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est aussi une performance d’un système, la SdF ne se réduit pas facilement à une performance.
En vertu du principe évoqué en premier dans le paragraphe 1.1, la sûreté de fonctionnement tend à « tout prévoir » (à ne pas confondre avec « empêcher tout accident »). En vertu du deuxième principe (§ 1.2), elle tend à prendre en compte toute information accessible. Elle offre donc les meilleures garanties possibles que choix et décisions ont pu être faits et pris en toute connaissance de cause.
■ La définition « science des défaillances » met l’accent sur la prise en compte des défaillances, de leurs causes, de leurs effets et souligne, en parlant de science, l’importance de la connaissance sur les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF prend en compte et traite plus que des défaillances.
Il n’y a pas à proprement parler de décisions de SdF. Il y a des décisions techniques, politiques, des choix de conception, d’organisation, d’exploitation, etc., toutes les décisions qui peuvent se prendre dans la vie professionnelle, associative, publique, privée... La SdF permet de prendre en compte de façon explicite les défaillances, les incertitudes, les aléas... dans toute la mesure, mais seulement dans la mesure, des connaissances qu’on détient à leur propos. Ce caractère explicite permet de justifier, de montrer, de discuter, de faire partager la représentation des conséquences (souhaitées et non souhaitées, mais maîtrisées) des décisions que l’on prend ou que l’on veut faire prendre.
En ce qui concerne les événements finaux (les conséquences), la SdF ne prend pas en compte que les défaillances dans l’accomplissement des fonctions requises (ce qui serait seulement une approche fiabilité, maintenabilité, disponibilité ou « dependability »), mais aussi des événements sans rapport avec le cahier des charges fonctionnel du système (approche orientée sécurité). En ce qui concerne les événements initiateurs (les causes), la SdF ne se limite pas aux défaillances, mais peut permettre de prendre en compte aussi bien des agressions de l’environnement, des actions inattendues ou interdites des utilisateurs ou des tiers, des phénomènes aléatoires...
Utiliser la sûreté de fonctionnement, c’est rechercher et exploiter les informations relatives aux événements non voulus : pannes, agressions, aléas..., les prendre en compte pour des décisions plus fines, plus justes, inspirant plus confiance.
■ La définition « maintien de la qualité dans le temps » souligne l’importance de la durée et l’importance de la référence à des exigences (explicites ou non). Elle a le défaut de laisser supposer qu’une activité SdF se conduit nécessairement dans le cadre d’une démarche qualité, ce qui est faux. C’est le choix – explicable historiquement – de certains secteurs industriels où la sûreté de fonctionnement est très développée à l’intérieur de l’organisation Qualité, mais n’est pas une nécessité ; d’autres secteurs ont une forte expérience de la sûreté de fonctionnement antérieure à la Qualité au sens moderne incarné par les normes ISO 9 000 et bien d’autres, en particulier une expérience de la sûreté de fonctionnement orientée vers la sécurité.
Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de fonctionnement possible s’il n’y a pas de connaissances. La SdF est toujours totalement dépendante de la connaissance du système étudié et de l’état des sciences concernées. La recherche de ces informations, en particulier par le retour d’expérience et les essais, est donc indissociable de la SdF.
2. Notions fondamentales
Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problèmes.
La démarche, le raisonnement « sûreté de fonctionnement » s’appuient sur quelques notions de base qui se sont précisées au cours de l’évolution (cf. Historique) et qui continuent à s’affiner. Parcourir ce vocabulaire de base est donc une introduction classique à la sûreté de fonctionnement. Le lecteur trouvera d’autres définitions importantes dans un glossaire.
2.2 Risque Événement redouté évalué en terme de fréquence et de gravité. En sûreté de fonctionnement, il s’agit d’identifier les événements indésirables, d’évaluer la fréquence de leurs survenues et de quoi elle dépend, d’évaluer la gravité de leurs survenues et de quoi elle dépend ; de prendre ses décisions en fonction de leurs impacts sur le triplet « événement, fréquence, gravité » qu’on appelle risque.
2.1 Sûreté de fonctionnement Aptitude d’une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données. On notera que ce concept peut englober la fiabilité, la disponibilité, la maintenabilité, la sécurité, la durabilité... ou des combinaisons de ces aptitudes. Au sens large, la SdF est considérée comme la science des défaillances et des pannes [2].
AG 4 670 − 4
Reformuler en terme de risque les éléments de décision qui relèvent de la prise en compte des dysfonctionnements, des aléas, des erreurs, des agressions de l’extérieur... c’est déjà intégrer l’esprit de la sûreté de fonctionnement.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur, traité L’entreprise industrielle
RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ
Sûreté de fonctionnement Analyse et bases de données de fiabilité par
Q
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT), Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite, Université Paris Est Créteil, France Note de l’éditeur Cet article est la version actualisée de l’article S8251V1 intitulé Sûreté de fonctionnement des systèmes industriels complexes – Analyse prévisionnelle et bases de données de fiabilité rédigé par Gilles ZWINGELSTEIN et paru en 2009.
1.
Étapes d’une analyse de sûreté de fonctionnement .....................
2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7
Méthodes d’analyse fonctionnelle ..................................................... Concepts de base de l’analyse fonctionnelle............................................ Méthode FAST............................................................................................. Méthode RELIASEP® .................................................................................. Méthode SADT® ......................................................................................... Méthode IDEF0 ............................................................................................ Méthode APTE®.......................................................................................... Autres méthodes d’analyse fonctionnelle ................................................
— — — — — — — —
3 3 4 4 5 6 6 7
3. 3.1 3.2 3.3
Méthodes classiques d’analyse prévisionnelle ............................... Méthodes déductives et inductives ........................................................... Méthodes qualitatives ................................................................................ Méthodes mixtes et quantitatives .............................................................
— — — —
7 7 8 11
4. 4.1
—
17
4.2
Méthodes avancées d’analyse prévisionnelle ................................. Méthodes prévisionnelles pour le diagnostic et le pronostic de défaillance .............................................................................................. Méthodes de pronostic du DEFAD (RUL)..................................................
— —
17 18
5. 5.1
Facteurs humains .................................................................................... Typologie des méthodes d’évaluation de la fiabilité humaine ...............
— —
21 21
6. 6.1 6.2
Méthodes de prédiction et banques de données de fiabilité...... Méthodes de prédiction.............................................................................. Modèles de prédiction et recueils de données.........................................
— — —
23 23 24
7.
Conclusion.................................................................................................
—
26
8.
Glossaire ....................................................................................................
—
26
S 8 251v2 - 3
Pour en savoir plus .......................................................................................... Doc. S 8 251v2
et article présente les différentes étapes, les méthodes et les données à mettre en œuvre pour réaliser une analyse de la sûreté de fonctionnement prévisionnelle de systèmes industriels complexes. Compte tenu de l’importance des conséquences des défaillances sur la disponibilité, les personnes et l’environnement, les industriels sont de plus en plus concernés par la réalisation d’études pour prévoir le niveau de la sûreté de fonctionnement pour des installations existantes ou en cours de conception. Une analyse de sûreté de fonctionnement prévisionnelle d’un système complexe se décompose en plusieurs étapes principales : l’analyse structurelle et fonctionnelle du
p。イオエゥッョ@Z@。カイゥャ@RPQY
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RS
S 8 251v2 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ SÛRETÉ DE FONCTIONNEMENT
Q
_______________________________________________________________________________________________________
système suivie d’analyses qualitatives et/ou quantitatives en fonction des données disponibles du retour d’expérience. La première section décrit l’organigramme des tâches et analyses à réaliser pour élaborer un dossier d’analyse prévisionnelle de la sûreté de fonctionnement. Il permet de vérifier si les résultats obtenus grâce aux différentes analyses sont conformes aux spécifications définies dans le cahier des charges de l’utilisateur. La seconde section, après un rappel sur les finalités de l’analyse de la valeur, présente les principales méthodes d’analyse fonctionnelles utilisées pour identifier les fonctions d’un système complexe à partir de modèles structurels. La connaissance de ces fonctions est en effet indispensable pour identifier leurs modes de défaillance qui conduiront par leurs effets à la défaillance. Les principes des méthodes d’analyses fonctionnelles FAST, RELIASEP®, SADT®, IDEF0 et APTE® font l’objet de descriptions succinctes. La troisième section est dédiée à une typologie des méthodes classiques d’analyse prévisionnelle. Elle précise les définitions des méthodes déductives et inductives, ainsi que les caractéristiques des méthodes qualitatives et quantitatives. En particulier, les méthodes quantitatives évaluent les paramètres associés à la sûreté de fonctionnement. Elles utilisent les données de la fiabilité humaine et les banques de données de fiabilité qui seront présentées dans cet article. Parmi l’ensemble des méthodes qualitatives, l’AMDEC, APR, MCPR et HAZOP y sont présentées. Pour les méthodes quantitatives qui font l’objet de développements figurent : le diagramme de fiabilité, la table de vérité, les arbres de conséquences, le diagramme cause-conséquence, le nœud papillon, l’espace des états et les processus markoviens. Pour tenir compte des évolutions sur les deux dernières décennies dans le domaine de l’analyse prévisionnelle en sûreté de fonctionnement sous les noms de « condition-based-monitoring-CBM », « diagnosis, prognostics and health management (PHM) » et « RUL - remaining useful life », la quatrième section présentera ces méthodes avancées. Elles ont été développées spécifiquement pour réaliser le diagnostic et le pronostic des défaillances. Leurs finalités ultimes sont de prédire la durée de vie avant la défaillance (DEFAD) et sa probabilité (notée « DEFAD-RUL » dans cet article). De nombreuses méthodes ont été développées pour estimer la DEDAD-RUL et feront l’objet de descriptions succinctes. Elle couvrira les méthodes basées sur les lois physiques (model-driven), l’exploitation des données (data-driven), les expérimentations et les méthodes hybrides. Elles font appel aux techniques classiques statistiques et aux outils de l’intelligence artificielle. Parmi ces outils d’intelligence, l’apprentissage automatique (machine learning) et l’apprentissage profond (deep learning) utilisant des réseaux de neurones artificiels feront l’objet de développements. Comme certaines méthodes prévisionnelles prennent en compte le facteur humain, la cinquième section présentera la typologie des méthodes de la fiabilité humaine : l’évaluation probabiliste de la fiabilité humaine (EPFH) et les facteurs humains (FH). Elle présente une classification en trois familles ; la première est basée sur des approches principalement fréquentielles, la seconde privilégie les aspects cognitifs et la troisième prend en compte l’environnement organisationnel. Cette section présente quinze modèles d’évaluation du facteur humain représentatifs de ces trois familles. La sixième section présente un inventaire des banques de données de fiabilité de composants dont l’usage est indispensable pour la mise en œuvre des méthodes prévisionnelles quantitatives. Elle définit au préalable les notions de « parts stress » et de « parts counts » utilisées dans les modèles de prédiction de la fiabilité et les banques de données. Elle est consacrée à la description des caractéristiques de leurs contenus et à leurs domaines d’application. Vingt-cinq banques de données sont ainsi passées en revue en insistant sur leur niveau d’actualité. En conclusion, une synthèse et des recommandations sont fournies pour guider l’utilisateur à choisir la méthode la plus adaptée pour réaliser un dossier d’analyse prévisionnelle de la fiabilité.
S 8 251v2 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ ________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
1. Étapes d’une analyse de sûreté de fonctionnement
ment. L’utilisation de ces méthodes, par leurs caractères systématiques et exhaustifs, représente une garantie formelle pour décomposer une installation industrielle en niveaux fonctionnels et matériels. Elles sont nécessaires pour identifier les modes de défaillance et leurs conséquences sur les objectifs opérationnels retenus pour l’installation ou l’équipement concerné. De nombreuses méthodes d’analyse fonctionnelle ont été mises au point dans le monde depuis la fin de la seconde guerre mondiale et se déduisent des techniques d’analyse de la valeur, développée par L.D. Miles, en 1947, dédiées principalement aux produits nouveaux. Selon la norme NF EN 1325, l’analyse de la valeur est une « méthode de compétitivité, organisée et créative, visant la satisfaction du besoin de l’utilisateur par une démarche spécifique de conception à la fois fonctionnelle, économique et pluridisciplinaire ». L’analyse fonctionnelle consiste à recenser, caractériser, ordonner, hiérarchiser et valoriser les fonctions. Les méthodes d’analyse fonctionnelle permettent :
Une analyse de sûreté de fonctionnement de système se décompose en plusieurs étapes principales, à savoir : • l’analyse structurelle et fonctionnelle du système ; • l’analyse prévisionnelle qualitative du système ; • l’analyse prévisionnelle quantitative du système ; • la synthèse des analyses précédentes et une conclusion. Les détails et l’enchaînement de ces étapes sont donnés dans l’organigramme de la figure 1. Il faut remarquer que ces étapes ne sont pas totalement disjointes et présentent des aspects communs. De plus, une étude réelle est itérative ; les étapes principales sont répétées plusieurs fois jusqu’à l’obtention d’une conclusion acceptable (objectifs réalisés).
• de décrire le besoin d’un utilisateur en termes de fonctions, en faisant abstraction des solutions qui peuvent les réaliser. À chaque fonction sont attribués des critères d’appréciation et leurs niveaux ; les niveaux des critères d’appréciation sont les caractéristiques quantitatives de chaque fonction du produit. Pour chaque critère d’appréciation, on peut définir une flexibilité, c’est-à-dire un ensemble d’indications exprimées par le demandeur sur les possibilités de moduler un niveau recherché ;
La mise en œuvre de ces méthodes rend indispensable des décompositions hiérarchiques matérielles ou fonctionnelles du système.
2. Méthodes d’analyse fonctionnelle
• de décrire les choix technologiques imposés au concepteur en termes de contraintes qui peuvent venir de l’environnement, de la technologie, du marché, de la situation et des choix de l’entreprise ou de l’organisme ;
2.1 Les concepts de base de l’analyse fonctionnelle
• de s’assurer, pour chaque fonction, de sa bonne expression en termes d’objectifs et de sa stabilité dans le temps ; c’est le but du contrôle de validité ;
Les méthodes d’analyse fonctionnelle sont indispensables pour réaliser une décomposition fonctionnelle et matérielle d’une installation industrielle en cours de conception ou en fonctionne-
• de décrire le produit envisagé comme solution, en termes de fonctions de service et en termes de fonctions techniques ou de conception ; • d’initialiser l’optimisation du produit aussi bien du point de vue coût que du point de vue fiabilité. Les résultats des analyses fonctionnelles sont matérialisés par trois éléments. 1/ Le cahier des charges fonctionnel (CdCF), défini par la norme NF X50-151 (attention norme annulée et décrite dans [S 8 250]), est un document par lequel le demandeur exprime son besoin (ou celui qu’il est chargé de traduire) en termes de fonctions de service et de contraintes. Pour chacune d’elles sont définis des critères d’appréciation et leurs niveaux. Chacun de ces niveaux doit être assorti d’une flexibilité. 2/ Le bloc-diagramme fonctionnel (BdF) permet de visualiser la relation fonctions/solutions dans le cas de produits mécaniques, électriques ou électroniques. C’est une représentation schématique qui superpose les deux conceptions d’un système et permet de mettre en évidence : – les interactions entre les composants et les milieux extérieurs ; – les interactions entre les composants eux-mêmes. 3/ Le tableau d’analyse fonctionnelle (TAF), en fiabilité, sert de trame pour la réalisation d’analyses des modes de défaillance, de leurs effets et de leur criticité (AMDEC). C’est un tableau sur lequel on place sur les lignes les fonctions de service du produit (principales et contraintes) et les chaînes fonctionnelles de conception (ou fonctions techniques), et sur les colonnes les fonctions élémentaires de tous les composants du produit. Il permet d’examiner l’influence de chaque chaîne fonctionnelle de conception sur chaque fonction de service. Les impératifs en termes de sûreté de fonctionnement des systèmes industriels complexes impliquent de décrire précisément les fonctionnalités des systèmes ; pour cela, différentes méthodes d’analyse fonctionnelle sont utilisables.
Figure 1 – Organigramme des tâches d’une analyse prévisionnelle
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RU
S 8 251v2 – 3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ SÛRETÉ DE FONCTIONNEMENT
_______________________________________________________________________________________________________
2.2 Méthode FAST
Q
Imaginée par C.W. Bythenay [1], la méthode FAST (function analysis system technique) est couramment employée en matière d’analyse de la valeur. En France, le FAST est considéré comme une étape dans les descriptions d’un système. Elle présente l’avantage d’ordonner les fonctions suivant un ordre logique ; elle contribue à la clarification de l’état fonctionnel du produit et à la rédaction finale du CdCF. Elle permet : • d’ordonner les fonctions identifiées ; • de vérifier la logique fonctionnelle ; • d’avoir une bonne connaissance du produit ou du système étudié ; • de prendre conscience de l’importance relative des éléments ou des structures vis-à-vis des fonctions qu’ils assurent ; • de mettre en évidence des synchronisations entre les fonctions indépendantes.
Figure 2 – Diagramme fonctionnel d’un FAST
À partir de la liste de fonctions identifiées par une des méthodes d’analyse fonctionnelle, celles qui s’appliquent à l’ensemble du produit sont répertoriées en marge du diagramme FAST.
2.3 Méthode RELIASEP®
Le diagramme se construit de gauche à droite en plaçant à gauche la fonction principale et en se déplaçant ensuite vers la droite ou vers le bas. Les liaisons entre les blocs fonctionnels sont réalisées en répondant à trois questions :
La société européenne de propulsion (SEP) [2], maître d’œuvre de la propulsion du lanceur européen dans les années 1970, a développé sous l’initiative de R. Vogin une méthodologie appelée « arbre fonctionnel », afin de prendre en compte les exigences de sûreté de fonctionnement à toutes les étapes de la vie d’un produit, et cela à moindre coût (la SEP a été absorbée au sein du groupe SNECMA en 1997 et cette méthode n’est plus maintenue). La SEP a mis au point une méthode empruntée à la fois aux concepts de l’analyse de la valeur et à ceux de l’analyse et de la programmation structurées en informatique (top-down programming). Cette méthode présente l’ensemble de toutes les liaisons entre les fonctions, performances, contraintes et caractéristiques du matériel à l’aide d’une structure arborescente.
• Pourquoi ou dans quel but la fonction existe-elle ? • Comment la fonction d’ordre supérieur est-elle réalisée avec des fonctions d’ordre inférieur ? • Quand est-il nécessaire de disposer simultanément de plusieurs fonctions ? À partir de la liste de fonctions identifiées par une des méthodes d’analyse fonctionnelle, on identifie les fonctions qui s’appliquent à l’ensemble du produit et on les répertorie en marge du diagramme FAST.
RELIASEP® permet :
Le système est représenté à l’aide d’un diagramme (figure 2) comportant trois régions délimitées par des traits interrompus verticaux :
• la modélisation fonctionnelle pour : – clarifier le besoin : fonction principale,
• la partie centrale correspond au domaine fonctionnel couvert par le système ;
– construire le système qui répond à ce besoin : fonctions élémentaires, choix technologiques et composants (arbre fonctionnel et arbre matériel) ;
• dans la partie de gauche, on trouve les fonctions de services du système ;
• l’analyse des défaillances ;
• dans la partie de droite, on trouve les ressources extérieures au système ; ressources qui, si elles n’existaient pas, ne modifieraient pas la capacité du système à satisfaire les fonctions.
• l’amélioration en conséquence de la conception du système. L’analyse fonctionnelle se présente sous forme arborescente et est régie par une trilogie : capter, transformer et transmettre les flux d’énergie ou d’information. La décomposition prend en compte les matériels, introduits en tant que choix technologiques qui engendrent des fonctions de conception ou de contraintes. La première étape d’une analyse fonctionnelle passe nécessairement par l’analyse du besoin. Chaque fonction principale est décrite (sous forme technique, physique ou logique) par un verbe et un complément. À cette fonction, on associe les performances à réaliser et toutes les performances représentant le besoin à satisfaire. Une fonction s’exerce dans le cadre d’une mission qui peut comporter des phases différentes : on considère d’abord la phase principale puis les autres phases (contraintes) imposent des sousfonctions. La description fonctionnelle se présente sous une forme arborescente de manière à hiérarchiser les fonctions et les flux associés. La réalisation d’une fonction principale se construit à
Dans la partie centrale, on passe d’une fonction à une autre en se posant les questions : « Pourquoi ? », « Comment ? », « Quand ? ». Les fonctions sont ordonnées et représentées dans des « boîtes » rectangulaires. La construction d’un diagramme représenté sur la figure 2 commence en plaçant à gauche la fonction de service principale. Il est admis que toute fonction située à gauche d’une autre est de rang supérieur car elle répond à la question « Pourquoi ? », c’est-à-dire qu’elle va dans le sens de la fonction supérieure du produit. Le graphe se construit progressivement sur une ligne baptisée « chemin critique » (initialement appelé « chemin fondamental des fonctions »). Au-dessus ou en dessous d’une fonction, on place les fonctions qui se produisent dans le temps, ou en même temps (on se pose la question « Quand ? »).
S 8 251v2 – 4
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ ________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
La méthode introduit les concepts suivants : • les fonctions qui échangent et transforment les données ; • les données manipulées par les fonctions. La méthode SADT® met en œuvre deux représentations complémentaires : • les actigrammes, dans lesquels les fonctions transforment les données d’entrée en données de sortie, en respectant les contraintes imposées pour cette transformation et en utilisant certains moyens ou supports de l’activité ; en vecteur « poussée »
• les datagrammes, dans lesquels les données sont générées par des fonctions de génération, utilisées par des fonctions d’utilisation, sous la surveillance des activités de contrôle.
« poussée » à l’étage
SADT® définit une décomposition fonctionnelle hiérarchisée entre les différents niveaux de détail ; la décomposition à un niveau donné doit faire apparaître des fonctions ou des données qui sont à leur tour décomposées (approche descendante : top-down). Pour la validation, on doit s’assurer que les entrées d’une fonction d’un niveau donné se retrouvent dans sa décomposition, et celle-ci ne doit produire que les sorties de la fonction de niveau supérieur. L’accent est porté tout d’abord sur l’analyse et la spécification du « Quoi » (ce que le système doit faire) et ensuite sur les considérations sur le « Comment » (avec quels moyens on réalise le « Quoi »). SADT® utilise un seul type de boîte rectangulaire dont chacun des quatre côtés possède une signification particulière (figure 4).
Figure 3 – Arbre fonctionnel RELIASEP® et flux
base de sous-fonctions en répondant à la question : « Que faut-il faire pour… ? »
Un diagramme SADT®, pour chaque niveau hiérarchique, est constitué de trois à six boîtes pour que la représentation soit suffisamment détaillée sans être trop complexe. La figure 5 représente l’enchaînement des boîtes avec leurs relations entre les entrées, les sorties et les contrôles. Elle donne également un aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de niveau hiérarchique inférieur.
Exemple La fonction principale : « fournir un vecteur “poussée” à l’étage d’un moteur de fusée » fait appel aux sous-fonctions suivantes (figure 3) : • « recevoir une énergie potentielle (ergols) » ; • « transformer ces ergols en poussée » ; • « transmettre cette poussée à l’étage ». Cet exemple fait ressortir : • la captation d’un flux d’entrée ; • la transformation du flux ; • la transmission d’un flux de sortie. Ensuite, on construit un arbre superposé à l’arbre fonctionnel, représentant les « matériels » répondant aux fonctions. Une sousfonction conduit à un sous-matériel. Le mécanisme étant amorcé, la décomposition se poursuit pour atteindre le niveau des choix technologiques retenus. L’arborescence de la méthode RELIASEP® permet de mettre en évidence toutes les liaisons fonctionnelles entre les divers matériels et toutes les interfaces du système étudié : fonctions, contraintes et performances, matériels et caractéristiques correspondants.
Figure 4 – Boîte utilisée par SADT®
2.4 Méthode SADT® La méthode SADT® (structured analysis and design technique [3] est une méthode d’analyse et de conception des systèmes importants et complexes en facilitant la communication entre spécialistes de disciplines différentes. SADT est une méthode graphique établie par D.T. Ross vers 1974. Elle fournit des outils notamment pour : • concevoir d’une façon structurée des systèmes vastes ou complexes ; • communiquer des résultats de l’analyse et de la conception dans une notation claire et précise ; • contrôler l’exactitude, la cohérence et, de façon générale, la qualité de manière continue et systématique par des procédures particulières de critiques et d’approbations.
Figure 5 – Boîte utilisée par SADT® Diagramme type SADT® avec détail
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RW
S 8 251v2 – 5
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUQ SÛRETÉ DE FONCTIONNEMENT
_______________________________________________________________________________________________________
2.5 Méthode IDEF0
la norme IDEF0. Un verbe à l’infinitif définissant l’action et la valeur ajoutée de la fonction ainsi que son label Aijk d’identification doivent être obligatoirement fournis. Pour chaque niveau de décomposition, le formalisme d’IDEF0 utilise la notion de nœud. De nombreux logiciels sont actuellement disponibles pour construire des diagrammes suivant le standard IDEF0 (VISIO 2007 de Microsoft Office, Edraw flowchart d’Edraw, Corel iGrafx IDEF0 2007 de Corel).
IDEF0 est une méthode dérivée de SADT. En décembre 1993, le National institute of standards and technology (NIST) rend publique la norme de IDEF0 dans la publication Processing standards publication 183.
Q
IDEF0 est une méthode graphique particulièrement bien adaptée pour une description fonctionnelle. Elle est donc surtout utilisée en phase de spécification d’un système ou d’un logiciel. La description comprend une série de planches organisées de façon hiérarchique descendante. Chaque planche est la décomposition en sous-fonctions d’une fonction du système. La décomposition est arborescente et descend au niveau souhaité par l’utilisateur. IDEF0 peut être utilisée dans tous les cas où l’on souhaite analyser et décrire un système sous son aspect fonctionnel. La description peut tout aussi bien porter sur les fonctions remplies par un élément matériel que sur la description d’un processus. IDEF0 a une structure hiérarchique, grâce à laquelle même les modèles les plus complexes restent clairs, étant donné que les détails sont représentés à différents niveaux. IDEF0 est donc souvent utilisé pour représenter des processus. La figure 6 donne un exemple de modèles IDEF0. Les rectangles représentent les activités. Les flèches qui viennent de gauche sont des entrées (I pour inputs), celles qui partent vers la droite sont des sorties (O pour outputs). Les flèches qui viennent du haut sont des commandes et contrôles (C pour command), celles qui viennent du bas sont des mécanismes support, techniques, humains ou organisationnel (M pour mechanism). Ces quatre termes forment l’ICOM décrit dans
2.6 Méthode APTE® Au début des années 1960, G. Barbey, alors consultant en France au sein du cabinet KBWhite, crée la méthode APTE à partir des principes de l’analyse de la valeur. Depuis la création en 1964 du cabinet APTE, la méthode est un ensemble formalisé et cohérent de concepts logiques de raisonnement et d’outils méthodologiques. Elle devient en France une méthode pour l’optimisation des produits, mais aussi des procédés, des équipements et des organisations. Le cabinet-conseil APTE® [5] développe une méthode d’analyse fonctionnelle et d’analyse de la valeur APTE®, rassemblant un ensemble formalisé de concepts, de logiques de raisonnement et d’outils méthodologiques qui associe des approches : fonctionnelle, systémique, qualitative et économique, interdisciplinaire et participative. APTE® est utilisé pour la conception ou la reconception du produit. La méthode APTE® utilise un vocabulaire sensiblement diffèrent de celui recommandé par les normes AFNOR et européennes :
Figure 6 – Principe d’une décomposition fonctionnelle suivant IDEF0
S 8 251v2 – 6
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUR
Suˆrete´ de fonctionnement des syste`mes industriels complexes E´tude ope´rationnelle par
Q
Gilles ZWINGELSTEIN Inge´nieur de l’E´cole nationale supe´rieure d’e´lectrotechnique, d’e´lectronique, d’informatique et d’hydraulique et des te´le´communications de Toulouse (ENSEEIHT) Docteur-inge´nieur, Docteur e`s sciences Professeur des universite´s associe´
1.2 1.3
Donne´es de l’e´tude ope´rationnelle ............................................. Donne´es de fiabilite´ ........................................................................... 1.1.1 Parame`tres ............................................................................... 1.1.2 Estimateurs .............................................................................. 1.1.3 Me´thodes de calcul des estimateurs et intervalles de confiance ............................................................................. 1.1.4 Estimations des lois de probabilite´s ....................................... Banques de donne´es .......................................................................... Pre´cautions d’emploi des donne´es de retour d’expe´rience..............
2. 2.1 2.2 2.3
Conduite d’une e´tude ope´rationnelle ......................................... Management de la Suˆrete´ de fonctionnement.................................. Assurance Suˆrete´ de fonctionnement ............................................... Revue critique et audit .......................................................................
— — — —
4 4 4 5
3.
Conclusion........................................................................................
—
5
1. 1.1
S 8 252 – 2 — 2 — 2 — 2 — — — —
2 3 3 3
Pour en savoir plus.................................................................................. Doc. S 8 250v2
ans ce dossier, qui fait suite aux dossiers [S 8 250v2] et [S 8 251], nous examinons les aspects lie´s a` l’e´tude ope´rationnelle de suˆrete´ de fonctionnement et a` la conduite d’une e´tude pre´visonnelle ou ope´rationnelle. Les donne´es de suˆrete´ de fonctionnement sont essentielles pour toute e´tude pre´visionnelle et principalement quantitative. Elles sont de deux types : e´ve´nementielles et fiabilistes. Les donne´es e´ve´nementielles sont obtenues a` l’aide d’e´tudes statistiques des accidents et des expe´rimentations en grandeur nature. Elles concernent donc l’aspect « macroscopique » et donnent des estimations du comportement d’un syste`me entier dans certaines circonstances (grand nombre d’e´ve´nements indiscernables ou non quantifiables). Elles sont surtout utiles pour l’e´valuation des risques (probabilite´/gravite´ des conse´quences) et donc de la se´curite´. Par contre, les donne´es fiabilistes sont obtenues par des essais sur des composants de base des syste`mes dans des conditions donne´es (e´ve´nements discernables et quantifiables). Elles sont donc « microscopiques » et sont essentielles pour les me´thodes pre´dictives, de´crites dans le dossier [S 8 251], largement utilise´es. Dans les grandes entreprises performantes, l’utilisation de logiciels de GMAO (gestion de maintenance assiste´e par ordinateur) qui incluent des modules de collecte du retour d’expe´riences permet l’analyse de tous les parame`tres associe´s aux circonstances de l’apparition des de´faillances et des temps consacre´s a` la maintenance corrective ou pre´ventive. L’exploitation des syste`mes de recueil de donne´es de retour d’expe´rience sert a` e´valuer les performances des syste`mes ope´rationnels avec des indicateurs quantitatifs tels que le MTTF (Mean Time To Failure), les taux de de´faillance, les temps de re´paration et les temps de bon fonctionnement.
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY
D
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
RY
S 8 252 – 1
Q
SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS
Suˆrete´ de fonctionnement des syste`mes industriels complexes Exemples d’applications par
Q
Gilles ZWINGELSTEIN Inge´nieur de l’E´cole nationale supe´rieure d’e´lectrotechnique, d’e´lectronique, d’informatique et d’hydraulique et des te´le´communications de Toulouse (ENSEEIHT) Docteur-inge´nieur, Docteur e`s sciences Professeur des universite´s associe´
1. 1.1 1.2 1.3 1.4
1.5 2. 2.1 2.2
2.3 2.4 2.5 3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
Syste`me a` deux composants identiques en redondance active ................................................................................................. Pre´sentation du syste`me .................................................................... Utilisation des graphes de Markov .................................................... Calcul de la disponibilite´ asymptotique ............................................ Calcul de la fiabilite´ ............................................................................ 1.4.1 Cas ge´ne´ral .............................................................................. 1.4.2 Cas particulier .......................................................................... Calcul de la maintenabilite´ .................................................................
S 8 253 – 2 — 2 — 3 — 3 — 4 — 4 — 5 — 6
Syste`me de trois onduleurs avec voteur en 2/3........................ Pre´sentation du syste`me .................................................................... Calcul de la disponibilite´ instantane´e et de la disponibilite´ asymptotique ...................................................................................... 2.2.1 Disponibilite´ instantane´e ......................................................... 2.2.2 Disponibilite´ asymptotique ..................................................... 2.2.3 Influence du nombre de re´parateurs ...................................... Calcul de la fiabilite´ ............................................................................ Calcul de la maintenabilite´ ................................................................. Conclusions sur l’utilisation des chaıˆnes de Markov ........................ Arbre de de´faillance pour un syste`me de de´tection d’incendie ......................................................................................... Pre´sentation du syste`me .................................................................... Construction de trois arbres de de´faillance ...................................... Arbre re´duit de complexite´ minimale................................................ Application de la me´thode MOCUS pour la recherche de coupes minimales ........................................................................................... Calcul de la probabilite´ de l’e´ve`nement redoute´ .............................. Correspondance entre l’arbre de de´faillance et le bloc diagramme de fiabilite´ associe´ .............................................................................. Calcul des facteurs d’importance....................................................... Conclusion sur les arbres de de´faillance...........................................
— —
6 6
— — — — — — —
7 7 7 8 8 10 11
— — — —
11 11 11 12
— —
13 14
— — —
17 17 17
Pour en savoir plus.................................................................................. Doc. S 8 250v2
D
ans ce dossier, qui fait suite aux dossiers sur la suˆrete´ de fonctionnement des syste`mes industriels complexes :
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY
– [S 8 250v2] « Principaux concepts » ; – [S 8 251] « Analyse pre´visionnelle » ; – [S 8 252] « E´tude ope´rationnelle », nous examinons trois types d’applications : – un syste`me a` deux composants identiques en redondance active ; – un syste`me a` trois onduleurs avec voteur en 2/3 ; – un arbre de de´faillance pour un syste`me de de´tection d’incendie.
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
SQ
S 8 253 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS SUˆRETE´ DE FONCTIONNEMENT DES SYSTE`MES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1. Syste`me a` deux composants identiques en redondance active
Le MTTF se calcule facilement en e´valuant : ∞
MTTF = ∫ R (t )dt 0
et donne par inte´gration MTTF =
Q
Rappels de de´finition
La maintenabilite´ M(t) n’a pas de sens dans ce cas. En effet, si l’on imagine que ce syste`me est installe´ a` bord d’un vaisseau spatial inhabite´, il n’est pas possible d’envisager une re´paration.
La fiabilite´ R(t) est la probabilite´ que le syste`me fonctionne sans panne sur l’intervalle de temps [0, t]. La maintenabilite´ M(t) est la probabilite´ que le syste`me soit remis en service a` un instant t sachant qu’il est tombe´ en panne a` t = 0. La disponibilite´ A(t) est la probabilite´ que le syste`me ne soit pas de´faillant a` l’instant t.
& Cas de composants re´parables La disponibilite´ A(t) d’un composant unique re´parable se de´duit aise´ment de la formulation suivante : A (t + dt) = Probabilite´ (fonctionnement a` t et pas de de´faillance sur [t + dt]) + Probabilite´ (panne a` t et re´paration a` [t + dt ]).
1.1 Pre´sentation du syste`me
A (t + dt ) = A (t ) (1 − λdt ) + (1 − A (t )) µdt
Cet exemple a pour but d’illustrer les performances en termes de fiabilite´, disponibilite´ et maintenabilite´ d’un syste`me compose´ de deux composants place´s en paralle`le lorsque ces composants sont non re´parables ou re´parables. Il traite le cas d’une redondance active caracte´rise´e par le fonctionnement simultane´ d’un ensemble de deux composants mis en paralle`le remplissant les meˆmes fonctions ou missions, un seul de ceux-ci suffisant pour les re´aliser.
Si dt est petit, on obtient l’e´quation diffe´rentielle :
dA (t ) = µ − ( λ + µ ) A (t ) dt En supposant que la condition initiale A(0) = 1 est re´alise´e pour t = 0, il vient en inte´grant :
A (t ) =
Le diagramme de fiabilite´ est du type paralle`le comme le montre la figure 1 et le seul e´tat de panne est donne´ par les e´tats de pannes simultane´s de X et de Y soit X ∩ Y ou bien note´ par X • Y
de´faillants (repre´sente´s par X ∩ Y ou bien note´ par X • Y ).
1− A (t ) = Probabilité que tous les éléments
Pour les calculs, lors de l’hypothe`se de composants re´parables, on suppose que les taux de de´faillance (de´f) et de re´paration (re´p) sont les meˆmes pour X et Y et respectivement constants et e´gaux a` l et m.
soient indisponible es =
i =N
∏ (1 − Ai (t )) i =1
Dans les applications nume´riques et les trace´s de courbes avec des logiciels spe´cialise´s pour les calculs de R(t), A(t) et M(t) les valeurs nume´riques sont identiques et e´gales respectivement a`
D’ou` : i =N
A (t ) = 1 − ∏ (1 − Ai (t ))
λ = 0,0001 def / h et µ = 0,00005 rep / h
i =1
(la valeur prise pour le taux de re´paration n’est pas une valeur re´aliste et elle a e´te´ choisie pour obtenir des courbes a` usage pe´dagogique).
Pour le syste`me a` deux e´le´ments X et Y identiques, il vient :
µ λ − exp ( − ( λ + µ )t ) λ+ µ λ+ µ λ 1 − exp ( − ( λ + µ )t ) = λ+ µ
1 − AX (t ) = 1 − AY (t ) = 1 −
& Cas de composants non re´parables Dans ce cas, la fiabilite´ R(t) et la disponibilite´ A(t) coı¨ncident et ont respectivement pour expression :
(
)
D’ou` :
R (t ) = A (t ) = 1 − (1 − exp ( − λt ))
2
⎛ λ ⎞ A (t ) = 1 − ⎜ ⎝ λ + µ ⎟⎠
puisque l’on traite de deux composants en paralle`le.
2
(1 − exp (− ( λ + µ )t ))2
Le calcul de la disponibilite´ asymptotique A• s’obtient en e´valuant l’expression pre´ce´dente quand t tend vers l’infini, ce qui donne :
X S
A∞ =
Y
µ2 + 2 λµ
( λ + µ )2
L’application nume´rique conduit a` A• = 0,55555556.
Figure 1 – Syste`me redondant
S 8 253 – 2
µ λ + exp ( − ( λ + µ )t ) λ+ µ λ+ µ
En ge´ne´ral, pour un syste`me compose´ de N composants en paralle`le, avec autant de re´parateurs disponibles qu’il y a de composants de´faillants, l’indisponibilite´ globale s’exprime par :
En effet, pour que le flux partant de l’entre´e E ne puisse plus atteindre la sortie S, il faut que les deux composants X et Y soient
E
3 = 15 000 h. 2λ
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS
l
l
1 m
m l
0 m
Disponibilité A (t )
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SUˆRETE´ DE FONCTIONNEMENT DES SYSTE`MES INDUSTRIELS COMPLEXES
3
l 2
m
1 0,9 0,8 0,7 0,6 0,5 0
0,5
1
1,5
2
3
2,5
3,5
4
4,5
5
Temps (× 10 000 h) Figure 2 – Graphe de Markov
a simulation avec logiciel Disponibilité A (t )
1.2 Utilisation des graphes de Markov L’utilisation des graphes de Markov permet d’obtenir des re´sultats identiques et ce paragraphe illustre comment il est possible d’obtenir les valeurs de R(t), A(t) et M(t) en faisant des calculs formels ou bien en utilisant des logiciels spe´cialise´s commerciaux en suˆrete´ de fonctionnement.
⎡
⎢ ⎢
⎣⎢
0,6 0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
b calcul théorique Figure 3 – Comparaison des courbes de A(t) the´orique et simule´e avec le logiciel Relex
0 = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) 0 = + λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t ) 0 = + λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t ) 0 = + λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t ) λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
La re´solution est celle d’un syste`me homoge`ne : il faut utiliser obligatoirement la relation :
λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
P0 + P1 + P2 + P3 = 1
− 2λ
µ
µ
λ
− ( λ + µ)
0
λ
0
− ( λ + µ)
0
λ
−λ
⎢
0,7
Temps (× 10 000 h)
Les probabilite´s Pi(t) des quatre e´tats s’obtiennent avec les e´quations diffe´rentielles suivantes :
ou ⎡ dP0 (t ) ⎤ ⎢ dt ⎥ ⎢ dP (t ) ⎥ ⎢ 1 ⎥ ⎢ dt ⎥ = ⎢ dP2 (t ) ⎥ ⎢ dt ⎥ ⎢ dP (t ) ⎥ ⎢ 3 ⎥ ⎢⎣ dt ⎥⎦
0,8
0,5 0
Pour deux blocs redondants actifs en paralle`le, en notant 0 l’e´tat normal (0 e´le´ment en panne), 1 l’e´tat avec X en panne, 2 l’e´tat avec Y en panne, 3 l’e´tat ou` deux e´le´ments sont en panne et Pi(t) la probabilite´ d’eˆtre dans l’e´tat i, le graphe de Markov associe´ est repre´sente´ sur la figure 2.
dP0 (t ) =− dt dP1 (t ) =+ dt dP2 (t ) =+ dt ( ) dP3 t =+ dt
1 0,9
0
Cela revient a` re´soudre le syste`me : − λP0 + µP1 − λP0 + µP2 = 0
⎥⎢ ⎥ ⎤ ⎤⎡ P0 (t )
+ λP0 − µP1 − λP1 + µP3 = 0 + λP0 − µP2 − λP2 + µP3 = 0
+ µ ⎥ ⎢ P1 (t ) ⎥ ⎥⎢ + µ ⎢P2 (t )⎥ ⎥ ⎥
P0 + P1 + P2 + P3 = 1 Tous calculs faits, il vient :
− 2 µ P3 (t ) ⎦ ⎦⎣
( λ + µ) 1 λ P1 = µ ( λ + µ )2 1 λ P2 = µ ( λ + µ )2
En inte´grant le syste`me d’e´quations par la transforme´e de Laplace et en supposant la condition initiale P0(0) = 1 sachant que pour un syste`me redondant actif, la disponibilite´ instantane´e est donne´e par :
A (t ) = P0 (t ) + P1 (t ) + P2 (t )
A∞ =
⎛ λ ⎞ A (t ) = 1 − ⎜ 1 − exp ( − ( λ + µ )t ) ⎝ λ + µ ⎟⎠
(
2
Soit apre`s regroupement :
La re´solution donne le meˆme re´sultat que le calcul formel : 2
µ2
P0 =
)2
µ2 + 2 λµ
( λ + µ )2
La valeur est identique a` la valeur obtenue avec la me´thode pre´ce´dente. Pour des syste`mes beaucoup plus complexes, des logiciels spe´cialise´s (cf. [Doc. S 8 250v2]) permettent avec des algorithmes d’inte´grations nume´riques d’obtenir les solutions des e´quations diffe´rentielles donnant les probabilite´s de chacun des e´tats. La figure 3 donne les comparaisons des courbes obtenues avec le calcul the´orique avec celle obtenue avec un logiciel spe´cialise´. On constate qu’elles sont identiques (en ge´ne´ral la pre´cision est identique a` la sixie`me de´cimale pre`s).
1.3 Calcul de la disponibilite´ asymptotique Il est toujours important de connaıˆtre la valeur que prend la disponibilite´ quand le temps prend une valeur proche de la fin de vie du syste`me. Cette disponibilite´ asymptotique A• s’obtient en observant que les de´rive´es s’annulent quand le temps t tend vers l’infini.
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
SS
S 8 253 – 3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS
Disponibilité A(t)
SUˆRETE´ DE FONCTIONNEMENT DES SYSTE`MES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
l
0,7
m
3 l 2
Système réparable (2 réparateurs)
0,6
Figure 5 – Graphe de Markov associe´ au calcul de R(t)
0,5 0,4 0,3 Système non réparable
0,2 0,1 0
l
1 m l
0
0,8
Fiabilité R (t)
Q
1 0,9
1,2
1
0,8 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Temps (× 10 000 h)
0,6
Figure 4 – Allures de la disponibilite´ A(t) avec et sans re´paration
0,4
La figure 4 montre l’influence de la re´paration sur l’allure de la disponibilite´ A(t). Pour un syste`me re´parable, la valeur asymptotique est une constante alors que pour un syste`me non re´pare´ la disponibilite´ A(t) tend vers 0 (dans ce cas A(t) est identique a` R(t)).
0,2
0
0
0,5
1
1,5
2
1.4 Calcul de la fiabilite´
3
3,5 4 4,5 5 Temps (× 10 000 h)
Figure 6 – Allure de R(t) the´orique pour un syste`me re´parable (2 re´parateurs)
1.4.1 Cas ge´ne´ral
⎧ p + ( λ + µ) ⎪P0 (p ) = 2 p + p (3 λ + µ ) + 2 λ2 ⎪ ⎪⎪ λ ⎨P1 (p ) = 2 p + p (3 λ + µ ) + 2 λ2 ⎪ ⎪ λ ⎪P2 (p ) = 2 p + p (3 λ + µ ) + 2 λ2 ⎪⎩
En rappelant que la fiabilite´ R(t) est la probabilite´ que le syste`me fonctionne sans panne sur l’intervalle de temps [0-t] (donc sans eˆtre re´pare´ sur l’intervalle de temps [0-t]), il est ne´cessaire de tracer un autre graphe de Markov ou` l’on interdit la re´paration. Le graphe de Markov associe´ alors a` R(t) est repre´sente´ sur la figure 5. En notant 0 l’e´tat normal (0 e´le´ment en panne), 1 l’e´tat avec un e´le´ment en panne (X), 2 l’e´tat avec un e´le´ment en panne (Y), 3 l’e´tat ou` deux e´le´ments sont en panne et Pi (t) la probabilite´ d’eˆtre dans l’e´tat i, les probabilite´s Pi (t) s’obtiennent avec les e´quations diffe´rentielles suivantes :
La re´solution inverse par la transforme´e de Laplace donne :
1 ⎧ ( ) ⎪P0 t = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦ 1 2 ⎪ λ ⎪ ( ) ⎡exp (R1t ) − exp (R2t )⎤⎦ ⎨P1 t = R1 − R2 ⎣ ⎪ ⎪ λ ⎡exp (R1t ) − exp (R2t )⎤⎦ ⎪P2 (t ) = R1 − R2 ⎣ ⎩
⎧ dP0 (t ) ⎪ dt = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) ⎪ ⎪ dP1 (t ) () () () ⎪⎪ dt = + λP0 t − µP1 t − λP1 t ⎨ ⎪ dP2 (t ) = + λP (t ) − µP (t ) − λP (t ) 0 2 2 ⎪ dt ⎪ () ⎪ dP3 t = + λP (t ) − λP (t ) 2 1 ⎪⎩ dt
ou` R1 et R2 sont racines de l’e´quation de l’e´quation du second degre´ : p 2 + p (3 λ + µ ) + 2 λ2 = 0 La fiabilite´ R(t) est donc la somme P0(t) + P1(t) + P2(t), soit :
La probabilite´ P3 se de´duit de :
R (t ) =
P0 (t ) + P1 (t ) + P2 (t ) = 1
1 ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦ R1 − R2 ⎣ 1 +2
Le calcul de la fiabilite´ R(t) s’obtient en partant d’une condition initiale unitaire sur P0(t) puis en calculant :
λ ⎡exp (R1t ) − exp (R2t )⎤⎦ R1 − R2 ⎣
Finalement :
R (t ) = P0 (t ) + P1 (t ) + P2 (t )
R (t ) =
En prenant la transforme´e de Laplace p du syste`me d’e´quations, avec la condition initiale P0(0) = 0, il vient :
S 8 253 – 4
2,5
1 ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦ R1 − R2 ⎣ 1
La figure 6 montre l’allure de R(t) a` partir du calcul litte´ral pre´ce´dent.
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SUˆRETE´ DE FONCTIONNEMENT DES SYSTE`MES INDUSTRIELS COMPLEXES
Dans le cas des syste`mes complexes, on fait appel pour l’inte´gration des e´quations diffe´rentielles a` des logiciels spe´cialise´s (cf. [Doc. S 8 250v2]). La figure 7 montre la comparaison de la courbe the´orique avec celle obtenue avec le logiciel de simulation spe´cialise´ Relex. On peut constater que les re´sultats sont strictement identiques.
La re´solution par la transforme´e de Laplace donne, si la condition est unitaire pour P0(0) = 0 :
⎪⎧pP0 (p ) − 1 = − 2 λP0 (p ) + µP1 (p ) ⎨ ⎪⎩pP1 (p ) = + 2 λP0 (p ) − µP1 (p ) − λP1 (p ) Soit :
Pour montrer l’influence de la re´paration sur les performances d’un syste`me, la figure 8 montre les trace´s des courbes R(t) avec et sans re´parateur. On constate logiquement qu’avec la re´paration la fiabilite´ est le´ge`rement supe´rieure (compte tenu des valeurs nume´riques retenues). A` partir du calcul formel de R(t), on peut calculer facilement MMTF :
p+ µ+ λ ⎧ ⎪⎪P0 (p ) = p 2 + p (3 λ + µ ) + 2 λ2 ⎨ 2λ ⎪P1 (p ) = 2 p + p (3 λ + µ ) + 2 λ2 ⎪⎩ Puis apre`s transformation de Laplace inverse, on obtient :
∞
1 ⎧ ⎪P0 (t ) = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦ ⎪ 1 2 ⎨ ⎪P (t ) = 2 λ ⎡exp (R t ) − exp (R t )⎤ 1 2 ⎦ ⎪⎩ 1 R1 − R2 ⎣
MMTF = ∫ R (t ) dt 0
ce qui donne apre`s inte´gration :
MTTF =
1 ⎛ 1 1⎞ 3 µ (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2 R2 − R1 ⎜⎝ 1 1 2⎠
ou` R1 et R2 sont racines de l’e´quation du polynoˆme
p 2 + p (3 λ + µ ) + 2 λ2 = 0
L’application nume´rique donne MTTF = 17 500 h et l’utilisation d’un logiciel spe´cialise´ fournit une valeur e´gale a` 17 500 h.
La fiabilite´ R(t) est donc la somme P0(t) + P1(t), soit :
1.4.2 Cas particulier
R (t ) =
Si les deux blocs sont identiques, on peut simplifier le graphe de Markov en fusionnant les e´tats 1 et 2 du sche´ma pre´ce´dent car les blocs X et Y sont e´quivalents pour le fonctionnement d’un syste`me en redondance active. On obtient alors le graphe de la figure 9.
=
⎧ dP0 (t ) ⎪ dt = − 2 λP0 (t ) + µP1 (t ) ⎪ ⎪ dP1 (t ) = + 2 λP0 (t ) − µP1 (t ) − λP1 (t ) ⎨ ⎪ dt ⎪ dP2 (t ) = + λP1 (t ) ⎪ ⎩ dt
Fiabilité R (t)
1 ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦ R1 − R2 ⎣ 1 +2
Les trois e´quations diffe´rentielles associe´es deviennent alors :
Fiabilité R (t)
λ ⎡exp (R1t ) − exp (R2t )⎤⎦ R1 − R2 ⎣
1 ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦ R1 − R2 ⎣ 1
MTTF =
µ 1 ⎛ 1 1⎞ 3 (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2 R2 − R1 ⎜⎝ 1 ⎠ 1 2
1,2
1
0,8
1 0,8
0,6
0,6 0,4
Système parallèle réparable 0,4
0,2 0 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
0,2
Temps (× 10 000 h) a simulation avec un logiciel Fiabilité R (t)
Q
0
1
Système parallèle non réparable 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Temps (× 10 000 h)
0,8 0,6
Figure 8 – Allures de R(t) avec et sans re´parateur
0,4 0,2 0 0
2l 0,5
1
1,5
2
2,5
3
3,5 4 4,5 5 Temps (× 10 000 h)
0
b calcul théorique
l
1
2
m
Figure 7 – Allures de R(t) the´orique et simule´e
Figure 9 – Graphe de Markov a` trois e´tats
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
SU
S 8 253 – 5
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRUS SUˆRETE´ DE FONCTIONNEMENT DES SYSTE`MES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
de M(t) the´orique et simule´e avec un logiciel de´die´. On constate que les deux courbes sont strictement identiques et que la maintenabilite´ M(t) tend vers 1 quand t tend vers l’infini.
On obtient exactement les meˆmes re´sultats mais seulement avec trois e´tats au lieu de quatre comme dans le cas pre´ce´dent.
1.5 Calcul de la maintenabilite´
i =N
∏ (Probabilité (élément i i =1
non réparé)) =
2. Syste`me de trois onduleurs avec voteur en 2/3
i =N
∏ (1 − Mi (t )) i =1
2.1 Pre´sentation du syste`me
Pour le syste`me a` deux composants X et Y, il vient, avec :
MX (t ) = MY (t ) = 1 − exp ( − µt )
Un onduleur est un appareil permettant d’ame´liorer la qualite´ de l’e´nergie e´lectrique. Il se place en amont de re´cepteurs sensibles tels que les ordinateurs et leurs pe´riphe´riques. On se propose d’e´tudier les performances d’un ensemble d’onduleurs en redondance 2/3 conforme´ment au sche´ma de la figure 12.
D’ou` la valeur de M(t) :
(
)
M (t ) = 1 − (1 − Mx (t )) 1 − My (t ) = 1 − exp ( − 2 µt ) On peut de´duire MTTR a` partir des re´sultats pre´ce´dents par le calcul de l’inte´grale :
MTTR =
∞
∞
0
0
L’indisponibilite´ n’est plus la seule grandeur a` conside´rer : MTTF permet de connaıˆtre le temps moyen avant la premie`re coupure sur l’application. On est amene´ a` construire le graphe d’e´tats. Les trois onduleurs sont identiques, ce qui permet de grouper les e´tats correspondant au meˆme nombre d’onduleurs en panne. Les taux de de´faillance et de re´paration des onduleurs sont note´s l et m.
1
∫ (1 − M (t ))dt = ∫ (1 − exp (− 2µt ))dt = 2µ
Maintenabilité M (t)
Le calcul de M(t) peut e´galement s’obtenir en utilisant un graphe de Markov de´die´ comme le montre la figure 10 : Dans ce cas, le graphe est construit en partant de l’e´tat de panne 3 avec une condition initiale e´gale a` 1 : on suppose que les blocs X et Y sont identiques comme dans le cas pre´ce´dent (§ 1.4.2) et que l’on dispose de deux re´parateurs (alors le taux de re´paration est e´gal a` 2 m). Sachant que le syste`me est dans l’e´tat de panne totale 3, les e´quations de´crivant les e´tats deviennent alors :
1 0,8 0,6 0,4 0,2 0 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Temps (× 10 000 h)
⎧ dP0 (t ) ⎪ dt = − 2 λP0 (t ) + µP1 (t ) ⎪ ⎪ dP1 (t ) = + 2 λP0 (t ) − µP1 (t ) + 2 µP2 (t ) ⎨ ⎪ dt ⎪ dP2 (t ) = − 2 µP2 (t ) ⎪ ⎩ dt
a simulation avec un logiciel Maintenabilité M (t)
Q
La probabilite´ que le syste`me ne soit pas re´pare´ a` l’instant t est e´gale a` 1 - M(t) avec M(t) la maintenabilite´ ; elle est aussi e´gale a` la probabilite´ que tous les e´le´ments N ne soient pas re´pare´s :
L’e´tude de ce syste`me montre que seule la dernie`re e´quation est suffisante pour calculer P2(t). Sachant que la condition initiale est e´gale a` P2(0) = 1, on obtient :
1 0,8 0,6 0,4 0,2 0 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Temps (× 10 000 h)
P2 (t ) = exp ( − 2 µt )
b calcul théorique
D’ou` :
Figure 11 – Courbes the´orique et simule´e avec logiciel de´die´ de M(t)
M (t ) = 1 − P2 (t ) = 1 − exp ( − 2 µt ) Pour les syste`mes complexes, il faut faire appel a` des logiciels spe´cialise´s (cf. [Doc. S 8 250v2]) et la figure 11 montre les courbes
Onduleur 1
Onduleur 2
Onduleur 3
2l
0
1 m
2
Voteur 2/3
2m
Figure 12 – Syste`me industriel avec trois onduleurs avec vote en 2/3
Figure 10 – Graphe de Markov pour le calcul de la maintenabilite´ M(t)
S 8 253 – 6
Toute reproduction sans autorisation du Centre franc¸ais d’exploitation du droit de copie est strictement interdite. – © Editions T.I.
SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT
Blocs-diagrammes de fiabilité par
Jean-Pierre SIGNORET Spécialiste en sûreté de fonctionnement Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE puis de l’AFNOR Chef de projet de la norme IEC 61078 « Diagrammes de fiabilité » Membre de TOTAL professeurs associés 64160 SEDZERE, France
1.
Considérations générales sur les diagrammes de fiabilité ......
2.
Hypothèses principales et bases mathématiques des BDF......
—
3
3. 3.1 3.2 3.3 3.4
Analogie électrique et notions de chemin de fermeture et de coupe minimale.......................................................................... Analogie électrique.................................................................................. Chemins de fermeture............................................................................. Chemins de coupure ou coupes ............................................................. Analyse qualitative par les coupes minimales ......................................
— — — — —
6 6 6 6 7
4. 4.1 4.2 4.3 4.4 4.5 4.6
Calculs probabilistes statiques ........................................................ Considérations générales sur les calculs probabilistes........................ Calcul de probabilité des structures séries et parallèles ...................... Formule de Sylvester-Poincaré............................................................... Analyse semi-quantitative et facteur d’importance de Vesley-Fussel. Traitement des grands systèmes ........................................................... Notion de système non cohérent ...........................................................
— — — — — — —
8 8 9 9 10 11 13
5. 5.1 5.2 5.3 5.4
Calculs probabilistes en fonction du temps................................. Considérations générales sur l’introduction du temps ........................ Disponibilité d’un système modélisé par BDF ...................................... Fréquence de défaillance d’un système modélisé par BDF ................. Calculs de fiabilité d’un système modélisé par BDF.............................
— — — — —
13 13 14 16 18
6.
Prise en compte des incertitudes....................................................
—
20
7. 7.1 7.2 7.3
Prise en compte des dépendances.................................................. Considérations générales sur les dépendances.................................... Dépendances entre quelques blocs ....................................................... BDF dynamiques et réseaux de Petri pilotés par BDF ..........................
— — — —
21 21 21 22
8.
Conclusion .............................................................................................
—
23
9.
Glossaire .................................................................................................
—
24
Pour en savoir plus ........................................................................................
SE 4 074 - 3
Doc. SE 4 074
our discuter ou s’éclaircir les idées, quel ingénieur n’a pas, un jour ou l’autre, représenté rapidement un système en traçant des rectangles et des lignes pour en visualiser les composants et les relations entre lesdits composants ? Cette approche populaire et intuitive remonte à la nuit des temps et la littérature ne semble pas avoir retenu le nom de son inventeur. Lorsqu’elle est utilisée pour modéliser les relations logiques existant entre les états de bon fonctionnement des composants (appelés « blocs ») d’un système et l’état de bon fonctionnement du système lui-même, elle prend le nom de bloc-diagramme de fiabilité (BDF) ou de diagramme de fiabilité tout court. Les BDF font partie de la panoplie des méthodes couramment mise en œuvre dans le domaine de la sûreté de fonctionnement (arbres de défaillances,
p。イオエゥッョ@Z@ヲ←カイゥ・イ@RPQW
P
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
SW
SE 4 074 – 1
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________
Q
arbres d’événements, graphes de Markov, réseaux de Petri, etc.). Tout comme les arbres de défaillances (ADD), les BDF font partie des approches statiques et booléennes car elles modélisent des structures logiques indépendantes du temps. De ce fait, elles s’intéressent à des composants/systèmes à deux états (par exemple : marche et panne, bon fonctionnement/défaillant). ADD et BDF partagent les mêmes mathématiques sous-jacentes mais, alors que l’ADD décrit la défaillance d’un système, le BDF, lui, décrit son bon fonctionnement. Ainsi, un BDF peut toujours être traduit en ADD et réciproquement : les deux approches sont dites duales. Du point de vue qualitatif, les BDF sont à la base du concept fondamental de coupe minimale : ensemble de blocs en panne nécessaires et suffisants pour entraîner la panne du système. Du point de vue quantitatif, les BDF permettent, essentiellement, de calculer la probabilité de bon fonctionnement du système en fonction des probabilités de bon fonctionnement des blocs lorsque celles-ci sont constantes. Cependant, lorsque les blocs évoluent indépendamment les uns des autres au cours du temps, il est possible de calculer la probabilité de bon fonctionnement du système à un instant t (c’est-à-dire sa disponibilité à cet instant t) en fonction des probabilités de bon fonctionnement des blocs à cet instant t (c’est-à-dire des disponibilités des blocs). Il en est de même pour la fréquence de défaillance du système à un instant t. Paradoxalement, au vu du nom de l’approche, le calcul de la fiabilité du système (probabilité de bon fonctionnement sur une durée [0, t]) n’est pas possible en général à partir des fiabilités de ses blocs. Cependant, dans des cas particuliers, de bonnes approximations peuvent être obtenues. Pendant longtemps, l’utilisation des BDF comme celle des ADD a été limitée par l’explosion combinatoire du nombre de coupes minimales et la durée des calculs évoluant exponentiellement avec le nombre de blocs/événements répétés plusieurs fois dans le même BDF/ADD. Ces limitations ont sauté depuis la mise en œuvre des diagrammes de décision binaires (DDB) qui permettent de traiter très rapidement des BDF ou des ADD relatifs à des systèmes industriels de grande taille (c’est-à-dire de plusieurs centaines de composants). En outre, les DDB ont ouvert la voie aux calculs de probabilités conditionnelles et de facteurs d’importance, à la propagation des incertitudes sur les données par simulation de Monte Carlo et au traitement des systèmes dits « non cohérents » difficiles à traiter avec les méthodes antérieures. D’autre part, les BDF peuvent être utilisés pour combiner des processus de Markov (processus de Markov pilotés par BDF) ou des réseaux de Petri stochastiques (réseaux de Petri pilotés par BDF). Dans ce cas, le comportement des blocs est modélisé par processus de Markov (respectivement réseaux de Petri) individuels et indépendants les uns des autres et la logique de combinaison est fournie par le BDF. Lorsque les blocs ne sont pas indépendants, les BDF peuvent être étendus aux BDF dynamiques (BDFD), mais le traitement analytique doit alors être abandonné au profit de la simulation de Monte Carlo. Les réseaux de Petri pilotés par BDF peuvent être utilisés à cet effet. Cet article se propose de décrire la symbolique graphique des BDF, d’explorer les divers aspects évoqués ci-dessus et de donner des exemples pédagogiques d’utilisation.
SE 4 074 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT ____________________________________________________________________________________________________ BLOCS-DIAGRAMMES DE FIABILITÉ
1. Considérations générales sur les diagrammes de fiabilité
Notations et symboles Symbole
Unité
X
Description Entité (bloc ou système) concernée États de marche, panne de l’entité X Variable d’état de l’entité X
x
Le bloc-diagramme de fiabilité (BDF), aussi appelé diagramme de fiabilité, est défini de la manière suivante par la norme internationale IEC 61078 qui lui est consacrée : représentation graphique logique d’un système montrant dans quelle mesure les états de bon fonctionnement de ses sous-entités (représentées par des blocs) et leurs combinaisons affectent l’état de bon fonctionnement du système.
Chemin minimal de fermeture, chemin minimal de coupure
Cfi , Cci
Chemin de coupure contenant la panne de Bj λX(t )
h–1
Taux de défaillance de l’entité X
λV,X(t )
h–1
Taux de défaillance de Vesely de l’entité X
NX(t )
Nota : cette définition diffère de celle donnée par le vocabulaire électrotechnique international IEV 192 qui parle de fiabilité au lieu d’état de bon fonctionnement. Cette distinction est importante car, dans le cas général et au sens mathématique du terme, le diagramme de fiabilité ne permet pas de calculer la fiabilité du système en fonction des fiabilités de ses composants, mais seulement sa disponibilité en fonction des disponibilités de ses composants. Comme il s’agit d’une source récurrente d’erreur, cela est expliqué en détail dans le cours de l’article.
Nombre de défaillances de X sur [0, t]
w X(t)
h–1
Intensité inconditionnelle de défaillance de l’entité X (fréquence de défaillance entre t et t + dt)
fX(t )
h–1
Densité de défaillance de l’entité X
Pr(.)
Probabilité
AX(t )
Disponibilité instantanée de l’entité X
La figure 1 présente les structures de base utilisées pour représenter les BDF : – la structure série modélise un système S1 qui fonctionne si les blocs A et B fonctionnent ; – la structure parallèle modélise un système S2 qui fonctionne si les blocs C ou D fonctionnent ; – la structure vote majoritaire (avec r = 2 et m = 3) modélise un système S3 qui fonctionne si au moins deux blocs parmi trois fonctionnent.
Disponibilité asymptotique et disponibilité moyenne de l’entité X RX(t )
Fiabilité de l’entité X
Les approches par BDF et par arbres de défaillances (voir IEC 61025, [SE 4 050]) sont des méthodes duales : alors que le BDF modélise la bonne marche d’un système, l’arbre de défaillances modélise comment il tombe en panne. La figure 2 donne les équivalences permettant de passer du BDF à l’arbre de défaillances équivalent et vice-versa. Il en résulte que les développements mathématiques présentés dans cet article sont aussi pertinents pour les arbres de défaillances. Il en est de même pour les arbres d’événements qui font également partie des approches booléennes.
Sigles Acronyme
Description
ADD
Arbre de défaillances ; Fault tree (FT)
BDF
Bloc-diagramme de fiabilité ; Reliability block diagram (RBD)
DDB
Diagramme de décision binaire ; Binary decision diagram (BDD)
GRIF
Logiciel graphique interactif pour les calculs de fiabilité ; Graphical interface for reliability forecasting
MRT
Temps moyen de réparation ; Mean repairing time. Il inclut les délais administratifs, l’attente des réparateurs et le temps de réparation proprement dit
MTTR
Temps moyen de restauration ; Mean time to restore. Il inclut le délai de détection de la panne en plus du MRT
PFDavg
Probabilité de défaillance à la demande moyenne ; Average probability of failure on demand
PFH
Fréquence moyenne de défaillance ; average failure frequency (probability of failure on demand)
RdP
Réseau de Petri ; Petri nets (PN)
TTF
Temps avant défaillance ; Time to fail
MTTF
Temps moyen avant défaillance ; Mean time to fail
À l’aide des structures logiques très simples ci-dessus, il est possible, par exemple, de modéliser un système instrumenté de sécurité typique comme celui illustré sur la figure 3. Trois capteurs, A, B et C, mesurent la pression du réservoir et ils envoient leurs mesures à un automate, D, qui, lorsque deux capteurs sur les trois indiquent un dépassement de seuil, commande aux deux vannes de sécurité, E et F, de se fermer afin de couper l’alimentation du réservoir. Il est à remarquer que la structure logique du BDF est différente de l’architecture matérielle du système modélisé. En effet, les deux vannes en série du point de vue physique sont en fait redondantes et donc en parallèle du point de vue fonctionnel.
2. Hypothèses principales et bases mathématiques des BDF Du point de vue mathématique, un BDF est un graphe orienté acyclique, c’est-à-dire qu’il a une entrée et une sortie et ne comporte ni boucles ni rétroactions. Il est basé sur les hypothèses fondamentales suivantes : 1) le système a seulement deux états (par exemple : marche/panne) ;
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
SY
SE 4 074 – 3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________
Blocs
E
C
B
A
Q
2/3
F
D
Système S1 Structure série
G
S2
Structure parallèle
S3
Structure vote majoritaire r/m
Figure 1 – Principales structures logiques graphiques relatives aux BDF
S1
S2
S3
Porte OU
Porte ET
Porte k/m (k = m – r + 1)
2/3
•
+ Défaillance du bloc A
B
C
Structure série
D
E
Structure parallèle
F
G
Structure vote majoritaire r/m
Figure 2 – Équivalence entre les structures logiques des BDF et les portes logiques des arbres de défaillances
Solveur logique
A
Capteurs de pression
B
D
C
Capteurs de pression
Réservoir
Solveur logique
A
Vannes de sécurité
E
Alimentation B
E
2/3
D
C
F
F
Vannes de sécurité Figure 3 – Modélisation par BDF d’un système instrumenté de sécurité typique
Carlo (voir IEC 62551, [SE 4 072] [10]) ou les BDF dynamiques (IEC 61078) peuvent résoudre le problème. Selon les hypothèses n° 1 et n° 2, l’état d’une entité X (système ou bloc) peut être caractérisé par une variable x à deux valeurs, {« X en marche », « X en panne »}. Ces deux valeurs sont complémentaires car si X n’est pas en marche, c’est qu’elle est en panne et réciproquement. La variable x possède donc toutes les caractéristiques d’une variable booléenne (voir encadré) et si l’événement « X en marche » est dénoté par X, alors l’événement complémentaire « X en panne » est dénoté par . C’est pourquoi les BDF font partie des approches dites booléennes. Ils modélisent graphiquement la fonction logique sous-jacente reliant l’état de bon fonctionnement du système aux états de bon fonctionnement de ses blocs.
2) les blocs ont seulement deux états (par exemple : marche/panne) ; 3) le BDF représente la fonction logique reliant l’état de marche du système aux états de marche de ses blocs ; 4) les blocs sont indépendants les uns des autres. Nota : le point 4) implique, en particulier que les blocs se comportent indépendamment les uns des autres au cours du temps.
Les deux états des blocs ou du système peuvent aussi être désignés par succès/échec, bon fonctionnement/défaillant, disponible/indisponible, etc. Lorsque les hypothèses ci-dessus sont remplies, les calculs peuvent être menés par voie analytique. Lorsque l’hypothèse n° 4 n’est pas tenue, les approches markoviennes [SE 4 071], les réseaux de Petri et la simulation de Monte
SE 4 074 – 4
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT ____________________________________________________________________________________________________ BLOCS-DIAGRAMMES DE FIABILITÉ
Algèbre de Boole et fonctions logiques
Algèbre de Boole et fonctions logiques
L’algèbre de Boole est constitué de l’ensemble B = {vrai, faux} aussi noté {1, 0} ou dans l’application qui nous concerne.
Enfin, il est nécessaire de citer les lois de De Morgan qui permettent d’inverser les formules :
Une variable booléenne x est une variable qui prend l’une des deux valeurs ci-dessus. Ainsi, dans cet article, l’événement X = « X en marche » est équivalent à x = 1 et l’événement = « X en panne » est équivalent à x = 0.
Avec les bases mathématiques ci-dessus, il est possible de pratiquer toutes les manipulations mathématiques nécessaires à la mise en œuvre des BDF ainsi, d’ailleurs, que des arbres de défaillances. Une fonction logique est une fonction de variables booléennes qui, elle-même, a des valeurs booléennes. Considérons, par exemple, la figure 1 : – s1 = f (a, b) = a · b représente la structure série. En effet, si on remplace a et b par leurs valeurs {1, 0} on trouve que s1 est égale à 1 si a et b sont égales à 1 et que s1 est égale à 0 dans toutes les autres configurations des valeurs de a et b ; – s2 = g (c, d ) = c + d représente la structure parallèle. En effet, si on remplace a et b par leurs valeurs {1, 0} on trouve que s1 est égale à 0 si a et b sont égales à 0 et que s1 est égale à 1 dans toutes les autres configurations des valeurs de a et b. Si on applique les lois de De Morgan à s1 et s2 on obtient :
L’algèbre de Boole comporte trois opérateurs de base : – négation, NON : (NON a) est vraie si a est faux et réciproquement. Cela se note aussi par NOT a, , ¬a, ~a, – a, a′ selon les auteurs et les applications. Mais, attention, il ne s’agit pas d’un opérateur de soustraction ; – conjonction, ET : (a ET b) est vrai si et seulement si a est vrai et b est vrai, les variables a et b étant booléennes et cela se note aussi par a AND b, a ∩ b, a · b selon les auteurs et les applications ; – disjonction (non exclusive), OU : (a OU b) est vrai si et seulement si a est vrai ou b est vrai, les variables a et b étant booléennes. Cela se note aussi par a OR b, a ∪ b, a + b selon les auteurs et les applications. Il est à noter qu’il existe aussi une disjonction exclusive qui n’est vraie que si a ou b sont vrais mais pas simultanément. Le OU a les mêmes propriétés que l’addition de l’algèbre ordinaire et le ET celles de la multiplication. C’est pourquoi, par commodité, on les représente aussi habituellement par les signes « + » et « · ». En particulier le OU et le ET sont commutatifs, associatifs et le OU est distributif par rapport au ET et réciproquement :
Cela permet d’illustrer la dualité existant entre (OU, +) et (ET, ·). C’est cette propriété qui permet de passer d’un BDF (modélisant le bon état de marche du système en fonction du bon état de marche des blocs) à un arbre de défaillances (modélisant l’état de panne du système en fonction de l’état de panne de ses composants).
– commutativité : À partir des éléments développés dans l’encadré, il est possible de généraliser les formules logiques correspondant aux structures séries et parallèles : – structure comportant n blocs A1, A2, ... An en série :
– associativité :
(1) – structure comportant m blocs C1, C2, ... Cm en parallèle : – distributivité :
(2) À partir des mêmes éléments, la formule logique représentant la structure 2/3 se met sous la forme s3 = h (e, f, g) = e · f + e · g + g · f où s3 est égal à 1 si au moins deux sur trois des variables e, f et g sont égales à 1. On remarque que dans cette formule, chacun des blocs est répété deux fois. Cela pose des problèmes de calcul qui sont explicités dans le cours de l’article.
Ce qui distingue l’algèbre de Boole de l’algèbre ordinaire, ce sont les propriétés de base suivantes : – idempotence :
L’application des lois de De Morgan puis le développement de la formule obtenue conduisent à :
– absorption : D’où :
a + b ⋅ a = a et a ⋅ b ⋅ a = a ⋅ b – complémentarité :
Donc cette structure est symétrique ; elle est en panne quand au moins deux blocs sur trois sont en panne. La figure 4 montre la modélisation par BDF d’un petit système de pompage et la transformation en formule logique en utilisant les conventions ci-dessus du BDF correspondant.
– éléments neutres :
Le système est formé d’une vanne V1 en série avec deux trains redondants (fonctions en parallèle) : le train n° 1 qui comporte deux pompes à 50 % de capacité et le train n° 2 qui comporte une pompe à 100 % de capacité. À noter que pour perdre le train n° 1,
– involution :
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TQ
SE 4 074 – 5
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ seTPWT BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________
P1 (50 %)
Train 1
P1
P2
V2 Train 1
P2 (50 %)
Q
V1
V2
Train 2 P3
V1
P3 (100 %)
V3
V3
Train 2
s = v1 · (p3 · v3 + p1 · p2 · v2)
Figure 4 – Exemple de transformation de BDF en formule logique
il suffit de perdre l’une ou l’autre des pompes P1 ou P2 et il en résulte que ces deux pompes en parallèle du point de vue physique sont en série du point de vue fonctionnel logique. La formule logique sous-jacente au BDF permet de représenter l’état, s, du système en fonction des états, v1 , v2 , v3 , p1 , p2 et p3 des différents composants. La correspondance entre les liaisons graphiques du BDF et les opérateurs « · » (ET) et « + » (OU) est indiquée par des doubles flèches.
Interrupteur fermé
A
A
3. Analogie électrique et notions de chemin de fermeture et de coupe minimale
a=1
a=0
A = bloc A en marche
A = bloc A en panne
Figure 5 – Représentation des états d’un bloc sous forme d’interrupteur
Source électrique
3.1 Analogie électrique Les variables à deux états évoquées ci-dessus font penser aux deux états d’un interrupteur électrique qui peut être fermé ou ouvert. D’où l’idée de représenter les blocs par des interrupteurs. Cela est illustré sur la figure 5 où un bloc en bon état de marche est modélisé par un interrupteur fermé et un bloc en panne par un interrupteur ouvert. Le BDF représentant un système devient ainsi un circuit électrique. Lorsque ce circuit est fermé, cela signifie que le système fonctionne (s = 1) et quand le circuit est ouvert qu’il est en panne (s = 0). C’est ce qui est illustré sur la figure 6.
Ampoule allumée
Circuit fermé
P1
P2
P3
V3
V2
V1
Figure 6 – BDF et analogie électrique
Plus généralement, l’état de marche S d’un système S peut être représenté par l’union de ses chemins de fermeture :
3.2 Chemins de fermeture
(3)
L’intérêt de cette représentation est de trouver comment le système représenté par le BDF est en marche, et donc chercher les configurations d’interrupteurs maintenant ce circuit électrique fermé. Ces configurations sont appelées chemins de fermeture (tie sets) ou chemins de succès du système. La figure 7 représente deux de ces chemins : – le chemin Cf2 est dit « minimal » car tous les blocs en bon état de marche sont nécessaires et suffisants pour que le système soit en marche. Toute défaillance supplémentaire entraîne l’ouverture du circuit (donc la défaillance du système) ; – le chemin Cf1 n’est pas minimal car l’état de marche des blocs P2 ou V2 n’est pas nécessaire : que les blocs P2 ou V2 soient en marche ou en panne ne change rien à la situation. Le chemin Cf1 est inclus (cf. encadré) dans le chemin Cf3 = V1 · P3 · V3 qui lui, est minimal.
SE 4 074 – 6
Interrupteur ouvert
Il en résulte qu’un BDF peut être remplacé par un BDF équivalent où les chemins de fermeture sont mis en parallèle comme cela est représenté sur la droite de la figure 9.
3.3 Chemins de coupure ou coupes L’intérêt de cette représentation est aussi de trouver comment le système représenté par le BDF est en panne en recherchant les configurations d’interrupteurs coupant ce circuit électrique. Ces configurations sont appelées chemins de coupure ou, en bref, coupes.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TR
r←ヲ←イ・ョ」・@iョエ・イョ・エ beYXQT
Sécuritéencryogénie par
Q
ÉricERCOLANI Ingénieur,responsableduLaboratoirecalculsetconceptioncryogéniques Servicedesbassestempératures,Institutnanosciencesetcryogénie,CEAGrenoble
PhilippeGULLY Ingénieur-chercheur Servicedesbassestempératures,Institutnanosciencesetcryogénie,CEAGrenoble
Jean-MarcPONCET Ingénieur,adjointauchefduServicedesbassestempératures Servicedesbassestempératures,Institutnanosciencesetcryogénie,CEAGrenoble
ChantalMEURIS Ingénieur-chercheur Servicedesaccélérateurs,decryogénieetdemagnétisme,Institutderecherchesurleslois fondamentalesdel’Univers,CEASaclay et
LaurentMIQUET Ingénieursécurité Institutnanosciencesetcryogénie,CEAGrenoble
1. 1.1 1.2 1.3 1.4
Sécuritéconventionnelleencryogénieetenexploitation........ Stockage, manipulation, manutention .................................................... Explosion ................................................................................................... Brûlures...................................................................................................... Anoxie ........................................................................................................
2. 2.1 2.2 2.3
Entréesdechaleuraccidentelles ...................................................... Objectif ....................................................................................................... Systèmes à protéger................................................................................. Situations accidentelles et entrées de chaleur .......................................
— — — —
5 5 5 5
3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
Méthodededimensionnementdel’organedesécurité ............. Présentation............................................................................................... Définitions.................................................................................................. Débit de décharge de l’organe protégeant un réservoir ou un circuit .. Débit de décharge de l’organe protégeant une enceinte à vide ........... Enthalpie massique et pression en amont de l’organe de sécurité ...... Pression en aval de l’organe de sécurité ................................................ Section minimale de passage de l’organe de sécurité .......................... Recommandations ....................................................................................
— — — — — — — — —
9 9 10 11 14 14 15 15 16
4.
Conclusion...............................................................................................
—
17
Pourensavoirplus ........................................................................................
BE 9 814 - 3 — 3 — 3 — 4 — 4
Doc. BE 9 814
esdangersdelacryogéniesontprincipalementissusdelaprésencedefluides àl’étatliquideetàbassetempératuredansdesréservoirsoudestuyauteries. Ces systèmes contiennent une quantité de fluide qui, réchauffée àtempérature ambiante, occupe un volume très supérieur. À titre d’exemple un seul litre d’héliumliquideoccupeenviron780Là300Ketpressionatmosphérique. Cesdangers,telsquel’anoxie,l’explosionetlesbrûlures,existentenexploitation dans différentes situations (stockage et manipulation de fluides cryogéniques). Les situations accidentelles qui conduisent à des entrées de chaleuraccidentellesprovoquentunemontéeenpressionsouventtrèsrapide des appareils constituant le système. Ces systèmes doivent être équipés d’un organe de sécurité(soupape,clapetoudisquederupture)afindelimiterlasurpression. En l’absence d’organes de sécurité, l’appareil sous pression peut
p。イオエゥッョ@Z@。カイゥャ@RPQU
L
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TS
BE9814–1
r←ヲ←イ・ョ」・@iョエ・イョ・エ beYXQT
SÉCURITÉ EN CRYOGÉNIE ____________________________________________________________________________________________________________
Q
atteindredesniveauxdepressionconsidérablesdeplusieurscentainesdebars (parexemple480barpourunréservoird’héliumoud’azoteàmoitiéremplide liquide),aveclesconséquencesd’explosionquel’onpeutimaginer. Ilestdoncabsolumentindispensabledeprendreencomptelasécuritédèsla conception de tout système cryogénique. Cet article présente les éléments de sécurité dans les phases d’exploitation, mais aussi en situations accidentelles pourtoutsystèmecryogéniquemettantenœuvreunfluideàbassetempérature. Danslemêmecadre,sereporterauxarticles: – [BE9811]Propriétésdesmatériauxàbassetempérature; – [BE9812]Transfertdechaleuràtrèsbassetempérature; – [BE9816]Liquéfactiondel’héliumetréfrigérationàl’hélium; – [BE9817]Refroidissementàtempérature>1K.
Notationsetsymboles Symbole
Unité
A
m2
Section minimale de passage de l’organe de sécurité
cP
J · K–1 · kg–1
Capacité thermique massique à pression constante
G
kg · s–1 · m–2
Vitesse massique du fluide (densité de flux de masse)
h
J · kg–1
hconv
W · m–2 · K–1
h ℓv
J·
kg–1
Kd
–
ɺ m
kg · s–1
N
%
P
Pa
Notationsetsymboles(suite)
Définition
Enthalpie massique du fluide cryogénique
V
m · s–1
Vitesse du fluide
∆h
J · kg–1
Variation d’enthalpie
∆P
Pa
α
–
Chute de pression ou perte de charge Dilatation volumique à pression constante
φ
W · m–2
Densité de flux de chaleur
ρ
kg · m–3
Masse volumique du fluide cryogénique Indices
Coefficient de transfert de chaleur Chaleur latente de vaporisation du fluide
0
Conditions dans l’appareil pour le dimensionnement
1
Amont immédiat de l’organe de sécurité
Coefficient de décharge
2
Aval immédiat de l’organe de sécurité
Débit-masse de décharge
Aval de la brèche
Niveau de liquide dans un réservoir
aval breche
Pression absolue
breche
Brèche entre l’enceinte à vide et l’appareil sous pression
Patm
Pa
Pression atmosphérique
Pc
Pa
Pression critique du fluide cryogénique
Pext
Pa
Pression absolue à l’extérieur de l’appareil à pression
dechint
PS
Pa
Pression relative maximale admissible de l’appareil à pression
Partie de la ligne de décharge placée à l’intérieur de l’enceinte à vide
dechext
Pseuil
Pa
Pression absolue d’éclatement d’un disque de rupture ou de début d’ouverture d’une soupape ou d’un clapet
Partie de la ligne de décharge placée à l’extérieur de l’enceinte à vide
col dech
echap H2
Col de la tuyère Ligne de décharge (tuyauterie reliant l’appareil sous pression à l’organe de sécurité)
Échappement Hydrogène
i
Instant initial
ℓ
Liquide
Pt
Pa
Pression de tarage de l’organe de sécurité (pression relative)
Qɺ
W
Puissance thermique
N2
Azote
s
J · K–1 · kg–1
Entropie massique du fluide cryogénique
Ne
Néon
res
Réservoir ou circuit
S
m2
t
s
Temps
sat
Saturation
T
K
Température
Tc
sat0
K
Température critique du fluide cryogénique
son
Saturation à la pression P0 Condition sonique
v
m3
BE9814−2
·
kg–1
Surface d’échange
s
Volume massique du fluide cryogénique
Entrée de la ligne de décharge (sortie du système)
T
Température constante
v
Vapeur
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ beYXQT _____________________________________________________________________________________________________________ SÉCURITÉ EN CRYOGÉNIE
1. Sécuritéconventionnelle encryogénie etenexploitation
Disque de rupture (6 bar)
Limiteur de pression réglable
Indicateur de niveau transparent
Dès lors que des fluides cryogéniques sont présents, des règles de sécurité sont à respecter. En effet, ces fluides sont considérés comme dangereux, qu’ils soient sous forme liquide ou gazeuse (1 L d’hélium liquide occupe 780 L de gaz à pression et température ambiantes). Le rapport du volume de gaz évaporé et réchauffé à température et pression ambiantes au volume de liquide est du même ordre de grandeur pour les autres fluides cryogéniques.
Vanne d’évent / trop-plein
Manomètre
Vanne de remplissage soutirage
Soupage de sécurité (3,9 bar)
Un risque est la résultante du danger en fonction de son exposition. Le cas idéal est donc d’éliminer la source de danger ou de la réduire à son strict minimum. Il est aussi possible de limiter l’exposition du personnel, mais cela n’est pas toujours envisageable. Dans ce cas, le préventeur doit mettre en place les barrières collectives puis individuelles pour éviter toutes sortes d’accidents lors des différentes étapes de ce qui peut être appelé « la durée de vie du fluide », c’est-à-dire lors de son transfert, de son utilisation, de sa manutention ou de la gestion de son stockage.
Clapet de sécurité Poignée de manutention
Vanne de pressurisation
Réservoir
LN2 / 200 L T = 77 K P = 1 bar abs
Aujourd’hui, il n’existe pas de réglementation française particulière relative à la prévention des risques lors de l’utilisation de ces fluides, malgré leur dangerosité. Néanmoins, quelques entreprises ou fournisseurs proposent des formations pour sensibiliser leur personnel aux risques liés à l’utilisation et au stockage de ces fluides. Lors de ces formations, il est rappelé qu’un cryogéniste doit être capable : – de déterminer la conformité d’un ensemble cryogénique ; – d’inventorier les risques associés à l’utilisation des fluides ; – de prévenir ces risques par une analyse et une mise en œuvre adéquate ; – d’adapter les mesures de prévention et de sécurité ; – d’avoir les bons réflexes en cas d’anomalies avérées.
Sonde de niveau
Superisolant
Embase à roulettes
Figure1–Schémad’unréservoird’azoteliquidedelaboratoire
En l’absence de réglementation spécifique, des règles de sécurité exigées dans le code du travail sont appliquées. Elles portent sur : – l’identification et la caractérisation des risques : brûlure, explosion, anoxie... ; – l’évaluation du risque d’anoxie ; – le port des équipements de protection individuelle (EPI) ; – les procédures de mise en œuvre ; – le transport ; – la manutention ; – les contrôles périodiques ; – la formation du personnel.
blement au déversement du fluide cryogénique sur l’opérateur, occasionnant des brûlures. Lors de la manutention avec un outillage, il est préférable d’arrimer les stockages ou les appareils sur ces matériels. Les réservoirs cryogéniques doivent être transportés seuls dans les ascenseurs. Concernant le stockage des fluides cryogéniques, l’utilisation des récipients à double paroi dans laquelle un vide inférieur à environ 10–4 mbar est réalisé, est recommandée. Cela permet d’éviter les phénomènes de convection et de conduction gazeuse au sein de la double paroi qui pourraient réchauffer le fluide et réduire son autonomie. Cette précaution permet d’éviter la formation de givre sur la paroi extérieure pouvant conduire à du ruissellement et à l’extrême entraîner des brûlures par contact.
Pour ce faire, les utilisateurs s’appuient sur les directives européennes 97/23/CE, 89/392/CE, 91/368/CE et 2008/68/CE, les normes françaises NF EN 13458 et NF EN 1251, et une disposition nationale, l’arrêté du 21 septembre 1978 (cf. [doc. BE 9 814]).
1.2 Explosion L’un des principaux risques à considérer dans toute situation est celui de l’explosion. C’est le risque principal. Pour réduire ce risque, les réservoirs à double paroi doivent satisfaire les exigences de l’article 2 de l’arrêté du 21 septembre 1978 du journal officiel. Cet article cite :
1.1 Stockage,manipulation,manutention Les fluides cryogéniques sont considérés comme « matières dangereuses » en termes de réglementation du transport. Les recommandations de l’ADR (european Agreement concerning the international carriage of Dangerous goods by Road) relatives au transport sur route sont préconisées (directive européenne 2008/68/CE). L’identification de réservoirs cryogéniques se fait par l’intermédiaire du pictogramme représenté sur la figure 3a.
– au § 2 : « Le récipient intérieur doit être garanti contre un excès de pression par une soupapedesûretéaumoins. Celle-ci doit laisser le gaz s’écouler dès que la pression atteint la pression maximale en service et doit suffire à empêcher la pression de dépasser cette limite de plus de 10 % » ; – au § 3 : « L’enveloppe extérieure de l’enceinte sous vide doit porter un dispositif de sécurité limitant à 0,5 bar la pression effective dans cette enceinte à la suite d’une fuite éventuelle du récipient intérieur », soit 0,5 bar au-dessus de la pression atmosphérique dans la plupart des cas.
Lors de toute manipulation de réservoirs cryogéniques (figure 1), il est recommandé de pousser le réservoir, plutôt que de le tirer, afin d’éviter son renversement. Celui-ci conduirait inévita-
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TU
BE9814–3
Q
r←ヲ←イ・ョ」・@iョエ・イョ・エ beYXQT SÉCURITÉ EN CRYOGÉNIE ____________________________________________________________________________________________________________
a réservoir defluide cryogénique
Q
b équipementsdeprotection individuelle
c risque d’anoxie
Figure3–Pictogrammesutiliséspourlasécuritéencryogénie
Les pictogrammes relatifs à ces protections sont représentés sur la figure 3b. Les mains ne doivent jamais être plongées dans des fluides cryogéniques, même munies de gants. En cas de nécessité, les postes de travail doivent être aménagés et équipés des outils nécessaires (panières, pinces isolantes...). Le contact entre la peau et une pièce froide peut conduire à un collage.
1.4 Anoxie Le rejet direct à l’atmosphère d’un fluide cryogénique peut diminuer le taux volumique d’oxygène dans l’air (21 % en situation normale) et conduire à un risque d’anoxie. Cette réduction du taux d’oxygène provoque différents symptômes sur l’homme pouvant aller jusqu’à la perte de connaissance et même la mort. Aussi, toujours à cause du rapport entre le volume occupé par le liquide et celui occupé par le gaz à température ambiante, le taux d’oxygène peut baisser très rapidement, en particulier dans les milieux confinés.
Figure2–Photographied’unréservoirdefluidecryogénique àcolouvert
Cet arrêté est aussi applicable à toutes les canalisations ou circuits dans lesquels une circulation de fluide cryogénique est prévue et où le fluide peut se trouver emprisonné. En particulier, dans le cas de circuits cryogéniques équipés de vannes de segmentation, chaque segment doit être individuellement protégé.
Le Canada et les États-Unis donnent des tableaux des effets sur l’homme en fonction du taux d’oxygène. Il n’existe pas d’équivalent en Europe. Les valeurs qui suivent sont donc données à titre indicatif, en se basant sur des retours d’expériences d’accident ou d’incident et des procédures dans certaines entreprises.
Pour les réservoirs à col ouvert (figure 2) qui sont nécessaires par exemple pour des transferts par gravité dans les cryoconservateurs, l’organe de sécurité prévu pour l’enceinte intérieure peut être l’orifice d’entrée, si et seulement si le réservoir est utilisé avec son bouchon d’origine (col lisse et non étanche). L’orifice d’entrée est suffisamment large pour ne pas s’obstruer par formation d’un glaçon due à la solidification de la vapeur d’eau présente dans l’air.
Les différents seuilsdetauxvolumiquesd’oxygènedansl’air sont les suivants : – 21 % : taux normal ; – taux inférieur à 19 % (seuil 1) : le local ou le bâtiment qui doit être muni d’un détecteur d’anoxie (oxygénomètre) passe en situation d’alerte-situation limite. Il n’y a pas de risque pour l’individu, mais des mesures de précautions sont à mettre en place (consigne de sécurité à tenir en cas d’alarme, recherche de fuite, aération des locaux...). Ce seuil est le seuil de réglage des détecteurs à mettre en place ; – taux inférieur à 17 % (seuil 2) : la situation est dégradée avec des débuts d’effets physiologiques : fatigue, maux de tête, nausées, vomissement. Ce niveau d’oxygène interdit la présence de personnel dans ces locaux ; – taux inférieur à 10 % : la situation devient potentiellement létale et entraîne la perte de conscience et l’arrêt respiratoire.
Concernant les réservoirs pour des transferts sous pression (figure 1), l’application stricte de l’arrêté du 21 septembre 1978 doit également être respectée. À noter que la pressurisation de ces réservoirs doit s’effectuer à l’aide du même gaz que celui contenu et liquéfié dans le réservoir, afin d’éviter une solidification pouvant entraîner une surpression accidentelle par bouchage. L’autopressurisation existant sur certains réservoirs reste un procédé réduisant ce risque.
1.3 Brûlures La température des fluides cryogéniques peut entraîner, en cas de mauvaises utilisations, des brûlures thermiques froides dites cryogéniques. Il existe deux sortes de brûlures, celles par projection et celles par contact : – les brûlures par projection sont dues, soit à des renversements de liquide, soit à des éclaboussures lors de trempe d’objets dans l’azote par exemple ; – les brûlures par contact se produisent lors du toucher d’un objet refroidi à bassetempérature.
Une étude, s’appuyant sur des calculs prenant en compte les dimensions du local, son taux de renouvellement d’air neuf (ventilation naturelle ou mécanique), les quantités stockées et le débit de fuite, est nécessaire lorsqu’il y a présence de fluides cryogéniques dans un local. Ces calculs peuvent amener à installer des détecteurs d’anoxie (oxygénomètres) sur lesquels il est recommandé d’asservir les seuils 1 et 2 à des reports sonores ou visuels (en fonction de l’ambiance de travail) à l’intérieur des locaux concernés (pour indiquer le risque d’anoxie aux personnes dans le local) mais aussi à l’extérieur de ces mêmes locaux (pour éviter l’entrée d’autres personnes lors d’incidents).
Pour s’affranchir de ce danger, le port des équipements de protection individuelle est obligatoire : – lunettes de sécurité (ou écran facial) pour éviter les projections éventuelles dans les yeux ; – gants (en cuir) et vêtements couvrants ; – chaussures fermées.
BE9814–4
En cas de risque d’anoxie avéré, seules les personnes équipées d’appareil respiratoire isolant peuvent pénétrer dans ces locaux. Une attention particulière doit être apportée pour toutes les zones en sous-sol, fosses ou fonds de réservoir, car la masse
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
TV
Sécurité des systèmes industriels (Réf. Internet 42830)
R
1– Sureté de fonctionnement des systèmes industriels 2– Sécurité des machines
Réf. Internet
Intégration de la sécurité à la conception des machines
SE2075
49
Équipements de travail : sécurité des systèmes programmés
S8270
53
page
3– Méthodes de maintenance
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires TW
R
TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seRPWU
Intégration de la sécurité à la conception des machines par
R
Philippe LUBINEAU Responsable ligne de produit Sécurité et Environnement CETIM
1. 1.1 1.2 1.3 1.4
Rappel sur le contexte réglementaire ................................................ D’où vient la directive ?............................................................................... Qu’est-ce qu’une machine ?........................................................................ Comment apposer le marquage CE ? ........................................................ La normalisation et la présomption de conformité ..................................
2. 2.1 2.2
La documentation .................................................................................... La notice d’instructions ............................................................................... Le dossier technique....................................................................................
— — —
4 4 4
3. 3.1 3.2 3.3
Exigences essentielles de sécurité : mode d’emploi ..................... L’analyse des risques................................................................................... Le traitement des risques............................................................................ Synthèse des exigences essentielles de sécurité .....................................
— — — —
4 5 6 6
Pour en savoir plus ...........................................................................................
SE 2 075 - 2 — 2 — 2 — 3 — 3
Doc. SE 2 075
n France, la sécurité des machines a fait depuis longtemps l’objet de différentes réglementations. On peut noter, pour mémoire, les décrets de juillet 1980, qui réglementaient la conception de la plupart des machines-outils. Dans le cadre de la construction européenne, une harmonisation des différentes réglementations nationales en vigueur s’est opérée pour aboutir à la rédaction de la directive « Machines » en 1989. Cet article à pour objectif de présenter les conditions de mise en œuvre de la directive « Machines » qui réglemente la sécurité des machines neuves. Cette directive européenne fixe des objectifs de portée générale, mais ne fait état d’aucune solution technique, ni de données chiffrées, et en outre s’applique à des matériels très divers. La directive « Machines » constitue une forme d’actualisation et de généralisation de l’ancienne réglementation française. Elle reprend notamment le concept clé d’intégration de la sécurité dès la conception. Les normes de sécurité constituent des spécifications techniques qui précisent ces objectifs. Ce sont des outils utiles mais qui restent d’application volontaire. Le constructeur a donc le choix de la stratégie de prévention à adopter. Cette liberté dans le choix des moyens à mettre en œuvre peut paraître inconfortable et être la source d’interprétations diverses concernant la conformité d’un matériel. Néanmoins, c’est une souplesse nécessaire qui permet à chaque constructeur de déterminer la solution technique la mieux adaptée à son contexte technico-économique. Un catalogue de solutions précises n’aurait pu tenir compte de la diversité des situations industrielles réelles, ni du progrès technique. Appliquée avec discernement, comme le réclame la directive, la sécurité doit rester une démarche de bon sens. Elle doit s’intégrer dans le processus de conception. Les meilleures solutions de sécurité sont celles qui se fondent, qui s’intègrent dans la machine en se faisant oublier.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPT
E
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur
TY
SE 2 075 − 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seRPWU
INTÉGRATION DE LA SÉCURITÉ À LA CONCEPTION DES MACHINES ______________________________________________________________________________
1. Rappel sur le contexte réglementaire
etc., réunis de façon solidaire en vue d’une application définie, notamment pour la transformation, le traitement, le déplacement et le conditionnement d’un matériau. » On peut noter quatre points essentiels qui caractérisent une machine au sens réglementaire : • Une machine est un ensemble de pièces : schématiquement, la directive (sauf cas particuliers cités au paragraphe « autres produits concernés ») ne s’intéresse pas aux composants ou aux sous-ensembles, mais aux équipements. • Les pièces doivent être liées entre elles : pour les machines vendues en « kit » la notice devra préciser dans sa notice les instructions de montage. • Une des pièces doit être mobile : c’est là certainement la caractéristique essentielle d’une machine. Les structures mécaniques, qui ne présentent aucune pièce en mouvement, sont donc exclues (échafaudage, rayonnages...). • Une machine est conçue en vue d’une application définie : ceci implique qu’une fois installés, les équipements concernés doivent être aptes à assurer leur fonction. La différence est parfois ténue. Ainsi un moteur électrique seul n’a pas d’application définie. Il faut l’intégrer avec d’autres composants (compresseur, génératrice de courant...). En revanche, un moteur de hors-bord est prêt à l’emploi car il suffit pour l’utilisateur final de l’assembler sur le bateau.
1.1 D’où vient la directive ? Dès les origines de la Communauté européenne, l’article 100 du traité de Rome prévoyait l’adoption de directives visant à rapprocher les législations des États membres quant aux aspects ayant une incidence directe sur la libre circulation des marchandises.
R
Ce système conduisit, dans un premier temps, à un certain nombre de directives très spécifiques qui décrivaient, pour un nombre de matériels limités, des exigences techniques très détaillées (structure de protection contre les chutes ou le retournement, chariots automoteurs, marquage des câbles et chaînes...). Leur application se heurta rapidement à différents obstacles, notamment la nécessité de multiplier les textes pour couvrir différents matériels, et le manque de souplesse des exigences techniques très précises, pour prendre en compte l’évolution rapide du progrès technique. La Communauté européenne, relevant ces difficultés, proposa une « nouvelle approche ». Désormais, les directives s’adressent à des gammes de produits beaucoup plus larges. Elles fixent uniquement des exigences essentielles, c’est-à-dire des objectifs, et non plus des spécifications détaillées. Les produits mis sur le marché doivent les respecter, et bénéficient de ce fait de la libre circulation.
En résumé, tout équipement présentant un mécanisme (élément mobile) et qui a une application définie est susceptible d’être une machine au sens de la directive, sans distinction de son utilisateur final (usage professionnel ou non professionnel). Le champ d’application est donc beaucoup plus large que ce que l’on peut entendre par machine dans le vocabulaire courant (tours, fraiseuses, presses...). Un ensemble de machines associées de manière solidaire dans leur fonctionnement est considéré comme une machine.
La directive « Machines » s’applique aux machines neuves mises sur le marché européen. Par machine neuve, il faut comprendre les machines mises pour la première fois sur le marché européen. Son but est d’assurer un haut niveau de sécurité à ces machines et de permettre leur libre circulation. La directive « Machines » est en fait la somme de quatre directives (directive de base 89/392/CEE modifiée par les trois directives 91/368/CEE, 93/44/CEE et 93/68/CEE). Tous ces textes ont été compilés sous le numéro 98/37/CE. Cette directive est devenue d’application obligatoire en janvier 1995, après une période transitoire de deux ans.
Exemples de machines : tour, fraiseuse, pelle hydraulique, moissonneuse-batteuse, rampe ajustable de chargement, éolienne, transpalette motorisé... Tous ces équipements possèdent au moins un élément mobile (broche, bras articulé, dispositif de coupe, bande transporteuse, pales...) et une application définie (usinage par enlèvement de copeaux, opération de terrassement, récolte de céréales, manutention, transformation de l’énergie du vent pour une application donnée...).
Elle a été transposée en droit français et le Code du travail a été modifié en conséquence. En résumé, le constructeur de machines retrouvera les même exigences de la directive dans le Code du travail. Il convient, enfin, de garder présent à l’esprit que cette directive est prise pour permettre l’élaboration d’un marché unique. Par conséquent, les exigences imposées par un État pour l’utilisation d’une machine ou d’un composant de sécurité ne peuvent pas impliquer de modifications sur les produits par rapport à la directive « Machines ».
■ Les exclusions La directive exclut les machines mues directement par la force humaine (massicot manuel, transpalette non motorisé), sauf s’il s’agit d’un appareil de levage (palan à bras). Mais attention, une machine qui utilise l’énergie humaine accumulée (ressort, gravité, pression) lui reste soumise. La maîtrise du mouvement par l’opérateur peut constituer un critère pertinent : est-ce que le mouvement s’arrête si l’opérateur stoppe son action ?
La directive « Machines » (et donc le Code du travail) renvoie à la normalisation le soin de fournir aux industriels les spécifications techniques dont ils ont besoin. L’application de ces normes reste facultative, mais leur respect donne une présomption de conformité à la directive. Pour la France, elle constitue une forme d’actualisation et de généralisation de la réglementation antérieure (les décrets de juillet 1980) par : — l’extension du champ d’application ; — le recours systématique à la normalisation ; — le développement de la procédure de contrôle préalable ; — le renforcement des obligations formelles par l’élaboration d’un dossier technique ; — la prise en compte de nouvelles exigences de sécurité.
■ Les matériels électriques Une machine présentant des risques d’origine principalement électrique est couverte exclusivement par la directive « Basse tension » (73/23/CEE modifiée). Il y a quelques années, la question du cumul d’application des directives « Machines » et « Basse tension » était relativement controversée dans la mesure où les risques électriques sont traités par les deux textes. Aujourd’hui cette problématique est dépassée, car en pratique un équipement répondant aux exigences essentielles de nature électrique de la directive « Machines » répond également aux exigences essentielles de la directive « Basse tension ». D’autre part, le fait qu’une machine soit soumise exclusivement à la directive « Basse tension » ne dispense pas, bien sûr, de traiter les risques d’origine non électrique éventuellement présents. L’origine de cette distinction est la volonté de ne pas remettre en cause les acquis de la directive « Basse tension », qui autorise la libre circulation et garantit un haut niveau de sécurité de toute une catégorie de matériels, incluant des machines, depuis le milieu des années 1970.
Son effet le plus important réside dans la prise en compte des risques liés à la maintenance et à la mise en œuvre des installations automatisées.
1.2 Qu’est-ce qu’une machine ? Selon la directive, est une machine, « un ensemble de pièces ou d’organes liés entre eux dont au moins un est mobile et, le cas échéant, d’actionneurs, de circuits de commande et de puissance,
SE 2 075 − 2
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur
UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seRPWU
______________________________________________________________________________ INTÉGRATION DE LA SÉCURITÉ À LA CONCEPTION DES MACHINES
un organisme notifié (et un seul) pour son type de machine, mais pas obligatoirement dans son pays.
■ Les autres produits concernés La directive s’applique aussi aux « équipements interchangeables », tels les accessoires assemblés par l’opérateur à une machine pour en modifier la fonction (par exemple un dispositif de levage monté sur un tracteur), même s’ils ne comprennent pas leur propre source d’énergie. Elle concerne aussi les « composants de sécurité » mis sur le marché isolément pour assurer une fonction de sécurité, et dont la défaillance mettrait en cause la santé et la sécurité des personnes (par exemple des barrages immatériels, des boîtiers de commande bimanuelle).
Ce que l’on nomme « examen CE de type » regroupe en fait trois procédures parmi lesquelles le constructeur peut choisir, selon qu’il a respecté ou non les normes harmonisées ad hoc : — premier cas : l’organisme se borne à accuser réception du dossier sans l’examiner ; — second cas : l’organisme vérifie si les normes ont été correctement appliquées, et fournit au constructeur une attestation d’adéquation du dossier technique ; — troisième cas : si les normes harmonisées n’ont pas été respectées, l’organisme procède à un examen CE de type ; il examine un modèle de la machine et le dossier technique, et fournit au constructeur une attestation CE de type. Les machines concernées sont listées à l’annexe IV de la directive (machines à bois, presses...). Seules les machines répondant aux définitions liées dans cette annexe sont visées.
La directive « Machines » réglemente également quelques composants qui ne peuvent évidemment prétendre répondre à la définition générale d’une machine, ni même d’un équipement interchangeable ou d’un composant de sécurité. Il s’agit des accessoires de levage, des accessoires d’élingage, ainsi que des arbres à cardan et de leurs protecteurs. ■ Le cas des sous-ensembles Un équipement qui ne peut pas fonctionner de manière indépendante, et qui est destiné à être intégré dans un ensemble plus complexe, n’est pas visé par la directive. Son fabricant reste soumis à l’obligation générale de sécurité et d’information, mais ces produits n’ont pas à porter le marquage CE au titre de la directive « Machines » (d’autres directives peuvent néanmoins s’appliquer à ce sous-ensemble) et doivent être accompagnés d’une déclaration d’incorporation précisant explicitement « que le sous-ensemble désigné ne pourra être mis en service avant que la machine dans laquelle il sera incorporé ne soit déclarée conforme aux dispositions de la directive Machines ».
En France, les principales sociétés de contrôle techniques sont également des organismes notifiés (Socotec, Norisko...) de même que différents organismes (INRS, Ineris, Cetim...). ■ Les ensembles complexes Les fabricants de machines et leurs donneurs d’ordres peuvent être amenés à intervenir dans le cadre de projets de conception et de fabrication d’ensembles automatisés complexes. Au titre de la directive « Machines », « est également considéré comme « machine » un ensemble de machines qui, afin de concourir à un même résultat, sont disposées et commandées de manière à être solidaires dans leur fonctionnement ». Sauf cas particulier, ces ensembles complexes sont donc soumis à la directive « Machines ». Généralement, ces projets peuvent mettre en relation plusieurs partenaires : les fournisseurs des divers équipements, le donneur d’ordre, des sociétés d’ingénierie.
1.3 Comment apposer le marquage CE ? C’est le fabricant de la machine, ou son mandataire établi dans la Communauté, qui est responsable de la procédure de certification. Le marquage CE n’est en aucun cas un label délivré par une autorité spécifique ou une instance agréée. Le fabricant appose le marquage CE sur la machine à l’endroit qu’il souhaite, sous réserve que ce marquage soit visible. Généralement, ce marquage est apposé sur la plaque constructeur. Il doit respecter la caligraphie suivante avec une taille minimale de 5 mm :
Il est important pour le bon déroulement du projet de déterminer rapidement qui est le maître d’œuvre de la sécurité, c’est-à-dire celui qui sera le fabricant au sens réglementaire. En effet, cela peut être une société d’ingénierie, un des fournisseurs d’équipements ou l’utilisateur final lui-même. Ce maître d’œuvre de la sécurité sera alors responsable du respect de la procédure de certification relative à l’ensemble. Généralement, un ensemble complexe est soumis à la procédure d’autocertifcation. Il peut cependant intégrer des machines elles-mêmes soumises à l’examen CE de type.
Le « fabricant » est celui qui assume la responsabilité de la conception et de la fabrication d’un produit visé par la directive en vue de sa mise sur le marché communautaire en son nom ; à défaut, toute personne qui met la machine sur le marché prend toute la responsabilité de la conformité.
Il est clair que le maître d’œuvre de la sécurité doit maîtriser la totalité du projet. Il est très important aussi qu’il se préoccupe de la sécurité dès la définition des commandes, car il est généralement difficile de résoudre ces questions après coup. D’autre part, un ensemble complexe peut intégrer des machines qui seront conformes à la directive, et marquées CE par les fournisseurs, mais également des sous-ensembles qui eux, en revanche, ne sont pas par définition conformes à la directive. C’est pourquoi il lui est fortement conseillé de fixer à ses fournisseurs, via les contrats, la communication des informations qui lui sont indispensables pour évaluer les risques, satisfaire aux exigences essentielles de santé et de sécurité et constituer sa propre documentation technique.
L’autocertification est la procédure qui s’applique dans le cas général. L’examen CE de type est le cas particulier. ■ L’autocertification Pour pouvoir procéder à l’apposition du marquage CE, le constructeur doit avoir : — conçu et construit sa machine en respectant les exigences essentielles de sécurité incluant la rédaction de la notice d’instructions ; — élaboré le dossier technique ; — établi la déclaration CE de conformité.
1.4 La normalisation et la présomption de conformité
Aucune obligation de recourir à une tierce partie n’est imposée.
En matière de sécurité des machines, la directive, avec son renvoi aux normes, donne à la normalisation une place décisive comme facteur d’harmonisation technique. Au niveau européen, les organismes de normalisation sont le CEN et le Cenelec. En France, la normalisation est du ressort de l’Afnor dont dépendent des bureaux de normalisation comme l’UNM (Union de normalisation de la mécanique).
■ L’examen CE de type Comme pour l’autocertification, le constructeur doit respecter les exigences essentielles de sécurité et élaborer une documentation technique mais, avant de pouvoir signer sa déclaration de conformité, il doit faire appel à un organisme notifié. Le fabricant choisit
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur
UQ
SE 2 075 − 3
R
R
UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRWP
Équipements de travail : sécurité des systèmes programmés par
Philippe CHARPENTIER
R
Docteur-ingénieur Chef du laboratoire Sûreté des systèmes automatisés, Institut national de recherche et de sécurité (INRS) et
Joseph CICCOTELLI Docteur ès sciences Adjoint au chef du département Ingénierie des équipements de travail, INRS
1. 1.1 1.2 1.3
Sécurité intégrée à la conception des machines........................ Notion de machine ...................................................................................... Principe de sécurité intégrée ...................................................................... Caractéristiques du dispositif normatif......................................................
2.
Notions fondamentales et principes généraux de conception sûre .................................................................................. De l’entité dangereuse à l’accident : approche normative du processus accidentel.............................................................................. Processus d’appréciation des risques........................................................ Évaluation et réduction du risque ..............................................................
S 8 270 - 2 — 2 — 2 — 3 —
5
— — —
5 5 6
3.1 3.2 3.3 3.4
Prescriptions applicables à la sécurité des systèmes de commande de machines................................................................... Généralités ................................................................................................... Prescription selon la norme EN 954-1/ISO 13849-1 .................................. Prescription selon la norme CEI 61508 ...................................................... Prescription selon la norme CEI 62061 ......................................................
— — — — —
9 9 9 13 15
4.
Conclusion .................................................................................................
—
16
2.1 2.2 2.3 3.
Pour en savoir plus ...........................................................................................
Doc. S 8 270
e document s’appuie largement sur l’état de la normalisation qui désormais couvre en grande partie le domaine de la sécurité des systèmes programmés dans les équipements de travail, et au sein de laquelle les points de vue, méthodes et outils sont discutés et partagés. On rappelle tout d’abord les principales caractéristiques de l’approche normative mise en place dans le cadre de la sécurité intégrée à la conception d’une machine. Les normes applicables à la sécurité des systèmes de commande des machines sont ensuite décrites : la norme EN 954-1 dédiée aux parties relatives à la sécurité des systèmes de commande de machines, la norme CEI 61508, qui traite de la sécurité fonctionnelle des systèmes de commande à technologies électriques, électroniques, électroniques programmables et la norme CEI 62061, déclinaison de la norme CEI 61508 pour la sécurité fonctionnelle des systèmes de commande de machines. Les évolutions à venir de ces référentiels sont exposées. Le dossier se conclut sur une proposition argumentée de l’INRS pour la détermination du référentiel à utiliser, en fonction des choix de conception, pour la réalisation des fonctions de sécurité d’une machine.
p。イオエゥッョ@Z@ェオゥョ@RPPV
C
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. ©Techniques de l’Ingénieur
US
S 8 270 − 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRWP
ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS
__________________________________________________________________________
1. Sécurité intégrée à la conception des machines
R
Signalisation, affichage, avertissements
Parallèlement à l’évolution du progrès technique et de l’industrialisation, la prévention des risques professionnels [1] [2] s’est considérablement développée tout au long du XXe siècle [3]. La normalisation associée à ce domaine relève d’un programme intitulé « Hygiène et sécurité au travail » ; celui-ci couvre un large champ puisqu’il intéresse la quasi-totalité des équipements utilisés au travail dans les diverses branches professionnelles de la vie économique. De fait, les travaux normatifs font appel à des domaines scientifiques et techniques multiples – sciences pour l’ingénieur, sciences humaines et sociales, sciences de la vie. Nous limitons ici notre propos au domaine technique des machines et systèmes de production automatisés.
Système de commande
Appareils de commande
Mémorisation et traitement logique ou analogique des informations
Capteurs Dispositifs de protection
Préactionneurs (contacteurs, distributeurs, variateurs de vitesse...)
Protecteurs Actionneurs (moteurs, vérins)
Les notions fondamentales, les principes généraux et les méthodologies découlant du concept de « sécurité intégrée » ont fait l’objet depuis les années 1980 de multiples débats, réflexions et études. Ces travaux, issus d’un large consensus européen, ont abouti à l’adoption de nombreux textes qui non seulement ne peuvent être ignorés, mais qui doivent avantageusement guider les développements des concepteurs.
Partie opérative Éléments de transmission Éléments de travail
Nous rappelons ici ces notions et principes généraux de prévention dans leur contexte normatif.
Interface opérateur-machine Figure 1 – Représentation schématique d’une machine (d’après EN ISO 12100-1)
1.1 Notion de machine
1.2 Principe de sécurité intégrée
Selon son métier, sa formation de base, son expérience, le terme « machine » n’a pas le même sens pour chaque individu (ou groupe d’individus). Sa définition « normalisée » est donnée dans le texte de la directive 98/37/CE, dite directive « Machines ». Il est repris par la norme EN ISO 12100-1 où une machine est définie comme étant « un ensemble de pièces ou d’organes liés entre eux dont au moins un est mobile et, le cas échéant, d’actionneurs, de circuits de commande et de puissance, etc., réunis de façon solidaire en vue d’une application définie, notamment pour la transformation, le traitement, le déplacement et le conditionnement d’un matériau ».
1.2.1 Genèse C’est au début des années 1980 que le principe d’intégration de la sécurité à la conception des machines fut formellement édicté – dans des dispositions législatives nationales (loi 76-1106 du 6 décembre 1976 et décrets 80-542, 543 et 544 du 15 juillet 1980 [4]) – et prit réellement place en France. Auparavant, les situations jugées dangereuses étaient plutôt corrigées chez (et par) l’utilisateur après réception de l’équipement. Pour limiter les risques d’accidents graves constatés sur des machines considérées comme extrêmement dangereuses, les autorités instaurèrent pour les concepteurs et fabricants l’obligation de rendre celles-ci conformes à certaines règles de sécurité, avant même leur mise sur le marché. Le principe de sécurité intégrée était né ; tout en imaginant les solutions techniques permettant à l’équipement d’assurer sa fonction première, il était demandé au concepteur de se soucier des risques inhérents à sa future utilisation. S’il paraît simple à énoncer et compréhensible pour tout un chacun, on verra plus loin qu’un tel objectif n’est pas sans influencer le métier même du concepteur et s’inscrit dans une problématique plus large d’ingénierie intégrée.
Un « ensemble de machines » qui, afin de concourir à un même résultat, sont disposées et commandées de manière à être solidaires dans leur fonctionnement, est également considéré comme étant une machine. C’est par exemple le cas d’une ligne d’imprimerie. La représentation schématique générale d’une machine laisse apparaître de nombreux flux d’informations et trois parties principales que sont la partie commande, la partie opérative et l’interface opérateur-machine (figure 1). On remarque que cette définition renvoie à la fois à une vue physique ou technologique de la machine (elle est faite de pièces, d’actionneurs...), à une vue fonctionnelle (elle transforme, traite, déplace...) et à des éléments structurels (elle comprend une partie commande pour « commander », opérative pour « opérer »).
À la fin des années 1980, ce principe de sécurité intégrée largement éprouvé en France pendant une dizaine d’années sur certaines catégories de machines (presses, machines à bois) est étendu et constitue le fondement de la législation européenne en matière de conception des machines ; une directive européenne dite directive « Machines » est adoptée en 1989, elle est suivie de modifications et d’amendements, intégrés et regroupés depuis 1998 dans un seul et unique texte : la directive européenne 98/37/CE codifiée (transposée en droit national dans chacun des pays de l’Union européenne).
La composante humaine qui n’est pas explicitement représentée sur la figure 1 intervient dans les éléments d’interface ; la machine, dans sa vue exclusivement technique, comprend des parties « interface opérateur-machine » représentant à différents niveaux (organes de commande, capteurs...) les interactions possibles entre l’Homme et la machine.
S 8 270 − 2
Organes de service
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. ©Techniques de l’Ingénieur
UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRWP
__________________________________________________________________________ ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS
La directive Machines entre dans le cadre des principes de la « Nouvelle Approche » en matière d’harmonisation technique et de normalisation adoptée en 1985. Ce principe, peu connu des acteurs concernés, mérite d’être rappelé. Les directives Nouvelle Approche constituent en effet un élément fondamental de la libre circulation des produits au sein de l’Union européenne. Élaborées dans le cadre du processus de codécision entre la CE et le Parlement européen, elles sont obligatoirement transposées par les États membres dans leur droit national. Elles permettent donc un rapprochement et une harmonisation entre ces États. Elles ont pour objectifs de faciliter les échanges intracommunautaires et de renforcer le principe de reconnaissance mutuelle. Toutes les entreprises qui souhaitent mettre en service ou échanger des produits en Europe sont donc tenues de respecter ces directives.
mobiles automatiques pour la protection des machines). La définition qui en est donnée est plus large puisqu’il est question de « composant mis sur le marché dans le but d’assurer, par son utilisation, une fonction de sécurité, et dont la défaillance ou le mauvais fonctionnement met en cause la sécurité ou la santé des personnes exposées ». Dans son annexe I, la directive Machines décline les principes d’intégration de la sécurité et stipule notamment que : « Les machines doivent par construction être aptes à assurer leur fonction, à être réglées, entretenues sans que les personnes soient exposées à un risque lorsque ces opérations sont effectuées dans les conditions prévues par le fabricant. Les mesures prises doivent avoir pour objectif de supprimer les risques d’accidents durant la durée d’existence prévisible de la machine, y compris les phases de montage et de démontage, même dans le cas où les risques d’accidents résultent de situations anormales prévisibles ».
Les directives Nouvelle Approche ont nécessité un travail conséquent d’harmonisation des textes législatifs et réglementaires. La rédaction de normes européennes (CEN et CENELEC) et normes internationales (ISO et CEI) a été entreprise, guidée par les considérations suivantes :
Elle définit des exigences essentielles de sécurité et de santé relatives à la conception et à la construction des machines et des composants de sécurité, qui portent sur les commandes et sur les mesures de protection à prendre contre les risques mécaniques, mais aussi tous les autres risques (explosion, bruit, vibrations, rayonnements extérieurs...). Elle exige du fabricant qu’il effectue une analyse des risques afin de rechercher ceux qui s’appliquent à sa machine ; il doit ensuite concevoir et construire la machine en prenant en compte son analyse.
CEN : Comité européen de normalisation (pour les aspects à dominante mécanique) CENELEC : Comité européen de normalisation électrotechnique ISO : Organisation internationale de normalisation (pour les aspects à dominante mécanique) CEI : Commission électrotechnique internationale
— les directives contiennent des exigences essentielles ; dans le cas de la directive Machines, des « exigences très générales applicables à de nombreuses catégories de machines » ; — des normes harmonisées établissent des dispositions techniques permettant de concevoir et de fabriquer des équipements conformes aux exigences (« les normes harmonisées servent de guide pour l’application des directives européennes et de référence pour la conception des produits »). Ces dispositions techniques ne sont pas obligatoires, « elles sont une aide au fabricant mais celui-ci peut choisir tout autre moyen de mise en œuvre pour assurer la conformité » ; — un équipement conforme aux dispositions d’une norme harmonisée est présumé conforme aux exigences réglementaires qui lui sont applicables, pour autant que ces exigences soient couvertes par le champ d’application de cette norme.
Pour les systèmes de commande, sujet traité ici, la directive définit les exigences essentielles suivantes : « Les systèmes de commande doivent être conçus et construits pour être sûrs et fiables, de manière à éviter toute situation dangereuse. Ils doivent notamment être conçus et construits de manière à résister aux contraintes normales de service et aux influences extérieures, et à ce qu’il ne se produise pas de situations dangereuses en cas d’erreur de logique dans les manœuvres (directive 98/37/CE, annexe I, paragraphe 1.2.1. : Sécurité et fiabilité des systèmes de commande).
L’énoncé d’exigences essentielles de santé et de sécurité à satisfaire dans les directives montre clairement l’objectif (en termes d’obligation de résultat) fixé au concepteur. Dans la Nouvelle Approche, la réglementation prend appui sur la normalisation qui de fait occupe une place importante dans l’atteinte de cet objectif.
Un défaut affectant la logique du circuit de commande ou une défaillance ou une détérioration du circuit de commande, ne doit pas créer de situations dangereuses (directive 98/37/CE, annexe I, paragraphe 1.2.7. : Défaillance du circuit de commande) ». La conception des machines, systèmes et dispositifs de protection doit donc se préoccuper non seulement de leur aptitude fonctionnelle à assurer la sécurité, mais encore de leur comportement en environnement industriel (mécano-climatique et électrique) et en présence de défauts de composants.
Comme le soulignait M. Van Gheluwe, administrateur principal à la Commission des communautés européennes – DG III, reconnu comme un des principaux fondateurs de la directive Machines, dans un séminaire sur les nouvelles règles techniques organisé en 1993 par le Centre technique des industries mécaniques (Cetim) [5] : « ... la Directive énonce les objectifs sans donner les moyens de les atteindre...... pas de défaitisme, il y a des solutions, mais il faut les trouver... ».
1.3 Caractéristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer à trouver ces solutions. Il s’appuie sur un vaste programme, sans précédent en matière de normalisation technique, non encore achevé à ce jour.
La directive Machines stipule des obligations de résultats ; les normes européennes qui lui viennent en appui sont développées par consensus entre toutes les parties intéressées pour aider les différents acteurs (concepteurs, utilisateurs, préventeurs) à atteindre les objectifs visés.
1.2.2 Directive Machines 1.3.1 Définition d’une norme
La directive Machines 98/37/CE s’applique aux machines telles que définies au paragraphe 1.1. Elle s’applique également aux composants de sécurité lorsqu’ils sont mis isolément sur le marché.
Une norme est « un document établi par consensus et approuvé par un organisme reconnu qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats, garantissant un niveau d’ordre optimal dans un contexte donné » (EN 45020).
Il est important de noter que le terme de composant de sécurité ne caractérise pas uniquement les composants listés à l’annexe IV de la directive (dispositifs électrosensibles conçus pour la détection des personnes, notamment barrages immatériels, tapis sensibles, détecteurs électromagnétiques ; blocs logiques assurant des fonctions de sécurité pour commandes bimanuelles ; protecteurs
Les dispositions contenues dans une norme peuvent prendre la forme d’un énoncé, d’une instruction, d’une recommandation ou d’une exigence ; elles indiquent des prescriptions.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. ©Techniques de l’Ingénieur
UU
S 8 270 − 3
R
r←ヲ←イ・ョ」・@iョエ・イョ・エ sXRWP
ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS
__________________________________________________________________________
1.3.2 Classification des normes
Tableau 1 – Exemples de normes représentatives des types A, B1, B2 et C
Les normes relatives à la conception des machines présentent une architecture originale reposant sur des degrés d’imbrication. Elles sont classées selon trois types (EN 414) :
Type
— normes de type A : elles précisent les notions fondamentales, les principes de conception et les aspects généraux valables pour tous les types de machines ; — normes de type B :
R
EN ISO 12100-1 – Sécurité des machines : Notions fondamentales, principes généraux de conception – Partie 1 : terminologie de base, méthodologie.
A
• les normes de type B1 traitent d’un « aspect particulier de la sécurité » (par exemple, distances de sécurité, température superficielle, bruit). Elles définissent les principes de base du sujet de sécurité traité et comment ces principes peuvent être appliqués aux normes de type C, • les normes de type B2 traitent d’un «type de dispositif conditionnant la sécurité » (par exemple, commandes bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs) valable pour une large gamme de machines. Elles donnent les prescriptions de performance pour la conception et la fabrication du moyen de protection considéré ; — normes de type C : elles indiquent des prescriptions de sécurité détaillées s’appliquant à une machine particulière ou à un groupe de machines. Elles traitent de tous les phénomènes dangereux significatifs concernant la machine considérée, en s’appuyant notamment sur les normes de type B pertinentes.
B1
EN 954-1 (ISO 13849-1) – Sécurité des machines : Parties des systèmes de commande relatives à la sécurité. Partie 1 : principes généraux de conception.
B2
CEI 61496-1 – Sécurité des machines – Équipements de protection électrosensibles – Partie 1 : prescriptions générales et essais.
B
EN 693 – Machines-outils – Sécurité – Presses hydrauliques.
C
EN ISO 12100 Principes généraux de conception
Dans le but de fixer les idées, le tableau 1 met en regard de ces différents types une norme « machine » caractéristique.
EN 614 Principes ergonomiques de conception
Remarques : ■ Certaines normes, développées initialement dans un contexte européen comme la norme EN 954-1, ont été reprises au niveau international de l’ISO pour devenir ISO 13849-1. Nous utilisons ici les références initiales, en donnant la correspondance en cas de reprise par l’ISO. ■ On note que certaines normes ont été développées dans le cadre du CEN (EN 954-1/ISO 13849-1), mais aussi dans le cadre du Cenelec /CEI lorsqu’il s’agissait de prendre en compte des aspects électriques ou électroniques. C’est le cas par exemple de la norme CEI 61496, développée initialement dans le cadre du Cenelec, puis reconnue et harmonisée dans le contexte de la directive Machines.
EN 294 EN 547 EN 982 EN 983
EN 349
EN 811
ISO 7960
EN 1760-1/2/3 EN 954-1 Parties des systèmes de commande relatives à la sécurité EN 1010 Machines d'impression et de transformation du papier
EN 953 ISO TR 11688-1
EN 61496-1/2/3/4
EN 999
EN 574 EN 418
EN 1088
EN 60204 Équipement électrique des machines
La représentation « planétaire » [6] du dispositif normatif (figure 2) donne un aperçu de l’interrelation entre normes ; faire graviter des normes « produit » de type C comme EN 1010 (« Machines d’impression et de transformation du papier ») autour de normes de type A et B plus génériques illustre le fait que ces dernières exercent une certaine influence en propageant les principes et concepts de base sur lesquels doivent s’appuyer les normes de type C.
EN 1050 Principes pour l'appréciation des risques
Figure 2 – Représentation « planétaire » du dispositif normatif (non exhaustive)
Ces travaux de normalisation sont menés au sein de comités techniques (TC) comprenant des groupes de travail composés des acteurs rappelés sur la figure 3.
Constructeurs/fabricants : généralement les concepteurs des produits objets de la norme
Pour mieux visualiser les différents champs techniques et disciplines couverts par la normalisation machines, on peut également utiliser une représentation en matrice (figure 4) faisant apparaître les notions de « norme horizontale » et de « norme verticale » : — les normes horizontales (de type A ou B) traitant d’aspects communs applicables à presque toutes les machines comme l’ergonomie, le bruit... ; — les normes verticales (de type C) déterminant les dispositions spécifiques d’une catégorie de machines en faisant référence aux dispositions des normes horizontales, évitant ainsi la duplication du travail réalisé et donnant une certaine cohérence à l’ensemble des normes. (0)
S 8 270 − 4
Norme représentative
« Préventeurs » : - organismes de prévention ; - autorités publiques nationales ; - organismes de contrôle technique.
Utilisateurs : représentants des salariés, consommateurs, employeurs...
Figure 3 – Acteurs des comités techniques
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. ©Techniques de l’Ingénieur
UV
Sécurité des systèmes industriels (Réf. Internet 42830)
1– Sureté de fonctionnement des systèmes industriels
S
2– Sécurité des machines 3– Méthodes de maintenance
Réf. Internet
Introduction aux méthodes de maintenance basées sur la iabilité
SE1649
59
Méthodes de maintenance basées sur la iabilité et sur les risques
SE1650
61
Méthode de maintenance basée sur la iabilité de Nowlan et Heap
SE1655
67
Méthode de maintenance basée sur la iabilité RCM2™ de John Moubray
SE1660
71
Méthode de maintenance basée sur la iabilité de la SAE
SE1665
75
Méthode de maintenance basée sur la iabilité de la CEI
SE1667
79
Méthode de maintenance basée sur la iabilité de la MSG 3
SE1669
83
Méthode AP913 de maintenance basée sur la iabilité des centrales nucléaires américaines
SE1671
89
Méthode de maintenance basée sur la iabilité inversée PMO2000®
SE1675
95
Méthode de maintenance basée sur les risques et la iabilité CWA-RBIM
SE1677
99
Méthodes d'analyse des causes racines des défaillances
SE1679
103
Signalement, analyse et correction de défaillances
SE1681
109
Méthode de maintenance basée sur la iabilité « Streamlined » de l'EPRI
SE1673
115
page
Sur www.techniques-ingenieur.fr • Saisissez la référence Internet pour accéder directement aux contenus en ligne • Retrouvez la liste complète des ressources documentaires UW
S
UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVTY
Introduction aux méthodes de maintenance basées sur la fiabilité par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès Sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2
Origine ..................................................................................................... Préambule................................................................................................. Méthode RCM originale de Nowlan et Heap .........................................
2.
2.3
Principe commun des méthodes conformes à la RCM de N&H .................................................................................. Étapes standard d’une analyse de RCM de type N&H.......................... Inventaire des méthodes et normes conformes à la démarche de N&H............................................................................. 2.2.1 Norme MSG-3 ................................................................................. 2.2.2 Méthode RCM2................................................................................ 2.2.3 Norme SAE JA1012 ........................................................................ 2.2.4 Norme CEI I 603003......................................................................... 2.2.5 AP 913 .............................................................................................. 2.2.6 CWA-RBIM 15740 ............................................................................ 2.2.7Streamlined RCM (SCRM) Comparaison des méthodes de RCM.....................................................
3.
Conclusion..............................................................................................
4.
Glossaire .................................................................................................
2.1 2.2
Pour en savoir plus .......................................................................................
S
SE 1 649 - 2 — 2 — 2 — —
3 3
— — — — — — — — —
3 3 3 4 4 5 6 6 6
—
6
—
6
Doc. SE 1 649
es différentes méthodes les plus utilisées pour mettre en œuvre les concepts de la maintenance basée sur la fiabilité (MBF) qui ont vu le jour depuis les années 1970 dans différents secteurs industriels sont présentées. De nombreuses stratégies de maintenance ont été développées pour prévenir et corriger les conséquences des défaillances des matériels afin d’optimiser la productivité des installations industrielles et de diminuer les risques relatifs à la sécurité des personnes et à l’environnement, et les pertes économiques. L’origine du concept de maintenance basée sur la fiabilité a été introduit pour la maintenance aéronautique dans les années 1970 sous l’acronyme MBF ou RCM (Reliability-Centered Maintenance) et fait l’objet du contenu de la première section. De nombreuses variantes et adaptations du concept initial ayant vu le jour en dehors de ce secteur, la deuxième section est dédiée à la description des étapes considérées comme indispensables pour être conformes à la démarche initiale de la RCM de Nowlan et Heap. Elle fournit également les caractéristiques des méthodes et normes reconnues de RCM (MSG-3, RCM2,
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQW
L
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
UY
SE 1 649 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVTY INTRODUCTION AUX MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ
________________________________________________________________
SAE JA1012, CEI 60300, AP 913, CWA-RBIM, « Streamlined RCM »), en soulignant leur conformité par rapport à la démarche originale, ainsi qu’une grille comparative de leurs propriétés. En conclusion, des recommandations sont fournies pour guider l’utilisateur à choisir la méthode la plus appropriée ainsi qu’une prospective sur les nouveaux développements.
1. Origine
S
Principales définitions spécifiques à la méthode RCM de N&H
1.1 Préambule
Niveau de fiabilité inhérente : valeur de la fiabilité d’un élément ou d’un équipement qui est atteignable grâce à un programme de maintenance programmée efficace. Défaillance fonctionnelle : incapacité d’un élément d’un équipement à remplir les performances spécifiées. Défaillance potentielle : condition physique identifiable qui indique qu’une défaillance est imminente. Défaillance critique : défaillance impliquant la perte d’une fonction ou d’un dommage qui pourrait avoir un effet défavorable direct sur la sécurité opérationnelle. Fonction évidente : fonction dont la défaillance est évidente pour l’équipe d’exploitation dans le cadre de ses activités normales. Fonction cachée : fonction dont la défaillance n’est pas évidente pour l’équipe d’exploitation dans le cadre de ses activités normales. Diagramme de décision : représentation graphique du processus de décision dans laquelle les réponses à des séquences ordonnées « oui/non » conduisent à l’identification des tâches de la maintenance la plus adaptée.
Les premières réglementations relatives à la sécurité des vols commerciaux ont vu le jour aux États-Unis dans les années 1930 ; elles imposaient à cette époque des inspections et des intervalles de temps fixes pour les éléments d’un aéronef. Vers la fin des années 1940 et au vu du retour d’expérience, ces pratiques ont évolué avec l’introduction de la fiabilité des équipements pour fixer la nature des tâches de maintenance et leurs intervalles de réalisation. Avec l’apparition de nouveaux aéronefs gros porteurs tels que le Boeing 747, des programmes de maintenance préventive ont été développés en 1968 par l’ATA (Air Transport Association ) sous le nom de MSG (747 Maintenance Steering Group ). Ces programmes visaient à établir un programme efficace de maintenance préventive programmée avant la mise en service de nouveaux avions et à modifier le programme initial de maintenance en se basant sur les données de fiabilité en provenance du retour d’expérience réel. Les procédures initiales MSG-1 et MSG-2 ayant fait l’objet de nombreuses critiques relatives à leurs performances, Nowlan et Heap (l’acronyme N&H sera utilisé dans la suite de cet article) ont alors rédigé un rapport [1] définissant les principaux concepts de la méthode RCM de référence, toujours valables de nos jours.
lance potentielle conduit à la défaillance franche comme décrit sur la figure 1 à l’aide de l’intervalle P-F.
1.2 Méthode RCM originale de Nowlan et Heap
Les procédures d’évaluation des conséquences des défaillances et de détermination des tâches de maintenance sont facilitées par l’utilisation d’un arbre de décision. Il se base sur un ensemble ordonné de priorités avec des questions qui sont explicitées à chaque niveau de l’arbre pour définir les informations requises pour prendre une décision. Le cas de l’arbre de décision pour une défaillance évidente est représenté sur la figure 2.
Les motivations qui ont conduit N&H à élaborer la procédure de maintenance RCM résultent de leurs appréciations sur les quatre objectifs qu’un programme de maintenance doit atteindre : – assurer la réalisation des niveaux inhérents de sécurité et de fiabilité des équipements ; – rétablir la sécurité et la fiabilité à leurs niveaux inhérents de sécurité et de fiabilité des équipements ; – obtenir les informations nécessaires pour améliorer la conception des ensembles dont la fiabilité inhérente s’est révélée insuffisante ; – accomplir ces objectifs à un coût minimum, incluant les coûts de maintenance et des défaillances résiduelles.
Les résultats de l’analyse RCM conduisent à un programme initial de maintenance préventive programmée qui inclut toutes les tâches de maintenance préventive nécessaires pour assurer la sécurité et les performances économiques, mais uniquement si elles sont capables d’atteindre ces objectifs. Dans le cas où il n’est pas possible d’identifier des tâches applicables et efficaces, il est proposé de retenir la tâche la plus conservatoire. Ultérieurement, dans le cadre d’un programme évolutif durant le cycle de vie et au vu des résultats du retour d’expérience, ces tâches pourront être éventuellement modifiées. Les tâches et leurs intervalles dépendent de l’analyse des courbes des taux de défaillance qui ont été classées en plusieurs catégories par N&H à partir du retour d’expérience des matériels de la flotte d’aéronefs de la compagnie United Airlines, comme illustré sur la figure 3.
Les principes de la RCM de N&H découlent d’un examen rigoureux des réponses aux questions suivantes relatives aux défaillances fonctionnelles : – Comment une défaillance se produit-elle ? – Quelles en sont les conséquences ? – Quel bénéfice peut apporter un programme de maintenance préventive ?
La méthode de N&H est considérée par les spécialistes de la maintenance comme étant la méthode de référence pour la RCM. La section 2 donne le canevas des méthodes développées depuis 1978 dans différents secteurs et qui respectent cette démarche.
La détermination des instants de réalisation des tâches de maintenance repose dans la méthode de N&H sur la surveillance de l’évolution des paramètres pour déterminer l’instant où une défail-
SE 1 649 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP
Méthodes de maintenance basées sur la fiabilité et sur les risques par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
SE 1 650 - 2
1.
Origines et principes des politiques de maintenance basées sur la fiabilité et les risques...............................................................
2.
Terminologie...........................................................................................
—
5
3.
Méthode MSG-3 utilisée en aéronautique......................................
—
7
4.
Méthode RCM2™ développée par John Moubray ........................
—
9
5.
Méthode SAE (Society of Automotive Engineers).......................
—
12
6.
Méthode MBF développée par la CEI ...............................................
—
16
7.
Méthode AP-913 développée par l’INPO ........................................
—
19
8.
Méthode « Streamlined RCM » de l’EPRI .......................................
—
22
9.
Méthode PMO (Plant Maintenance Optimisation) .......................
—
24
10.
Méthodes RBI, RBM et RIMAP ...........................................................
—
25
11.
Bilan comparatif ....................................................................................
—
27
12.
Conclusion ..............................................................................................
—
28
13.
Glossaire – Définitions.........................................................................
—
28
14.
Sigles, notations et symboles ...........................................................
—
28
Pour en savoir plus .........................................................................................
Doc. SE 1 650
et article présente les principes et caractéristiques des méthodes les plus utilisées pour mettre en œuvre les concepts de la maintenance basée sur la fiabilité et sur les risques dans les différents secteurs industriels. En effet, pour toutes les entreprises, la maintenance des équipements, dont les objectifs sont de prévenir ou de corriger les défaillances des matériels pour optimiser la productivité des amortissements, représente un enjeu stratégique et économique. Dans ce contexte, de nombreuses stratégies ont été développées pour établir le programme de maintenance le plus approprié à un secteur d’activités donné. En particulier, on privilégie de plus en plus dans la majorité des secteurs industriels celles reposant sur la fiabilité opérationnelle des équipements ou visant à réduire les risques induits par les conséquences des défaillances techniques. Ainsi, dans les années 1960, le concept de maintenance basée sur la fiabilité a été introduit sous l’acronyme MBF ou RCM (Reliability-Centered Maintenance) pour la maintenance aéronautique. Par la suite, de nombreuses variantes et adaptations du concept initial ont vu le jour en dehors de ce secteur. En parallèle, suite aux catastrophes majeures survenues dans les secteurs pétroliers et chimiques, des méthodes de maintenance ont été mises au point
p。イオエゥッョ@Z@ュ。ゥ@RPQU
C
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VQ
SE 1 650 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________
S
pour minimiser les risques liés aux conséquences des défaillances. Ainsi, les techniques d’inspection basée sur les risques (RBI : Risk-Based Inspection), les méthodes de maintenance basée sur les risques (RBM : Risk-Based Maintenance) et les méthodes d’inspection et de maintenance basées sur les risques (RBIM : Risk-Based Inspection and Maintenance) ont vu le jour lors de ces trois dernières décennies. Dans la première section de cet article, un bref historique sur l’origine et les évolutions successives de ces méthodes est proposé. Les principes généraux des politiques de maintenance basée sur la fiabilité et sur les risques sont détaillés. La contribution des deux pères fondateurs de la MBF, Nowlan et Heap, en 1978, fera notamment l’objet d’un développement particulier. Ces politiques spécifiques faisant appel à des notions particulières, la deuxième section fournira la terminologie et les définitions rattachées. Pour les méthodes de MBF, les méthodes et les normes seront présentées dans un ordre chronologique correspondant à leur mise au point. Ainsi, la troisième section décrira la norme MSG-3 utilisée dans le milieu aéronautique et soulignera que les autres méthodes développées par la suite utilisent dans leur grande majorité ses principes fondamentaux. La quatrième section sera consacrée à la méthode RCM2 développée par John Moubray à partir de 1983 et qui correspond à une transposition et une adaptation des concepts de la MSG-3 à tous les autres secteurs d’activités industrielles. La cinquième section décrira la norme JA1011 et la norme JA1012 développées en 2001 par la SAE (Society of Automotive Engineers). La compatibilité de la RCM2 avec ces normes y sera soulignée. La sixième section détaillera la norme IEC 60300 développée par le Comité électrotechnique international en 2009 pour les équipements et les structures des procédés industriels. La septième section sera consacrée à la description de la méthodologie AP-913 développée en 2001 par l’INPO (Institute of Nuclear Power Operations) aux États-Unis pour les centrales nucléaires. La particularité de l’AP-913 est d’intégrer toutes les activités liées à la fiabilité d’un équipement dans le cadre d’un processus unique efficace et performant. Compte tenu de la complexité et des coûts d’implantation des méthodes précédentes, des simplifications de la méthode RCM originale ont été élaborées. Ainsi, la huitième section sera consacrée aux différentes méthodes connues sous le nom « Streamlined RCM » ou MBF allégée. Les étapes majeures de la MBF qui ont été modifiées ou supprimées y feront l’objet de descriptions. La neuvième section présentera la méthode PMO (Plant Maintenance Optimisation) développée par Turner en 2000 et qualifiée par certains spécialistes de « reversed RCM » ou méthode « MBF inversée ». Elle débute par l’analyse des tâches existantes de maintenance pour identifier les défaillances des équipements et procéder ensuite à leur optimisation. Pour les méthodes d’inspection et de maintenance basées sur les risques, le contenu des normes américaines API, ainsi que le projet RIMAP feront l’objet de la dixième section. Une grille comparative des performances fera l’objet de la section onze. En conclusion, des recommandations seront fournies pour guider l’utilisateur à choisir la méthode la plus appropriée, ainsi qu’une prospective sur les nouveaux développements.
à le maintenir ou à le rétablir dans un état dans lequel il peut accomplir la fonction requise ». Elle définit également les objectifs de maintenance comme étant « les buts fixés et acceptés pour les activités de maintenance ». À partir de ces définitions générales, des politiques de maintenance ont été élaborées dans les secteurs industriels pour atteindre des objectifs précis. Ainsi, la maintenance basée sur la fiabilité, notée MBF dans cet article, a pour objectif de maintenir le niveau de fiabilité intrinsèque (définie à la conception) des équipements. Les politiques d’inspection basée sur les risques ou RBI (Risk-Based Inspection), de maintenance basée sur les risques ou RBM (Risk-Based Maintenance) et d’inspection et de maintenance basées sur les risques ou RBIM (Risk-Based Inspection and Maintenance) visent à assurer un
1. Origines et principes des politiques de maintenance basées sur la fiabilité et les risques 1.1 Préambule La norme européenne EN-13306 [1] définit la maintenance comme « l’ensemble de toutes les actions techniques, administratives et de management durant le cycle de vie d’un bien, destinées
SE 1 650 − 2
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP _________________________________________________________________ MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES
niveau de risque jugé acceptable suite à la défaillance des équipements. Cette section fournit les descriptions sur les origines et les principes de ces deux catégories de politique de maintenance.
1.2.2 Principes de base de la MBF Très souvent et de façon paradoxale, de nombreuses méthodes ont été développées en se revendiquant de la MBF et n’utilisent à aucun moment les notions élémentaires de la fiabilité ! La MBF définie par Nowlan et Heap fait appel à la notion de fiabilité inhérente qu’ils ont définie comme étant « le niveau de fiabilité atteint par un matériel quand il fait l’objet d’un programme de maintenance préventive adéquat ». Cette fiabilité inhérente résulte également de la conception initiale, des conditions de fabrication et des spécifications d’exploitation. Quand le matériel est mis en service, il fait l’objet de dégradations et de défaillances qui réduisent alors sa fiabilité réelle appelée « fiabilité opérationnelle ». Si cette fiabilité opérationnelle, mesurée à partir d’un retour d’expérience, devient inférieure à la fiabilité inhérente désirée, il appartient de prendre des mesures correctives pour modifier le contenu des tâches programme de maintenance initial et revenir à un niveau de fiabilité acceptable. La MBF vise à établir un programme de maintenance préventive qui garantit une fiabilité opérationnelle proche de la fiabilité inhérente. Il est important de noter qu’aucun programme de maintenance ne peut conduire à un niveau de fiabilité opérationnelle supérieur à celui de la fiabilité inhérente, hormis le cas des actions de reconception. Les définitions et la terminologie spécifique à la MBF feront l’objet de la section 2. La figure 1 illustre le principe de base de la MBF.
Nota : dans cet article, les acronymes situés à la section 14 seront retenus compte tenu de leurs origines et de leur usage universel.
1.2 Origines et principes de base de la MBF 1.2.1 Origines de la MBF Pour comprendre les origines de la MBF, il est important de connaître l’évolution de la maintenance aéronautique. Les premières compagnies aériennes commerciales ont vu le jour aux États-Unis vers les années 1930. Les organismes chargés de la sécurité des vols commerciaux, dont le département américain du commerce, ont imposé que des inspections et des révisions soient réalisées à intervalles de temps fixes pour les avions, les moteurs, les instruments et les équipements. Ces pratiques ont évolué vers 1947 avec l’apparition de l’entretien « suivant état », ainsi que la collecte des données de fiabilité pour mettre en œuvre la méthode statistique de l’actuariat. L’apparition des avions commerciaux propulsés par des réacteurs et l’impossibilité de maîtriser la fiabilité de certains équipements ont conduit les constructeurs et exploitants d’avion commerciaux à développer de nouveaux concepts de maintenance. En 1967, il est apparu évident de consolider les connaissances accumulées et de développer des techniques de maintenance afin de pouvoir :
Sur la figure 1, la courbe 1 représente l’allure de fiabilité inhérente nominale. À la mise en service, la valeur de la fiabilité est égale à 1 et décroît ensuite en raison du vieillissement des matériels choisis à la conception. Cette courbe est calculée lors de la conception avec les données théoriques du constructeur. L’utilisateur du matériel définit la courbe 2 qui fixe le seuil de fiabilité tolérable. La fiabilité opérationnelle mesurée avec la méthode statistique d’exploitation du retour d’expérience est évaluée de façon continue afin de vérifier si le seuil de tolérance n’est pas atteint avec le programme initial de maintenance. Comme l’indique la figure 1, en raison des défaillances des composants et de l’inadéquation de certaines tâches de maintenance, le seuil est atteint à l’instant t0 et il devient nécessaire de procéder à une révision des tâches initiales de maintenance pour restaurer la perte de fiabilité ∆R. Après cette restauration, la fiabilité opérationnelle se met de nouveau à décroître pour atteindre le seuil tolérable à l’instant t1 ; il convient alors de réviser une nouvelle fois le contenu du programme de maintenance. Ce processus s’appelle le programme « vivant » et la procédure d’amélioration continue ensuite de façon similaire. Le premier principe fondamental de la MBF est d’identifier les matériels critiques. Les matériels sont déclarés critiques si les conséquences des défaillances ont un impact sur la sécurité, la disponibilité opérationnelle et sur les coûts. Le second principe fondamental consiste à ne retenir que des tâches de maintenance préventive applicables, efficaces et économiques pour des matériels critiques. Le troisième principe de base consiste à appliquer des arbres logiques de décision pour sélectionner les tâches de maintenance préventive en fonction du mode de découverte de la défaillance (évident ou caché). Pour chaque mode de découverte, un arbre logique de sélection des tâches est proposé en fonction des conséquences des modes dominants de défaillance (sécurité, disponibilité opérationnelle et coûts). Enfin, pour vérifier l’adéquation du programme de maintenance concernant le respect de la fiabilité inhérente, les données relatives aux défaillances et à leurs conséquences sont collectées pour évaluer la fiabilité opérationnelle. La figure 2 présente les différentes étapes de la MBF. Le point central est la valeur de la fiabilité inhérente qui dépend des informations fournies par le constructeur. Quand le programme initial de MBF a été établi, le retour d’expérience est collecté et traité pour évaluer la fiabilité opérationnelle. Si la fiabilité opérationnelle devient inférieure à la fiabliité inhérente, le programme initial doit être révisé.
– établir un programme efficace de maintenance programmée avant la mise en service de nouveaux types d’avions ; – modifier le programme initial de maintenance des avions existants en se basant sur les données de fiabilité en provenance du retour d’expérience réel. La mise en service du Boeing 747 a conduit à mettre en place un groupe de travail appelé MSG (Maintenance Steering Group) pour élaborer une méthode de maintenance. Ainsi, la MSG-1 [2] a vu le jour en 1968 sous le nom de « 47 Maintenance Steering Group : Maintenance Evaluation and Program Development ». La MSG-1 utilise des arbres logiques pour définir les tâches de maintenance programmée ayant une efficacité potentielle sur la maîtrise de la fiabilité opérationnelle. La FAA a été impressionnée par les résultats obtenus avec la MSG-1 pour le Boeing 747 et a demandé qu’une nouvelle version soit développée pour les autres aéronefs. Ainsi, la version MSG-2 [3] a vu le jour en 1970 pour définir des schémas logiques visant à développer un programme de maintenance efficace et économique. Ensuite, le département de la défense américain a demandé en 1978 à Stanley Nowlan et Howard Heap [4], responsables de la maintenance des avions de la Compagnie United Airlines, de définir une méthode appelée « Reliability-Centered Maintenance – RCM » pour une maintenance efficace des aéronefs civils et militaires. Suivant ses concepteurs, la méthode MBF repose sur une méthode logique pour développer un programme de maintenance programmée. L’objectif de la MBF est clairement d’assurer un niveau de fiabilité opérationnelle des équipements s’approchant le plus possible de la fiabilité inhérente, définie lors de leur conception. Chaque tâche de maintenance programmée est définie par un raisonnement identifiable et explicite. Suite à ce rapport, la version MSG-3 [5] a vu le jour avec ses logiques de décision et fait toujours l’objet de révisons successives pour s’adapter aux nouvelles technologies (systèmes numériques embarqués, composites...). De nombreuses normes et guides de recommandations ont vu le jour en parallèle dans tous les secteurs industriels, et cet article décrira les principes des principales méthodes dérivées de la MBF développée par Nowlan et Heap.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VS
SE 1 650 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________
Fiabilités inhérente et opérationnelle
1 ∆R
t0
Fiabilité inhérente nominale (courbe no 1)
∆R t1
∆R t2
∆R ∆R t3
S
Courbes de la fiabilité opérationnelle après actions de la MBF
t4
Seuil de fiabilité tolérable (courbe no 2)
0 Temps ∆R Restauration de la fiabilité opérationnelle au niveau de la fiabilité inhérente par la MBF Figure 1 – Fiabilité inhérente
Maintien du programme actuel de maintenance basée sur la fiabilité Programme de maintenance initial basée sur la fiabilité
Collecte du retour d’expérience et calculs de fiabilité
Fiabilité opérationnelle
NON + –
Fiabilité inhérente
Conception, fabrication, conditions d’exploitation, programmes d’entretien (constructeur)
Seuil inacceptable atteint ? OUI Révision du programme de maintenance basée sur la fiabilité
Figure 2 – Principales étapes de la MBF
risques a vu le jour en 1993 à l’initiative d’un consortium de 21 compagnies pétrolières et pétrochimiques qui souhaitaient disposer d’une méthodologie appelée « Risk-Based Inspection » (RBI) pour des applications dans le raffinage et la pétrochimie. Les normes de l’API (American Petroleum Institute) ont été rédigées, dont notamment l’API 580 [6] et l’API 581 [7], et définissent les étapes de la méthode d’inspection RBI. Elles ont uniquement pour champ d’application le maintien de l’intégrité mécanique d’équipements sous pression et ont pour objectifs de minimiser le risque de perte de confinement dû à une dégradation. Cette méthode a des finalités différentes de celles de la méthode HAZOP [SE 4 030] et de la MBF, mais a comme point commun de comprendre les mécanismes de défaillance pour contribuer à améliorer la fiabilité
1.3 Origines et principes de base de la maintenance basée sur les risques 1.3.1 Origines de la maintenance basée sur les risques Les concepts liés à l’inspection et la maintenance basée sur les risques sont des concepts introduits au début des années 1990, le risque étant défini par la probabilité d’occurrence de la défaillance et de la gravité de ses conséquences. L’inspection basée sur les
SE 1 650 – 4
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP _________________________________________________________________ MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES
Matrice de risques F R É Q U E N C E
Évaluation du risque R
Évaluation de la conséquence G des défaillances Collecte de données et d’informations
Évaluation de la probabilité (fréquence) F d’occurrence de la défaillance
F
INACCEPTABLE
ACCEPTABLE
Calcul du risque R=F×G
GRAVITÉ G
Classement du risque
Programmes d’inspection (RBI) et de maintenance (RBM et RIMAP)
Proposition de plans d’atténuation des risques
Retour d’expérience et réévaluation
S
Figure 3 – Principales étapes de la RBI et RBM
• Fiabilité opérationnelle : la fiabilité opérationnelle est celle obtenue en évaluant les performances d’un équipement à partir du retour d’expérience avec des outils statistiques appropriés.
opérationnelle des équipements. L’ASME (§ 11) [8] fournit les conditions requises pour maintenir l’intégrité de l’enveloppe des composants sous pression des chaudières nucléaires. Par la suite, une adaptation des concepts de la RBI ont vu le jour dans les autres secteurs industriels pour la maintenance sous le nom de « maintenance basée sur les risques » (RBM). En Europe, l’initiative RIMAP (Risk Based Inspection and MAintenance Procedures for European Industry) a été lancée en 2001 par la Communauté européenne.
• Taux de défaillance : le taux de défaillance d’un équipement à l’instant t représente la densité de probabilité de défaillance d’un équipement. La figure 4 illustre les courbes les plus caractéristiques du comportement de la majorité des équipements industriels. La connaissance de ces courbes est vitale pour sélectionner le contenu et les intervalles associés aux tâches de maintenance dans la procédure de MBF.
1.3.2 Principes de la maintenance basée sur les risques
• Fonctions : une fonction représente la raison d’être d’un équipement défini avec ses spécifications techniques (durée, caractéristiques de performance, etc.). À noter qu’un équipement peut remplir plusieurs fonctions.
La méthodologie utilisée dans les concepts de l’inspection et de la maintenance basée sur les risques est représentée sur la figure 3. Le point central de la méthode est l’évaluation du risque défini comme le produit des valeurs affectées dans des échelles de cotation de la fréquence d’occurrence des défaillances et de la gravité de leurs conséquences. Ces valeurs sont calculées à partir de la collecte des données de retour d’expérience et de leur exploitation. Si le niveau de risque est classé comme inacceptable, les programme d’inspection et de maintenance sont établis, ainsi que des propositions de plans d’atténuation des conséquences des risques. Une fois ces dispositions mises en place, le niveau de risque est évalué pour modifier les programmes d’inspection et de maintenance.
• Défaillance fonctionnelle : la défaillance est l’altération ou la cessation d’un équipement à accomplir sa (ou ses) fonction(s) requise(s) avec les performances requises dans les spécifications techniques. • Défaillance potentielle : une défaillance potentielle est une condition physique mesurable qui indique que la survenue d’une défaillance fonctionnelle est imminente. La figure 5 illustre ce concept fondamental. Tout équipement est soumis, pendant sa durée de vie, à des contraintes qui induisent la détérioration de ses caractéristiques. À partir de la mise en service, le paramètre mesurable de la condition physique de la caractéristique de la fonction va lentement perdre de sa valeur. Tout en restant dans la zone verte normale, ce paramètre à partir du point D commence à se dégrader pour atteindre le seuil de la défaillance potentielle au point DP. Progressivement, on atteint le point DF qui caractérise la défaillance et l’équipement est considéré comme en état de panne.
2. Terminologie La terminologie dans le cadre de la MBF et sur les risques a fait l’objet de développements spécifiques depuis la mise au point des concepts décrits à la section 1. La section 2 présente les principaux termes associés à ces concepts de maintenance en ordonnant leurs descriptions en fonction de leur ordre d’apparition dans les démarches MBF et RBIM.
Dans la MBF, l’intervalle de temps entre DP et DF appelée en anglais « the P-F interval (Potential Failure interval) » est vital pour déterminer les tâches de maintenance et surveiller l’évolution vers la défaillance. • Fonction évidente : une fonction est évidente si les paramètres associés aux défaillances sont évidents pour l’équipe d’exploitation dans le cadre de ses activités normales.
2.1 Termes principaux utilisés • Fiabilité inhérente : la fiabilité inhérente, également appelée « fiabilité intrinsèque », est la fiabilité d’un équipement défini à la conception, dans des conditions de fabrication et d’exploitation et de maintenance prédéfini donnée.
• fonction cachée : une fonction est cachée si les paramètres associés ne sont pas accessibles à l’équipe d’exploitation dans le cadre de ses activités normales.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VU
SE 1 650 – 5
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUP MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________
A Une date de limite de vie sûre peut être définie
Taux de défaillance
B
S Pas de date de limite de vie sûre
Courbe en baignoire : 1) période de jeunesse : décroissant 2) période maturité : constant 3) période de vieillissement : croissant
Taux de défaillance constant suivi d’un taux croissante lié à l’usure
C
Taux de défaillance croissant linéaire sans période d’usure marquée
D
Taux de défaillance au début de vie suivie d’un taux constant
E
F
Taux de défaillance constant
Taux de défaillance décroissant pendant la période de jeunesse suivie d’un taux constant ou légèrement croissant
Source : Nowlan et Heap Figure 4 – Allure des principales courbes de défaillance des équipements
Paramètre mesurable de la condition physique
D : départ de la dégradation DP : franchissement de la zone d’état : défaillance potentielle
D Valeur nominale
SEUIL
ZONE NORMALE
∆T intervalle entre tâches de maintenance préventive
DP
∆T ∆T ZONE DE DÉFAILLANCE POTENTIELLE ∆T ∆T
SEUIL
DF ZONE DE DÉFAILLANCE FONCTIONNELLE Temps
Figure 5 – Zones de défaillance potentielle et fonctionnelle
• Conséquences avec impact sur la sécurité et l’environnement : en aéronautique, impacts directs des défaillances fonctionnelles sur la sécurité des équipements et des personnes. Par extension, impacts directs sur l’environnement. • Conséquences opérationnelles : conséquences qui gênent l’accomplissement des missions prévues et qui induisent des coûts d’exploitation supplémentaires.
SE 1 650 – 6
• Conséquences économiques : en aéronautique, effets de la défaillance fonctionnelle qui n’empêche pas l’exploitation de l’équipement, mais qui ne sont pas souhaitables sur le plan économique. Par extension, tout impact financier résultant de la défaillance. • Équipements critiques : équipements dont les défaillances fonctionnelles ont des conséquences sur la sécurité, les conditions opérationnelles et les coûts.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUU
Méthode de maintenance basée sur la fiabilité de Nowlan et Heap par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2
Origines et principes ............................................................................ Origines de la maintenance basée sur la fiabilité ................................. Paradoxe du concept « entretien à temps limite » suivant Nowlan et Heap ..........................................................................................................
S
SE 1 655 - 2 — 2 —
3
— — —
4 4 4
— — — —
4 4 5 5
— —
6 7
2. 2.1 2.2
Terminologie et définitions................................................................ Définitions relatives aux conséquences des défaillances .................... Définitions relatives aux tâches de maintenance..................................
3.
3.5
Étapes du développement du programme de maintenance RCM........................................................................................................... Préambule ................................................................................................ Principes de base ..................................................................................... Caractéristiques des défaillances ........................................................... Les quatre tâches de base de maintenance et leurs caractéristiques d’applicabilité et d’efficacité ................................................................... Développement du programme initial...................................................
4. 4.1 4.2 4.3
Exemple d’application à un ensemble de freinage ...................... Description du système de freinage....................................................... Fonctions et défaillances fonctionnelles du système de freinage ....... Synthèse de l’étude du système de freinage ........................................
— — — —
10 10 10 12
5.
Conclusion ..............................................................................................
—
13
6.
Glossaire ..................................................................................................
—
14
3.1 3.2 3.3 3.4
Pour en savoir plus .........................................................................................
Doc. SE 1 655
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle, présente les origines, les principes et caractéristiques de la première méthode de maintenance basée sur la fiabilité (MBF) ou RCM (Reliability-Centered maintenance) qui a été mise au point en 1978, à la demande du DoD (Department of Defense) américain par deux responsables de la maintenance aéronautique de la compagnie United Airlines : Stanley Nowlan et Howard Heap. En effet, dans le secteur aéronautique commercial, la première exigence en matière d’entretien des avions fut édictée dans les années 1930 et exigeait que « les instruments et accessoires soient révisés à intervalles adéquats pour garantir leur fonctionnement correct à tout instant ». Ce concept appelé « entretien à temps limite » (Hard Time) a été la méthode de référence jusque dans les années 1960. Avec l’arrivée du premier avion gros porteur, le Boeing 747, les autorités américaines ont développé des normes de maintenance MSG-1 et MSG-2 qui introduisaient de nouveaux concepts de tâches de maintenance, vérification de l’état, surveillance du comportement. Le retour d’expérience ayant fait ressortir les
p。イオエゥッョ@Z@ュ。ゥ@RPQU
C
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VW
SE 1 655 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUU MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE NOWLAN ET HEAP __________________________________________________________________
S
difficultés d’application et d’interprétation des tâches de maintenance, le DOD a commandité en 1978 une étude à Nowlan et Heap pour mettre au point une méthode de maintenance se préoccupant principalement des conséquences des défaillances et non plus des tâches de maintenance préconisées par la MSG-1 et la MSG-2. Le retour d’expérience lié à l’utilisation de la maintenance basée sur le temps (Hard Time Concept), sur la flotte de leur compagnie, a conduit Nowlan et Heap à faire ressortir le paradoxe de cette pratique. En effet, ils ont découvert que très peu d’éléments (11 %) d’un avion possédaient une durée de vie sûre et que la mise au rebut programmée ne présentait aucun intérêt. Pour ne pas trahir la démarche de Nowlan et Heap, l’article s’est calqué sur les grands chapitres de leur rapport et respecte scrupuleusement leurs concepts et leur terminologie. La première section est consacrée à leurs réflexions sur la maintenance et à la description de ce paradoxe qui les ont conduits à définir la maintenance basée sur la fiabilité. Les principales définitions utiles pour la compréhension de méthode RCM de Nowlan et Heap, notée par la suite RCM-N&H, ont été extraites et traduites de leur glossaire et font l’objet de la seconde section. La troisième section fournit les principaux éléments contenus dans leur rapport pour définir un programme de maintenance basé sur la fiabilité : les principes de base, la classification des défaillances, les quatre tâches de base de maintenance, la procédure d’élaboration du programme initial de maintenance et l’utilisation du retour d’expérience pour identifier les points faibles du programme initial et lui apporter des améliorations. Afin d’illustrer le déroulement de leur méthode RCM, le cas de deux fonctions critiques d’un ensemble de freinage hydraulique d’un train d’atterrissage principal d’un avion est traité. Il permet de comprendre le processus de sélection des tâches de maintenance applicables et efficaces. La dernière section est consacrée à une analyse de leur méthode et souligne l’importance de leurs travaux qui sont à l’origine des méthodes de maintenance basée sur la fiabilité actuellement en vigueur.
1. Origines et principes
La mise en service du Boeing 747, pour lequel il n’existait pas de politique de maintenance adaptée à un avion gros porteur, a conduit à mettre en place un groupe de travail appelé MSG (Maintenance Steering Group) regroupant le constructeur Boeing, les compagnies aériennes et l’agence de certification américaine ATA (Air Transport Association) pour élaborer une méthode de maintenance. Ainsi la MSG-1 [1] a vu le jour en 1968 sous le nom de « 747 Maintenance Steering Group : Maintenance Evaluation and Program Development ».
1.1 Origines de la maintenance basée sur la fiabilité Vers les années 1930, les organismes chargés de la sécurité des vols commerciaux, dont le département américain du Commerce, ont commencé à imposer que des inspections et des révisions soient réalisées à des intervalles de temps fixes pour les avions, moteurs, équipements et structures.
Le groupe de travail MSG-1 avait pour objectifs assignés et prioritaires de sélectionner les tâches potentielles de maintenance et de les évaluer pour identifier ce qui peut être mis en œuvre pour protéger la sécurité opérationnelle ou les fonctions cachées essentielles.
Ces pratiques ont évolué vers 1947 avec l’apparition de l’entretien suivant état et la collecte des données de fiabilité pour mettre en œuvre la méthode statistique de l’actuariat. Ensuite, l’apparition des avions commerciaux à réaction et l’impossibilité de maîtriser la fiabilité de certains équipements ont conduit les constructeurs et exploitants d’avions à développer de nouveaux concepts de maintenance. En 1967, il est apparu évident qu’il fallait consolider les connaissances accumulées et développer des techniques de maintenance afin de pouvoir :
La MSG-1 est basée sur des méthodes d’entretien préventif et curatif et utilise une logique de décision pour assurer la maîtrise de la fiabilité opérationnelle. Pour l’entretien préventif, deux modes ont été définis : 1. entretien à temps limite (Hard Time-HT) qui définit un intervalle de temps maximum fixé à l’issue duquel un élément doit être révisé ou réformé ; 2. entretien suivant la vérification de l’état (On condition-OC). Les tâches consistent à inspecter, à des intervalles de temps maximum fixés, les éléments concernés.
– établir un programme efficace de maintenance programmée avant la mise en service de nouveaux avions ; – modifier le programme initial de maintenance des avions existants en se basant sur les données de fiabilité en provenance du retour d’expérience réel.
SE 1 655 − 2
Pour l’entretien correctif, une tâche de surveillance comportement est préconisée (Condition monitoring-CM).
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VX
du
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVUU __________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE NOWLAN ET HEAP
mination de la valeur de l’âge limite nécessaire pour assurer un fonctionnement fiable. Initialement dans le cas d’un avion, il était communément admis que tous les problèmes de fiabilité étaient directement liés à la sécurité operationnelle. Grace à l’accumulation du retour d’expérience, il a été constaté que de nombreuses catégories de défaillances ne pouvaient pas être évitées quel que soit le volume des activités de maintenance. Par conséquent, pour la majorité des avions, les fonctions essentielles sont réalisées par des systèmes redondants.
Par la suite, le document MSG-2 [2] a été élaboré pour développer un programme de maintenance programmée efficace et économique, et adapté aux nouveaux avions. Des difficultés ayant été rencontrées pour l’application de la MSG-2 pour l’interprétation des procédures de maintenance Hard-time, On-Condition, Condition Monitoring, le département américain de la Défense (DOD) a demandé à Nowlan et Heap, responsables de la maintenance chez United Airlines, de mettre au point une méthode de maintenance structurée. Cela a conduit au tout premier document publié en 1978 sur la RCM : Reliability-Centered Maintenance [3]. Dans ce rapport, Nowlan et Heap ont fait ressortir le paradoxe du concept de l’entretien à temps limite et les ont conduit à développer le RCM.
2) Des recherches basées sur des méthodes statistiques de l’actuariat appliquées aux données du retour d’expérience ont mis en évidence que l’entretien à temps limite était inefficace pour contrôler le taux de défaillance en dépit de son coût élevé. Cela s’explique, contrairement aux attentes, par le fait que la probabilité de défaillance n’augmente pas en réalité au cours du temps. De ce fait, une politique de maintenance basée uniquement sur des considérations de durée de vie maximale, n’a que très peu d’effet, voire aucun, sur le taux de défaillance. Cela constitue selon leurs auteurs le paradoxe de l’entretien à temps limite. Pour étayer leur thèse, ils ont réalisé des études sur l’ensemble des données du retour d’expérience des équipements de la flotte des avions de leur compagnie. Celles-ci ont permis d’identifier six allures des courbes de probabilité conditionnelle de défaillance comme le montre la figure 1.
1.2 Paradoxe du concept « entretien à temps limite » suivant Nowlan et Heap Les considérations sur la maintenance et le paradoxe du concept « entretien à temps limite » présentés dans cette section sont extraites de leur rapport et font l’objet de deux constats. 1) L’organisation de la maintenance a toujours reposé sur l’hypothèse qu’il existe une relation fondamentale de cause à effet entre la mise en œuvre de la maintenance programmée et la fiabilité opérationnelle. Cette hypothèse repose sur la notion intuitive qui consiste à considérer que si une pièce mécanique s’use, la fiabilité de n’importe quel équipement est directement liée à son âge. Par conséquent, en suivant cette logique, plus un équipement est fréquemment révisé, plus sa probabilité de défaillance diminue. Suivant cette hypothèse, le problème majeur réside dans la déter-
11 % possèdent une date de limite de vie sûre
L’analyse de ces courbes montre que 89 % des composants complexes analysés ne possèdent pas de période d’usure. Par conséquent, le concept d’entretien à temps limite ne peut pas s’appliquer. Seulement 6 % des composants (A et B) possèdent une période d’usure identifiable et correspondent à des composants simples (pneus, plaquettes de freins).
4% A
Courbe en baignoire : 1) période de jeunesse : décroissant 2) période maturité : constant 3) période de vieillissement : croissant
2%
89 % ne possèdent pas d’une date de limite de vie sûre
Probabilité conditionnelle de défaillance
B
Taux de défaillance constant suivi d’un taux croissant lié à l’usure
5%
C
Taux de défaillance croissant linéaire ne possédant pas une période d’usure identifiable
D
Taux de défaillance croissant au début de vie suivie d’un taux constant
E
Taux de défaillance constant (loi exponentielle)
7%
14 %
68 %
F
Taux de défaillance décroissant pendant la période de jeunesse suivie d’un taux constant ou légèrement croissant
Source : Nowlan et Heap
Figure 1 – Allures des courbes des probabilités de défaillance
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
VY
SE 1 655 – 3
S
S
WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVP
Méthode de maintenance basée sur la fiabilité RCM2™ de John Moubray par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès Sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2
Origines et principes ............................................................................ Origines de la maintenance basée sur la fiabilité RCM2 ....................... Définition et principes de la méthode RCM2 ..........................................
2. 2.1 2.2 2.3
Terminologie et définitions ................................................................ Définitions relatives aux conséquences des défaillances...................... Définitions relatives aux tâches de maintenance ................................... Définitions relatives aux AMDE (analyse des modes de défaillance et de leurs effets) suivant la RCM2 .................................
— — —
3 3 3
—
4
3. 3.1
Méthode RCM2™ développée par John Moubray ........................ Principe de la RCM2..................................................................................
— —
5 5
4. 4.1 4.2 4.3 4.4
Exemple d’application à un convoyeur à chaînes d’une chaîne de palettisation ...................................................................................... Description de la chaîne de palettisation ................................................ Fonctions et défaillances fonctionnelles du convoyeur......................... Sélection des tâches de maintenance pour le convoyeur ..................... Synthèse de l’étude de la ligne de palettisation.....................................
— — — — —
10 10 11 11 12
5.
Conclusion...............................................................................................
—
13
6.
Glossaire ..................................................................................................
—
13
Pour en savoir plus ........................................................................................
SE 1 660 - 2 — 2 — 2
Doc. SE 1 660
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle, présente les origines, les principes et caractéristiques de la méthode de maintenance basée sur la fiabilité RCM2/RCMII. Cette méthode a été mise au point par John Moubray sur les bases de la première méthode RCM (Reliability-Centered Maintenance) développée par Stanley Nowlan et Howard Heap en 1978 dans le secteur aéronautique. Après la parution de cette méthode, John Moubray a collaboré avec Stanley Nowlan pour adapter la démarche initiale à tous les secteurs industriels. La RCM2 est définie par John Moubray comme une procédure destinée à déterminer ce qui doit être fait pour s’assurer que tout bien physique continue à réaliser ce que l’utilisateur désire dans son contexte opérationnel actuel. La première section présente les origines de sa démarche qui se veut très pragmatique. Les principales définitions utiles pour la compréhension de méthode RCM2 ont été extraites et traduites à partir de l’ouvrage RCMII publié par John Moubray et constituent le contenu de la deuxième section. Elle
p。イオエゥッョ@Z@ウ・ーエ・ュ「イ・@RPQU
C
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WQ
SE 1 660 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVP MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ RCM2™ DE JOHN MOUBRAY ____________________________________________________________
S
souligne les différences notoires entre les définitions utilisées par la RCM2 et celles préconisées dans des normes internationales en particulier pour les AMDE (analyse des modes de défaillance et de leurs effets). Les raisons évoquées par John Moubray pour utiliser des définitions spécifiques pour la RCM2 reposent sur sa volonté délibérée d’utiliser des termes du langage commun aisément compréhensibles par les praticiens de la maintenance. La troisième section reprend les sept questions fondamentales auxquelles il faut répondre pour obtenir le plan initial de maintenance RCM2. Ces questions feront l’objet de paragraphes spécifiques et concerneront : les fonctions, les modes, les causes et les conséquences des défaillances. Pour déterminer les tâches de maintenance, les autres questions portent sur l’importance des conséquences des défaillances, la possibilité de prédire ou de prévenir les défaillances avec la maintenance proactive et ce qui peut être mis en œuvre dans le cas où aucune tâche de maintenance proactive ne peut être utilisée. Afin d’illustrer le déroulement d’une étude de maintenance basée sur la fiabilité de type RCM2, le cas d’un système de palettisation comportant des convoyeurs à chaînes et implanté dans une usine de fabrication de cartons alimentaires sera traité. La première partie de l’étude présente le tableau d’AMDE spécifique à la RCM2 pour identifier les fonctions, les défaillances fonctionnelles, les modes et les conséquences pour le convoyeur à chaînes. Ensuite, à l’aide de l’arbre logique de décision de la RCM2, les tâches de maintenance sont présentées pour les six modes de défaillance de la première fonction et pour les deux modes de défaillance associés à la deuxième fonction. Les intervalles entre tâches de maintenance sont également proposés. Comme le retour d’expérience sur les implantations de la RCM2 montre qu’elle est utilisée par des milliers d’utilisateurs dans plus de cinquante pays, la dernière section est consacrée à une analyse de la méthode et souligne l’importance de la RCM2. En effet, elle sert aujourd’hui de base à de nombreuses normes et recommandations sur les méthodes de maintenance basées sur la fiabilité aujourd’hui en vigueur. Des recommandations seront également fournies pour le lecteur souhaitant implanter la RCM2, ainsi que sur les adaptations en cours.
par l’acronyme N&H dans la suite de cet article) et la RCM2 seront rappelées compte tenu de la genèse de la RCM2.
1. Origines et principes 1.1 Origines de la maintenance basée sur la fiabilité RCM2
1.2 Définition et principes de la méthode RCM2
En 1978, Nowlan et Heap, à la demande du département américain de la Défense, ont rédigé un rapport intitulé RCM Reliability Centered Maintenance [1] qui introduit pour la première fois ce nouveau concept de stratégie de maintenance. Leur méthode concerne principalement le secteur de l’aviation commerciale civile compte tenu de leurs compétences dans la maintenance de la flotte des avions de la compagnie United Airlines. Après la disparition de Howard Heap, peu après la parution de ce rapport essentiel, Stanley Nowlan entreprit des études pour enrichir sa méthode RCM. En 1983, il commença sa collaboration avec John Moubray pour adapter la méthode RCM originelle à l’industrie. Leurs travaux ont donné le jour à la méthode de maintenance basée sur la fiabilité appelée RCM2. John Moubray créa ensuite sa société Aladon Limited en 1986 et Aladon LLC aux États-Unis pour proposer des services et de la formation avec la RCM2. Leur collaboration se poursuivit jusqu’à la disparition de Stanley Nowlan en 1995. La RCM2 définit les procédures de maintenance pour satisfaire des objectifs en termes de risque (sécurité et environnement), de qualité, de contrôle, de coûts, du service client, etc. Dans cet article, de nombreuses comparaisons entre la RCM de Nowlan et Heap (noté
SE 1 660 − 2
Le contenu méthodologique se calque sur la démarche originelle de N&H dans cet article en l’enrichissant avec l’apport d’outils de la sûreté de fonctionnement tels que les AMDE et l’utilisation des calculs statistiques sur les données du retour d’expérience. La RCM2 est définie par John Moubray comme : « une procédure destinée à déterminer ce qui doit être fait pour s’assurer que tout bien physique continue à réaliser ce que l’utilisateur désire dans son contexte opérationnel actuel ». Cette définition fait ressortir la volonté de John Moubray d’utiliser des termes du langage commun pour être compris par toutes les personnes souhaitant appliquer la RCM2 indépendamment de leur qualification. La RCM2 fait appel à des définitions anglo-saxonnes souvent difficiles à retranscrire en français. Elles feront l’objet de transposition dans la langue française lors de leur introduction dans cet article. Les principes de la RCM2 reposent sur deux étapes fondamentales pour établir le plan initial de maintenance.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVP _____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ RCM2™ DE JOHN MOUBRAY
• Fonction évidente : une fonction est évidente si sa défaillance, lorsqu’elle se produit éventuellement ou inévitablement, devient évidente à l’équipe de conduite dans les conditions normales d’exploitation.
– La première étape préconise l’utilisation d’un tableau AMDE (analyse des modes de défaillance et de leurs effets) spécifique à la RCM2. Il permet de recenser les fonctions, les défaillances fonctionnelles, les modes de défaillance et leurs effets. – La seconde étape consiste dans un premier temps à classer les défaillances en deux catégories (évidentes et cachées). Ensuite, suivant ces réponses, les tâches de maintenance proactive sont sélectionnées en fonction des conséquences des défaillances grâce à l’utilisation d’un arbre de décision. Cet arbre logique envisage le cas où aucune tâche proactive n’a été identifiée. La RCM2 propose un tableau spécifique qui récapitule toutes les questions posées et également les tâches de maintenance avec leur périodicité.
• Fonction cachée : une fonction est cachée quand sa défaillance se produit et ne deviendra pas évidente à l’équipe de conduite dans les conditions normales d’exploitation. • Diagramme de décision : représentation graphique du processus de décision dans laquelle les réponses à des séquences ordonnées de réponses oui/non conduisent à l’identification de la tâche de maintenance la plus adaptée.
Dans son ouvrage RCMII, John Moubray consacre neuf chapitres pour aider le lecteur à répondre aux sept questions fondamentales de la RCM2 : – Question 1 : quelles sont les fonctions de l’équipement et leurs spécifications de performance associées dans son contexte opérationnel ? – Question 2 : de quelles façons le bien ou le système cesse-t-il d’accomplir ses fonctions ? – Question 3 : quelles sont les causes de chaque défaillance fonctionnelle ? – Question 4 : quelles sont les conséquences de chaque défaillance ? – Question 5 : quelle est l’importance des conséquences de chaque défaillance ? – Question 6 : que peut-il-être fait pour prédire ou prévenir chaque défaillance ? – Question 7 : que peut-il-être fait si une tâche de maintenance proactive n’existe pas ?
2.1 Définitions relatives aux conséquences des défaillances • Conséquences sur la sécurité : un mode de défaillance a des conséquences sur la sécurité s’il induit la perte de la fonction ou d’autres dommages qui pourraient blesser ou tuer des personnes. • Conséquences environnementales : un mode de défaillance a des conséquences environnementales s’il induit la perte de la fonction ou d’autres dommages qui pourraient entraîner une violation des règles environnementales ou de la réglementation. • Conséquences opérationnelles : un mode de défaillance a des conséquences opérationnelles s’il a un effet direct défavorable sur les capacités opérationnelles. • Conséquences non opérationnelles : un mode évident de défaillance appartient à cette catégorie si son effet n’a pas de conséquence sur la sécurité et la production et induit seulement des coûts de réparation.
Les réponses à ces questions seront traitées ultérieurement en détail et feront l’objet de la section 3.
• Conséquences d’une défaillance cachée : une défaillance cachée n’a pas d’effet direct mais elle expose l’exploitant à des défaillances multiples qui ont des conséquences importantes et souvent catastrophiques.
2. Terminologie et définitions
2.2 Définitions relatives aux tâches de maintenance
Cette fonction présente les traductions des principaux termes et les définitions utilisées par John MOUBRAY dans son ouvrage RCMII-Reliability Centered Maintenance [2]. Les termes techniques anglais ont été utilisés avec leurs acronymes. Il est indispensable de noter que depuis cette date, des définitions complémentaires et nouvelles font l’objet de normes nationales ou internationales, en particulier la norme européenne NF EN 13306 [3]. Pour des définitions liées aux méthodes RCM, le lecteur trouvera dans [4], [MT 9 310], [SE 1 650] et [SE 1 655] d’autres informations complémentaires.
Les définitions des tâches de maintenance retenues par John Moubray reprennent pour la majorité d’entre elles celle utilisée par N&H dans leur rapport sur la RCM. En revanche, d’autres définitions ont vu leurs contenus fortement modifiés, d’une part pour utiliser un langage plus pragmatique, et d’autre part pour prendre en compte l’évolution des techniques de la maintenance préventive. • Tâches proactives : elles correspondent à des tâches de maintenance qui sont réalisées avant l’occurrence de la défaillance dans le but de prévenir. Elles sont également appelées tâches de maintenance préventives ou prévisonnelles (predictives en anglais). Elles incluent la maintenance conditionnelle, la remise en état programmée et la mise au rebut programmée. Ces tâches proactives de maintenance dépendent du comportement des équipements pendant leur durée de vie et nécessitent la connaissance des lois de probabiblité conditionnelle de défaillance. La figure 1 représente les allures les plus classiques relevées sur les équipements industriels.
§ Définitions générales • Fonction : ce que le possesseur ou utilisateur d’une installation physique ou d’un système veut qu’il réalise. La définition d’une fonction inclut un verbe, un objet et un niveau spécifié de performance. • Capacité initiale : elle représente ce que l’installation physique ou l’équipement peut réaliser en termes de performance de sa (ou ses) fonction(s). Elle dépend uniquement de sa conception et de sa fabrication. Elle est appelée fiabilité inhérente dans la RCM2.
La courbe A est la courbe en baignoire. Elle est caractérisée par une période de jeunesse avec une allure décroissante, une période de maturité avec un taux constant et une période de vieillissement où le taux de défaillance devient croissant. La courbe B possède un taux de défaillance constant suivi d’un taux croissant lié à l’usure. La courbe C a un taux de défaillance croissant linéaire ne possédant pas une période d’usure identifiable. La courbe D a un taux de défaillance croissant au début de vie suivi d’un taux constant. La courbe E à un taux de défaillance constant (loi exponentielle) et la courbe F se caractérise par un taux de défaillance décroissant pendant la période de jeunesse suivie d’un taux constant ou légèrement croissant.
• Contexte opérationnel : les conditions dans lesquelles il est prévu que l’installation physique ou le système fonctionne. • Défaillance : la défaillance est définie comme l’incapacité de toute installation ou système de réaliser ce que son utilisateur veut qu’il réalise. • Défaillance fonctionnelle : la défaillance fonctionnelle est définie comme l’incapacité de toute installation ou système de réaliser sa (ou ses) fonction(s) à des niveaux de performance qui soient acceptables par l’utilisateur.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WS
SE 1 660 – 3
S
S
WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVU
Méthode de maintenance basée sur la fiabilité de la SAE par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2
Origines et principes ............................................................................ Origines des publications de la SAE sur la RCM .................................... Principes et critères de la méthode RCM de la SAE...............................
2. 2.1 2.2
Terminologie et définitions ................................................................ Préambule.................................................................................................. Recommandations et remarques ............................................................
— — —
3 3 6
3. 3.1 3.2
Principes directeurs de la méthode RCM de la SAE.................... Principes directeurs généraux ................................................................. Principes directeurs particuliers relatifs au contenu des tâches et de leur procédure de sélection ............................................................
— —
6 7
—
8
4. 4.1 4.2 4.3 4.4
Exemple d’application à système de freinage hydraulique d’un véhicule automobile ............................................ Description du système de freinage d’un véhicule automobile............ Fonctions et défaillances fonctionnelles du système de freinage ........ Sélection des tâches de maintenance du système de freinage ............ Synthèse de l’étude sur le système de freinage hydraulique ...............
— — — — —
11 11 12 12 16
5.
Conclusion...............................................................................................
—
16
6.
Glossaire ..................................................................................................
—
16
Pour en savoir plus ........................................................................................
SE 1 665 - 3 — 3 — 3
Doc. SE 1 665
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle, présente le contenu méthodologique des documents élaborés par la SAE (Society of Automotive Engineers) pour servir de guide pour l’élaboration et pour l’évaluation d’une méthode de maintenance basée sur la fiabilité (RCM) qui respecte strictement les principes originaux définis par Nowlan et Heap en 1978 et noté dans cet article RCM-N&H. Suivant la SAE, certaines méthodes ne respectaient pas les principes fondamentaux de la RCM et d’autres se révélaient contreproductives ou mêmes dangereuses. Dans cet article, les deux documents JA 1011 et JA 1012 sont analysés et commentés. Le document JA 1011 présente les critères minima à respecter pour qu’une politique de maintenance soit conforme à la RCM-N&H. Le guide JA 1012 présente la méthodologie à suivre et les exigences requises pour se prévaloir de la RCM-N&H. La première section présente les origines de la démarche qui résulte de la volonté de la SAE de mettre à la disposition des différents secteurs industriels des documents de référence sur la RCM en fédérant les efforts entrepris par plusieurs organismes américains faisant référence dans le domaine de la RCM.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQU
C
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WU
SE 1 665 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVU MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE ___________________________________________________________________________
S
Les principales définitions indispensables pour la définition des critères d’évaluation d’une politique de RCM sont extraites et traduites des documents JA 1011 et JA 1012 et constituent le contenu de la deuxième section. Une attention particulière a été portée pour retranscrire le plus fidèlement possible les informations essentielles contenues dans ces deux documents. La SAE préconisant l’utilisation de sept questions pour obtenir le plan initial de maintenance RCM-N&H, la seconde section sera dédiée aux cinq questions relatives aux définitions sur les fonctions, les modes, les causes et les conséquences des défaillances. Compte tenu des différences significatives d’interprétation entre les définitions de la SAE et celles des normes internationales pour les AMDE (analyse des modes de défaillance et de leurs effets), une comparaison est fournie au lecteur pour lever toute ambiguïté. Dans la mesure où ces deux documents peuvent être considérés comme des supports d’un audit de maintenance RCM-N&H, les formes verbales qui sont contenues dans ces textes sont également explicitées. Ensuite, la troisième section sera consacrée aux deux questions restantes et dont les réponses sont l’objet de principes généraux et particuliers pour déterminer et sélectionner les tâches de maintenance. Les principes généraux concernent l’utilisation des courbes de probabilité conditionnelle des défaillances, les notions de tâches techniquement faisables, qui en valent la peine et qui sont efficaces au plan économique, les notions de défaillance évidentes et cachées et leurs conséquences sur la sécurité, l’environnement et l’exploitation. Les principes particuliers sont relatifs aux libellés et contenus des tâches, à leur procédure de sélection et au programme évolutif. Pour les tâches proactives, l’interprétation de la courbe de dégradation qui permet de surveiller le comportement de l’équipement entre la défaillance potentielle et la défaillance fonctionnelle fait l’objet d’un développement complet. Le cas des tâches programmées de mise au rebut, de remise en état et de recherche de défaillances cachées est également analysé. En l’absence de tâches programmées techniquement faisables et qui en valent la peine, des solutions alternatives sont proposées : reconception, modification des conditions d’exploitation et fonctionnement jusqu’à défaillance. Pour la sélection des tâches, une approche rigoureuse basée sur les AMDE est tout d’abord présentée suivie d’une approche pragmatique à base de diagrammes et d’arbres de décision. Le programme initial de maintenance étant intrinsèquement sujet à des imprécisions, les principes de la procédure de révision sont ensuite détaillés. Pour illustrer le déroulement d’une étude de maintenance basée sur la fiabilité conforme à la SAE, le cas d’un système de freinage hydraulique d’un véhicule automobile est traité. Un tableau AMDE présente le cas de deux fonctions avec leurs défaillances, les modes de défaillance et leurs effets. Ensuite, les diagrammes de sélection des tâches sont présentés pour deux modes de défaillance avec les tâches et leur fréquence. Actuellement, les critères et la méthodologie définie dans les documents JA 1011 et JA 1012 servent de base à l’élaboration de normes sectorielles qui garantissent que la démarche suivie est conforme à celle de Nowlan et Heap. Les documents JA 1011 et JA 1012 ne proposent pas une procédure de réalisation d’un programme de maintenance RCM-N&H, mais les exigences qu’il doit satisfaire pour revendiquer cette appellation. Il est important cependant de souligner qu’ils ont été très largement inspirés de la méthode de John Moubray. La comparaison des trois méthodes : Nowlan et Heap, RCM2 et SAE diffèrent principalement par des terminologies différentes, mais sont très semblables dans leurs principes.
SE 1 665 − 2
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVU ____________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE
1. Origines et principes
1.2.1 Définition de la RCM suivant la SAE La définition de la RCM suivant la SAE est : « une procédure spécifique utilisée pour identifier les politiques de maintenance qui doivent être mises en œuvre pour gérer les modes de défaillance qui pourraient induire des défaillances fonctionnelles de tout bien physique dans un contexte opérationnel défini ». Cette définition diffère de celle de Nowlan et Heap : « la RCM fait référence à un programme de maintenance programmée destiné à obtenir les capacités inhérentes de fiabilité d’un équipement » [3].
1.1 Origines des publications de la SAE sur la RCM Au début des années 1990, le département américain de la Défense (DOD) prend l’initiative d’éliminer l’utilisation de normes militaires lors de l’acquisition de nouveaux équipements et de faire appel uniquement à des normes civiles. Parmi celles-ci figure la MIL-STD-2173 [1] qui décrit la méthode RCM utilisée par la NAVAIR (Naval Air Systems Command). Pour développer une nouvelle norme civile, la SAE (Society of Automotive Engineers ) est alors sollicitée pour diriger un groupe de travail chargé d’élaborer une norme sur la RCM. Après de nombreuses discussions, le groupe de travail s’oriente vers la définition d’un ensemble de critères permettant de s’assurer qu’une politique de maintenance est conforme aux principes originaux de la RCM définis par Nowlan et Heap.
1.2.2 Sept questions fondamentales d’une procédure RCM conforme à la SAE Lors de l’audit d’un programme de maintenance se revendiquant de la RCM-N&H, la SAE impose que sept questions spécifiques soient posées séquentiellement et que chaque réponse soit fournie et argumentée.
Nota : la méthode originale de Nowlan et Heap possédant plusieurs appellations dans la littérature : « vraie RCM », « RCM originale », « RCM authentique », le terme « RCM-N&H » est utilisé dans cet article.
Ces sept questions sont les suivantes : 1. Quelles sont les fonctions et leurs spécifications de performances associées de l’équipement dans son contexte opérationnel (fonctions) ? 2. De quelles façons le bien ou le système cesse-t-il d’accomplir ses fonctions (défaillance fonctionnelle) ? 3. Quelles sont les causes de chaque défaillance fonctionnelle (modes de défaillance) ? 4. Que se passe-t-il quand une défaillance se produit (effets de la défaillance) ? 5. Quelle est l’importance des conséquences de chaque défaillance (conséquences des défaillances) ? 6. Que peut-il être fait pour prédire ou prévenir chaque défaillance (tâches proactives et intervalle entre tâches) ? 7. Que peut-il être fait si une tâche de maintenance proactive n’existe pas (tâches alternatives ou par défaut) ?
Pour conforter le caractère industriel du contenu des documents, le groupe de travail sollicite en 1997 la participation de John Moubray, concepteur de la RCM2. Grâce à cette nouvelle dynamique, le premier document SAE JA 1011 Evaluation Criteria for Reliability-Centered Maintenance (RCM) Processes voit le jour en 1999 [2]. Les concepts et le vocabulaire utilisés pour établir ce document reposent sur trois publications qui sont considérées comme les références de la RCM : – 1. le rapport de Nowlan et Heap de 1978 : Reliability-Centered Maintenance [3] ; – 2. la norme MIL-STD-2173 Reliability-Centered Maintenance Requirements of Naval Aircraft, Weapons Systems and Support Equipment et celle qui lui a succédé : Management Manual 00-25-403 Guidelines for the Naval Aviation Reliability-Centered Maintenance Process [4] ; – 3. l’ouvrage Reliability-Centered Maintenance RCM2 de John Moubray [5]. Il a été suivi de la publication du document SAE JA 1012 : A Guide to the Reliability-Centered Maintenance (RCM) Standard [6] qui complète et clarifie certains points de la JA 1011. On peut considérer que ces deux documents servent de base pour entreprendre un audit d’une politique de maintenance RCM-N&H.
Remarque Ces sept questions utilisées sont strictement identiques à celles posées dans la méthode RCM2 de John Moubray.
Toutes les réponses doivent obligatoirement être explicitées et renseignées afin qu’elles soient accessibles et acceptables pour un exploitant ou un utilisateur. Les questions 1 à 5 précisent les définitions et les termes utilisés par la JA 1011 et la JA 1012 pour assurer les critères de la méthode RCM-N&H. Elles seront développées en détail dans la section 2. Les questions 6 à 7 concernent les critères associés à la gestion des défaillances, ainsi qu’à la sélection des tâches de maintenance et feront l’objet de la section 3.
Remarque En raison de la présence de John Moubray dans le groupe de travail de la SAE, certains observateurs ont considéré que les documents JA 1011 et JA 1012 étaient développés à partir de sa méthode RCM2. Face à ces détracteurs, les rédacteurs de ces documents insistent sur le fait que la majorité du contenu de la JA 1011 avait été définie avant l’arrivée de John Moubray en 1997 et certifient qu’ils ont respecté les principes originaux de la RCM-N&H. Cependant, une lecture attentive de l’ouvrage RCM2 de John Moubray et du guide JA 1012 fait ressortir que la grande majorité des figures et des exemples contenus dans la JA 1012 sont des reproductions intégrales de celles de l’ouvrage RCM2 de John Moubray.
2. Terminologie et définitions 2.1 Préambule Cette section présente les traductions des principaux termes et les définitions utilisées relatives aux cinq premières questions. Il est important de noter que depuis cette date, des définitions complémentaires et nouvelles font l’objet de normes nationales ou internationales, et en particulier la norme européenne NF EN 13306 [7]. Pour des définitions liées aux méthodes RCM, le lecteur trouvera dans [8], [MT 9 310], [SE 1 650], [SE 1 655] et [SE 1 660] d’autres informations complémentaires.
1.2 Principes et critères de la méthode RCM de la SAE Les documents JA 1011 et JA 1012 ont été rédigés pour fournir aux acteurs de la maintenance des critères à respecter pour s’assurer qu’ils appliquent une procédure RCM conforme à celle de la méthode originale RCM-N&H.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WW
SE 1 665 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVU MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE ___________________________________________________________________________
Suivant cette définition, cela implique qu’une fois le bien mis en service, il doit être capable de fournir plus que le niveau minimal de performance souhaité par l’utilisateur. Cependant, comme un équipement a des performances qui se dégradent au cours du temps, la SAE définit la notion de capacité initiale qui dépend de la conception. Celle-ci étant supérieure à ce que souhaite l’utilisateur, on dispose alors d’une marge avant la dégradation.
Dans le domaine de la normalisation, des formes verbales pour exprimer des dispositions font l’objet de normes internationales dont l’ISO/IEC Directives, Part 2-Rules for the structure and drafting of International Standards [9]. Ainsi la forme verbale « shall » qui est traduite par « doit » sert à formuler une exigence. Une exigence ou « requirement » est définie par l’expression, dans le contenu d’un document, formulant les critères à respecter afin de prétendre à la conformité avec le document, et avec lesquels aucun écart n’est permis. Le lecteur trouvera dans ces normes le sens des formes verbales « must », « should », « may » et leurs équivalences françaises.
1. la performance souhaitée (ce que l’utilisateur veut que le bien réalise) ; 2. la capacité intrinsèque (built-in capability ).
Les documents JA 1011 et JA 1012 ont été rédigés avec la forme verbale « shall ». En conséquence, les éléments définis dans les sections 2 et 3 et leurs paragraphes respectifs devront être considérés comme des exigences en dépit de leurs formulations volontairement simplifiées pour ne pas alourdir leur lecture.
Dans le cas de la pompe, pour être capable de garantir qu’elle réalise ce que l’utilisateur souhaite avec une marge prédéfinie de dégradation, le concepteur du système de transfert devra choisir une pompe avec une capacité initiale supérieure à 800 L (par exemple de 1 000 L/min).
2.1.1 Immobilisation matérielle La notion d’immobilisation matérielle, « physical asset » en anglais, est un terme qui correspond à un bien enregistré en comptabilité. Un bien correspond à tout élément, composant, mécanisme, sous-système, unité fonctionelle, équipement ou système qui peut être considéré individuellement. Dans une analyse RCM, leurs limites physiques doivent être formellement définies. Ensuite, une décomposition hiérarchique fonctionnelle et/ou matérielle à plusieurs niveaux doit être construite pour identifier les fonctions, les défaillances, les modes de défaillance et leurs effets.
2.1.3 Défaillances fonctionnelles Les réponses à la question n˚ 2 : « de quelles façons le bien ou le système cesse-t-il d’accomplir ses fonctions (défaillance fonctionnelle) ? » permettent d’établir une distinction entre la défaillance d’un équipement et la défaillance fonctionnelle. Un équipement est défaillant s’il est incapable de réaliser ce que l’utilisateur lui demande d’accomplir. Dans ce cas, sa performance se situera dans la zone rouge de la figure 1. Comme cet état de défaillance global peut être la conséquence de la perte d‘une ou de plusieurs fonctions, il est préférable d’employer le terme de défaillance fonctionnelle. La défaillance fonctionnelle est définie comme l’incapacité de toute installation ou système de réaliser sa (ou ses) fonction(s) à ses niveaux souhaités de performance. Deux catégories de défaillances fonctionnelles sont à distinguer : défaillance fonctionnelle totale et défaillance fonctionnelle partielle. La défaillance fonctionnelle induit la perte totale de la fonction totale, tandis que la défaillance partielle induit une dégradation des performances de l’équipement. Pour garantir une exhaustivité des études, toutes les défaillances fonctionnelles totales et partielles doivent être recensées et documentées. La défaillance potentielle est une condition physique mesurable qui indique que la défaillance est sur le point de se produire.
2.1.2 Fonctions La question 1 : « quelles sont les fonctions et leurs spécifications de performances associées de l’équipement dans son contexte opérationnel (fonctions) ? » impose que les éléments suivants soient détaillés : – le contexte opérationnel ; – les fonctions primaires et secondaires ; – la formulation des fonctions ; – les critères de performance. 2.1.2.1 Contexte opérationnel Le contexte opérationnel explicite comment et où un équipement est utilisé, ainsi qu’une description succincte de ses critères de performance. 2.1.2.2 Fonctions primaires et secondaires
CAPACITÉ INITIALE (ce que peut accomplir l’équipement)
Les recommandations de la SAE imposent que la liste de toutes les fonctions d’un équipement soit établie en les classant en deux catégories : les fonctions principales et les fonctions secondaires. Les fonctions principales représentent la (ou les) raison(s) d’être de l’acquisition de l’équipement. Les fonctions secondaires ne sont pas en général liées aux fonctions principales (excepté le cas des fonctions de protection). Elles doivent être recensées car leurs pertes peuvent conduire à des conséquences plus sérieuses que celles des fonctions principales.
PERFORMANCE
S
La figure 1 illustre la relation entre la capacité initiale et le niveau souhaité de performance. Cela permet de définir la performance de deux manières :
2.1.2.3 Formulation des fonctions La description d’une fonction est réalisée à l’aide d’un verbe à l’infinitif, d’un objet et d’un critère de performance (quantifié chaque fois que cela est possible). Ainsi, une pompe transférant de l’eau d’un réservoir X vers un réservoir Y sera formulée par : pomper de l’eau du réservoir X vers le réservoir Y avec un débit jamais inférieur à 800 L/min.
Marge avant dégradation
PERFORMANCE DÉSIRÉE (ce que l’utilisateur spécifie)
2.1.2.4 Critères de performances Les critères de performances figurant dans la définition de la fonction correspondent au niveau de performance souhaité par le possesseur ou l’utilisateur de l’équipement dans son contexte opérationnel.
SE 1 665 – 4
Figure 1 – Capacité initiale et performance désirée
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVW
Méthode de maintenance basée sur la fiabilité de la CEI par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1.
Origines et principes ............................................................................
2.
Cinq étapes de la méthode MBF de la CEI .....................................
—
3
3.
Exemple d’application à un système de production d’air comprimé de quatre agroalimentaire ....................................
—
11
4.
Conclusion...............................................................................................
—
16
5.
Glossaire ..................................................................................................
—
18
Pour en savoir plus ........................................................................................
SE 1 667 - 2
Doc. SE 1 667
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle, présente les principes de la méthodologie définie dans la norme 60300-3-11(2009) de la Commission électrotechnique internationale pour établir une politique de maintenance basée sur la fiabilité (MBF), notée dans cet article par l’acronyme MBF-CEI. La première section présente les origines de la démarche, initialement conforme à la politique définie par la norme ATA-MSG-3 dans le domaine aéronautique et qui a été ensuite entièrement modifiée pour être applicable à tous les secteurs de l’industrie. La volonté de la CEI dans cette norme MBF est de fournir un cadre méthodologique, des recommandations et des méthodes d’analyse tout en laissant à un utilisateur potentiel plusieurs alternatives sans lui imposer des exigences formelles. La MBF-CEI est définie « comme une méthode pour identifier et sélectionner efficacement des politiques de gestion des défaillances à mettre en œuvre pour atteindre réellement et efficacement la sécurité, la disponibilité et un fonctionnement à l’optimum économique requis ». Les termes utilisés par cette norme seront définis dans chaque section en fonction des besoins, sachant que la CEI a publié plusieurs normes sur la terminologie à mettre en œuvre pour la sûreté de fonctionnement et sur les Amdec. Ensuite, les formes verbales utilisées feront l’objet de commentaires pour aider le lecteur à faire la distinction entre les éléments à caractère obligatoire et ceux faisant l’objet de recommandations. La procédure globale préconisée par la CEI pour établir le programme de maintenance MBF comprend cinq étapes et fait l’objet de la seconde section. La première étape concerne les éléments nécessaires à rassembler avant d’entreprendre le développement du programme de maintenance MBF : objectifs recherchés, contenu de l’analyse, recensement des informations sur le système, définition des conditions de fonctionnement de l’entité, qualification et formation de personnes chargées des études et planification. Elle se concrétise par la rédaction d’un plan d’analyse et du contexte de fonctionnement. La deuxième étape est consacrée à l’analyse des défaillances fonctionnelles. Elle fait appel au recueil et à l’exploitation du retour d’expérience, aux méthodes de décomposition fonctionnelle, à l’inventaire des
p。イオエゥッョ@Z@、←」・ュ「イ・@RPQU
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
WY
SE 1 667 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVW MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI ____________________________________________________________________________
S
fonctions de l’entité et à l’utilisation et la rédaction des Amdec (analyse des modes de défaillance de leurs effets et de leur criticité). Compte tenu du fait que les notions de sévérité et de criticité sont importantes à maîtriser pour l’identification des modes dominants de défaillance, les méthodes d’évaluation sont également détaillées. La troisième étape est dédiée aux exigences relatives à la sélection des tâches de maintenance. Elle prend en compte les conséquences des défaillances, le choix d’une politique de gestion la plus appropriée et la plus efficace et la détermination de l’intervalle entre tâches. Des références aux outils analytiques disponibles pour la détermination des intervalles entre tâches de maintenance seront également présentées à l’aide de données statistiques issues du retour d’expérience. La quatrième étape indique la procédure de mise en œuvre des tâches pour élaborer le programme de maintenance : détails sur les contenus, hiérarchisation, rationalisation des intervalles entre tâches et effet du vieillissement. La dernière étape donne les lignes directrices pour l’amélioration continue du programme MBF en utilisant les données d’exploitation : contrôle de l’efficacité de la maintenance, contrôle des objectifs de sécurité opérationnels et économiques et évaluation de l’effet du vieillissement. Compte tenu du fait qu’à l’origine, la première version de la norme MBF-CEI puisait ses racines dans le domaine aéronautique suivant la norme ATA-MSG-3 qui décrit séparément le cas des systèmes et des structures, la deuxième section présentera l’adaptation de la démarche MBF-CEI au cas des structures. Le cas d’un système de production et de distribution d’air comprimé de très haute qualité pour des applications agroalimentaires illustrera la méthode d’élaboration d’un programme de maintenance MBF conforme à la norme CEI dans la troisième section. Il traitera deux fonctions dont les défaillances ont des conséquences sur la sécurité et sur la production. Le contenu des tâches de maintenance obtenu à l’aide du diagramme de sélection sera présenté, ainsi que les justifications sur les intervalles entre tâches. Finalement, la quatrième section proposera en conclusion une évaluation du contenu méthodologique de la norme CEI 60300-3-11 en mettant en exergue les similarités avec les méthodes MBF de Nowlan et Heap, de la RCM2, de la MSG-3 de la NAVAIR 00-25-403 et de la SAE JA 1012. Un ensemble de recommandations sera proposé au lecteur pour l’assister dans le choix de la méthodologie.
1. Origines et principes
(SAE JA1012 [3] [SE 1 665], NAVAIR 00-25-403 [4], RCM2 [5], [SE 1 660]). C’est la raison qui a conduit la CEI à élaborer une seconde version 60300-3-11 en 2009 [6], s’inspirant de ces documents et ne suivant plus les recommandations de la norme MSG-3. La méthode MBF-CEI peut être appliquée à tous types d’équipements et de systèmes constitués d’équipements et de structures.
1.1 Origine de la publication de la norme CEI 60300-3-11 sur la MBF La première édition de la norme CEI 60300-3-11 [1] de 1999 était basée sur la méthodologie de la norme ATA-MSG-3 [2]. Cette dernière définit les exigences pour le développement du programme initial de maintenance programmé pour les systèmes et la structure d’un aéronef. La première édition de la norme 60300-3-11 tente d’expliquer l’essentiel des principes pour tous les secteurs industriels et de présenter leur utilisation en appliquant la méthodologie MSG-3. Elle est définie comme « une méthode destinée à établir un programme de maintenance préventive qui permettra d’atteindre réellement et efficacement les niveaux requis de sécurité et de disponibilité des équipements et des structures afin d’aboutir à une amélioration globale de la sécurité, de la disponibilité, et des aspects économiques de l’exploitation ».
Cette version de la norme, objet de cet article, a été entièrement remaniée en proposant une procédure révisée de la MBF et une méthode pour le processus d’analyse. Elle définit la MBF comme « un processus décisionnel destiné à identifier des exigences efficaces en matière de maintenance préventive ou des actions de gestion applicables pour des équipements, en fonction des conséquences opérationnelles et économiques, ainsi que des conséquences sur la sécurité liées à chaque défaillance identifiable et à chaque mécanisme de dégradation responsable de ces défaillances ». La norme CEI 60300-3-11 fait partie d’un ensemble de quinze normes de la rubrique CEI 60300 spécifiques à la sûreté de fonctionnement. Elle fournit des lignes directrices permettant l’élaboration d’une politique de gestion des défaillances pour des équipements et des structures, fondée sur une analyse de maintenance basée sur la fiabilité (MBF).
De nouveaux documents de référence sur la MBF, valables pour tous les systèmes industriels, ont vu le jour après les années 2000
SE 1 667 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVW ____________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI
La procédure élaborée par la CEI reprend les bases conceptuelles des méthodes de Nowlan et Heap, de la norme SAE JA1012 et de la norme NAVAIR. La figure 2 représente la procédure générale de la MBF de la NAVAIR élaborée en 2005. Elle propose quatre étapes dont les contenus sont très proches des cinq étapes de la MBF-CEI.
Cette partie n° 11 sert de guide d’application et est un prolongement des normes CEI 60300-3-10 [7], CEI 60300-3-12 [8] et CEI 60300-3-14 [9]. Les activités de maintenance recommandées dans ces trois normes et se rapportant à la maintenance préventive peuvent être mises en œuvre en utilisant la présente norme. La norme CEI 60300-3-11 préconise l’utilisation de la norme CEI 60050-192 [10] (remplace la norme CEI 60050-191 annulée en 2015) pour les termes et les définitions. En conséquence, les termes relatifs à la maintenance définis par la norme NF EN-13306 [11] ne seront pas utilisés. Le site interactif de la CEI http://www.electropedia.org/ fournit gratuitement les définitions et termes de la norme CEI 60050-192. La prochaine date de révision de la norme est prévue en 2018.
2. Cinq étapes de la méthode MBF de la CEI 2.1 Préambule Contrairement aux normes JA1012 et NAVAIR qui contiennent des exigences formelles et obligatoires pour élaborer les programmes de MBF conformes à ceux définis par Nowlan et Heap, la norme MBF-CEI présente des lignes directrices et des recommandations concernant les activités de maintenance pour élaborer une politique de gestion des défaillances pour des équipements et des structures. Les sections qui suivent reprennent en détail les éléments représentés sur le diagramme de la figure 1.
Remarque La majorité des normes CEI ont des correspondances européennes NF EN. Ensuite, par souci d’homogénéité les références de la CEI seront uniquement mentionnées.
1.2 Définition, objectifs et principes de la méthode MBF-CEI
Les normes rédigées par la CEI devant satisfaire les formes verbales suivant la directive ISO/CEI – Partie 2 – Règles de structure et de rédaction des normes internationales de 2011 [13], un rappel sommaire des lignes directrices est fourni pour aider le lecteur à lever toute ambiguïté dans l’interprétation de cette norme. Ainsi, une exigence est définie par une « expression dans le contenu d’un document formulant les critères à respecter afin de prétendre à la conformité avec le document, et avec lesquels aucun écart n’est permis », le verbe « doit » est d’un usage obligatoire ; en revanche, pour une recommandation, le terme « il convient » est à utiliser.
1.2.1 Définition de la MBF suivant la CEI La norme CEI 603003-3-11 définit la maintenance basée sur la fiabilité MBF comme une « méthode pour identifier et sélectionner des politiques de gestion des défaillances à mettre en œuvre pour atteindre réellement et efficacement la sécurité, la disponibilité et un fonctionnement à l’optimum économique requis ».
Nota : la norme MBF-CEI énumère dans sa rédaction une liste d’exigences, mais utilise le terme « il convient » applicable aux recommandations, ce qui peut sembler contradictoire avec ce document normatif sur la rédaction des normes. Le secrétariat du groupe TC56 de la CEI contacté sur ce point reconnaît qu’il y a des erreurs dans les formes verbales utilisées et que cela peut entraîner des confusions.
Bien que cette norme fasse référence aux travaux des fondateurs de la MBF Nowlan et Heap, cette définition diffère sensiblement de celle de ses concepteurs : « la MBF fait référence à un programme de maintenance programmée destiné à obtenir les capacités inhérentes de fiabilité d’un équipement » [12] [SE 1 655].
2.2 Étape n° 1 : début et planification de la MBF-CEI
1.2.2 Objectifs de la MBF-CEI Les objectifs de la MBF-CEI sont de développer pour un programme demaintenancepréventiveefficaceayantpourbutsprincipaux :
Cette étape est indispensable pour élaborer le plan d’analyse prenant en compte les objectifs recherchés, les limites et le contenu de l’étude, la description de l’entité avec ses limites physiques et son contexte de fonctionnement. Elle permet de définir les connaissances à rassembler et les compétences du groupe de travail. Elle doit s’inscrire dans une politique de planification globale de la gestion de la maintenance et des défaillances propres à chaque culture d’entreprise.
– de maintenir les fonctions de l’entité avec le niveau de sûreté de fonctionnement requis dans un contexte donné de fonctionnement ; – d’utiliser les informations du retour d’expérience pour améliorer la conception des entités si cela s’avère nécessaire ; – d’atteindre ces objectifs avec un coût optimal pendant la durée du cycle de vie ; – de faire évoluer le programme initial de maintenance en révisant le contenu du programme initial, en modifiant les conditions d’exploitation et en adaptant les qualifications des personnels.
2.2.1 Détermination des limites et des objectifs de l’analyse L’une des premières considérations à prendre en compte pour entreprendre une analyse MBF est d’identifier comment elle s’intégrera dans la stratégie de l’entreprise en matière de sécurité, de coûts d’exploitation et de maintenance, de coûts commerciaux, et éventuellement du contexte réglementaire lié à l’environnement et/ou aux risques industriels. En particulier, il est important de dissocier le cas d’une entité nouvelle ayant potentiellement des faiblesses de conception de celui où l’entité fait l’objet d’un programme de maintenance que l’on souhaite optimiser. Ces limites étant connues, il appartient de définir en plus des objectifs décrits à la section 1.2.2 : 1. d’établir des tâches de maintenance optimale ; 2. d’identifier les domaines où la conception initiale peut être améliorée ; 3. d’évaluer les performances d’un programme déjà existant ; 4. d’évaluer les apports des outils de la sûreté de fonctionnement.
Le programme de maintenance MBF-CEI est applicable aussi bien à des entités nouvelles qu’en exploitation (systèmes et structures).
1.2.3 Principes de la MBF-CEI Le processus global de la MBF-CEI est représenté sur le schéma de la figure 1 ; il comporte cinq étapes qui seront détaillées dans la section 2 : 1. début et planification ; 2. analyse des défaillances fonctionnelles ; 3. sélection des tâches ; 4. mise en œuvre ; 5. amélioration continue.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
XQ
SE 1 667 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVW MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI ____________________________________________________________________________
RÉSULTATS
1. DÉBUT ET PLANIFICATION a) Détermination des limites et des objectifs de l’analyse b) Détermination du contenu de l’analyse c) Identification des connaissances et de l’expérience spécialisée disponibles, des responsabilités, et de toutes les exigences de formation d) Élaboration d’un contexte de fonctionnement pour l’(les) entité(s)
Plan d’analyse et contexte de fonctionnement
2. ANALYSE DES DÉFAILLANCES FONCTIONNELLES a) Recueil et analyse de toutes les données d’exploitation et des données d’essai disponibles b) Décomposition fonctionnelle c) Identification des fonctions, des défaillances fonctionnelles, des modes de défaillance, de leurs effets et de leur criticité
S
AMDE/AMDEC
3. SÉLECTION DES TÂCHES a) Évaluation des conséquences des défaillances b) Choix de la politique de gestion des défaillances la plus appropriée et la plus efficace c) Détermination de l’intervalle entre tâches
Exigences de maintenance
4. MISE EN ŒUVRE a) Identification des détails des tâches de maintenance b) Hiérarchisation et mise en œuvre d’autres actions c) Rationalisation des intervalles entre tâches d) Déclenchement de l’évaluation de l’effet du vieillissement
Programme de maintenance
5. AMÉLIORATION CONTINUE a) Contrôle de l’efficacité de la maintenance b) Contrôle des objectifs de sécurité, opérationnels et économiques c) Évaluation de l’effet du vieillissement
Données d’exploitation
Figure 1 – Processus général de la MBF-CEI
2.2.2 Détermination du contenu de l’analyse
informations techniques relatives à l’entité, et d’autre part les compétences des personnels chargés de la réalisation et de la mise en place sur l’entité du programme de maintenance préventive.
Il est important de rappeler qu’initialement, la finalité de la MBF était de définir un programme de maintenance initial sur des entités mises pour la première fois en service. Par conséquent, l’entité ne bénéficiait d’aucun programme de maintenance et il était nécessaire de définir entièrement le contenu de l’analyse MBF. Ultérieurement, la MBF a été appliquée à des entités dotées d’un programme de maintenance devant être rendu plus efficace. Le contenu de l’analyse doit permettre une sélection des entités et de hiérarchiser leur importance en fonction des conséquences des défaillances. L’intérêt de cette sélection est de restreindre le contenu des analyses aux seules entités jugées critiques, conformément aux critères propres à chaque entreprise. L’analyse inclut le cas des structures appartenant aux équipements et qui sont soumis à des charges statiques ou dynamiques.
■ Identification de connaissances techniques Parmi les éléments techniques indispensables à rassembler figurent notamment la connaissance : – des composants de l’entité à analyser et leur conception ; – des procédures d’exploitation et de maintenance ; – des défaillances, de leurs effets et de leurs causes ; – des environnements opérationnels réglementaires ; – du retour d’expérience sur les défaillances.
■ Identification des compétences techniques La réalisation d’une analyse MBF se réalisant obligatoirement dans le cadre d’un groupe de travail, il est indispensable de réunir des compétences ou d’organiser, si cela s’avère nécessaire, des sessions de formation des personnels portant sur :
2.2.3 Identification des connaissances et des compétences exigées
– la connaissance et la pratique de la méthode MBF ; – le management de projet ; – les techniques de maintenance préventive et leurs outils ; – les coûts des défaillances ; – les coûts des techniques de maintenance.
Afin d’obtenir un programme de maintenance MBF qui soit réellement efficace et qui apporte des gains significatifs de productivité, des prérequis sont indispensables pour garantir la meilleure exhaustivité possible de l’analyse MBF. Cela concerne d’une part toutes les
SE 1 667 – 4
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVY
Méthode de maintenance basée sur la fiabilité de la MSG-3 par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1.
Origines et évolutions de la méthode MSG-3 ...............................
2.
Objectifs et organisation du développement du programme de maintenance MSG-3 .......................................................................
—
3
3.
Développement de la maintenance programmée MSG-3 ..........
—
5
4.
Procédure d’analyse pour les systèmes/moyens de propulsion .........................................................................................
—
6
5.
Procédure d’analyse pour les structures de l’avion ...................
—
9
6.
Procédure d’analyse de zone (Zonal Analysis Procedure) ........
—
11
7.
Procédure d’analyse pour les systèmes de protection contre la foudre et les champs rayonnés à haute intensité (L/HIRF) ...
—
13
8.
Exemple d’application au système d’extinction d’incendie d’un réacteur d’avion...........................................................................
—
14
9.
Conclusion ..............................................................................................
—
20
10. Glossaire..................................................................................................
—
21
Pour en savoir plus ........................................................................................
SE 1 669 - 3
Doc. SE 1 669
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle, présente le contenu de la norme MSG-3 de l’ATA (Air Transport Association of America) applicable à la maintenance programmée des aéronefs. Cette norme et ses révisions est en vigueur depuis 1968 dans la réglementation américaine. Depuis 2003, l’Agence européenne de la sécurité aérienne (AESA) joue un rôle similaire pour l’Europe. Cet article est dédié uniquement aux aspects techniques liés aux programmes de maintenance. Les aspects organisationnels et réglementaires liés aux problèmes de certification américains ou européens sont brièvement décrits. La première section présente les origines et les évolutions de la démarche de maintenance qui a vu le jour lors de la mise en service du premier avion gros porteur, le Boeing 747, et qui a donné lieu au premier document intitulé MSG-1 rédigé par un groupe de travail appelé « Maintenance Steering Group ». Le retour d’expérience a conduit ensuite à rédiger la norme MSG-2. Puis les travaux menés par Nowlan et Heap sur la RCM (Reliability-Centered Maintenance) et les difficultés rencontrées pour appliquer la MSG-2 ont conduit l’ATA à mettre au point une troisième version MSG-3 en 1980. Cette norme a fait l’objet de onze révisions pour prendre en compte les nouvelles technologies : la dernière en date a été publiée en 2013.
p。イオエゥッョ@Z@ヲ←カイゥ・イ@RPQV
C
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
XS
SE 1 669 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVY MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3 _________________________________________________________________________
S
La deuxième section présente les objectifs et les principes du développement du programme de maintenance MSG-3 qui est destiné à fournir une assistance aux autorités réglementaires pour développer un programme initial de tâches de maintenance programmée et de leurs intervalles pour de nouveaux aéronefs et leurs moyens de propulsion. Comme mentionné dès 1978 par Nowlan et Heap, la finalité majeure de la MSG-3 est de maintenir les niveaux inhérents de sécurité et la fiabilité d’un aéronef. Elle décrit ensuite succinctement l’organisation définie par la FAA (Federal Aviation Administration) dans la circulaire d’information AC 121-22C permettant d’élaborer les programmes de maintenance programmée : le Maintenance Review Board (MRB). La validation du contenu des programmes de maintenance élaborés par les groupes de travail du MRB dépend des autorités réglementaires. La troisième section décrit l’approche et les objectifs du développement du programme de maintenance programmée MSG-3 et présente les deux groupes de tâches de maintenance avec les définitions de leurs contenus techniques. La quatrième section concerne le contenu de la procédure d’analyse pour les systèmes et les moyens de propulsion. Les critères pour classer un élément comme étant un élément significatif pour la maintenance (MSI – Maintenance Significant Item) font l’objet d’une description détaillée avec les étapes à accomplir. La cinquième section décrit la procédure d’analyse pour les structures d’un aéronef. Elle précise les définitions des éléments de structures et de leurs modes et sources de dégradation : dommages accidentels dus à l’environnement et à la fatigue. Les critères définissant les éléments structurels significatifs (SSI – Structural Significant Item) devant faire l’objet d’une maintenance y sont précisés, ainsi que la méthode de cotation vis-à-vis des dommages. La maintenance programmée des SSI repose principalement sur différents niveaux d’inspection et le cas des structures métalliques et non métalliques est considéré. Le contenu des tâches de maintenance et de leurs intervalles et les recommandations pour le développement du programme de maintenance font l’objet de descriptions succinctes. La sixième section présente la procédure d’analyse zonale (Zonal). La méthode de définition de zones est présentée, ainsi que les critères de cotation vis-à-vis des dommages. La logique de décision pour les différentes tâches d’inspection prend en compte la présence de câblage et/ou d’éléments combustibles. La septième section concerne les procédures spécifiques de maintenance pour les systèmes de protection contre la foudre et les champs rayonnés à haute intensité. Elle souligne que la majorité des tâches associées sont définies par l’inspection de zones. En cas de besoin, des tâches supplémentaires de maintenance doivent être mises en œuvre. Elle présente également les critères de notation vis-à-vis des dommages et le diagramme logique de décision pour les tâches de maintenance. La huitième section développe l’application de la MSG-3 au système d’extinction de l’incendie d’un réacteur pour une défaillance cachée et une défaillance évidente. La conclusion de l’article propose une synthèse sur les spécificités de la MSG-3 et confirme qu’elle correspond bien à une méthode de RCM adaptée aux besoins des nouveaux aéronefs. Elle sensibilise le lecteur à la nécessité d’une veille technologique pour suivre ses mises à jour adaptées aux nouvelles technologies utilisées dans les aéronefs à voilure fixe ou tournante.
SE 1 669 − 2
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVY _________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3
1. Origines et évolutions de la méthode MSG-3
centered maintenance) ou MBF (Maintenance basée sur la fiabilité) et qui sert de référence encore aujourd’hui. Ce document propose un premier arbre logique de sélection suivant la nature évidente ou cachée de la défaillance. Ensuite, quatre arbres permettent de sélectionner cinq tâches appropriées de maintenance : – inspections programmées à intervalles réguliers (On Condition-OC ) ; – travaux de remise en état à, ou avant, la durée de vie spécifiée (Rework Task-RW) ; – mise au rebut à, ou avant, la durée de vie spécifiée (Discard Task -LL) ; – inspections programmées pour découvrir les défaillances fonctionnelles cachées (Failure Finding Task-FF) ; – combinaison des tâches (Comb).
1.1 Origine La MSG-3 est l’ultime évolution d’un processus commencé en 1930 par le Transport Airline Inspection Service, ancêtre de la FAA, qui précisait que « tous les instruments et accessoires devaient être obligatoirement démontés à des intervalles appropriés ». Ces pratiques ont ensuite évolué vers 1947 avec l’apparition de l’entretien « suivant état » et de la collecte des données de fiabilité pour mettre en œuvre la méthode statistique de l’actuariat. Puis, avec l’apparition des avions commerciaux propulsés par des réacteurs et l’impossibilité de maîtriser la fiabilité de certains équipements, les constructeurs et exploitants d’avions commerciaux ont été conduits à développer de nouveaux concepts de maintenance. En 1967, il est apparu évident qu’il fallait consolider les connaissances accumulées et développer des techniques de maintenance afin de pouvoir : – établir un programme efficace de maintenance programmée avant la mise en service de nouveaux types d’avions ; – modifier le programme initial de maintenance des avions existants en se basant sur les données de fiabilité en provenance du retour d’expérience.
L’application de la MSG-2 pour l’interprétation des procédures de maintenance Condition Monitoring (CM), On-Condition (OC), Hard Time (HT) a rencontré des difficultés pratiques de mise en œuvre sur le terrain. Des études ont été conduites pour remplacer la démarche orientée « méthodes de maintenance » par une démarche orientée « tâches de maintenance » qui caractérise la version initiale de la MSG-3. Depuis cette date, de nombreuses révisions ont été réalisées pour tenir compte de l’utilisation de nouveaux matériaux non métalliques et de systèmes numériques embarqués. Actuellement, onze révisions ont été rédigées depuis 1980, la dernière étant la MSG-3 2013.1 [4] qui comporte deux volumes : le premier dédié aux avions à voilure fixe et leurs moyens de propulsion et le second aux aéronefs à voilure tournante et leurs moyens de propulsion. Concernant cette dernière révision des différences, le contenu des tâches de maintenance, ainsi que les arbres de sélection ont été adaptés à ces deux catégories.
La mise en service du Boeing 747 a conduit à mettre en place un groupe de travail appelé MSG (Maintenance Steering Group) pour élaborer une méthode de maintenance. Ainsi, la MSG-1 [1] a vu le jour en 1968 sous le nom de « 747 Maintenance Steering Group : Maintenance Evaluation and Program Development ».
Nota : l’Air Transport Association of America (ATA) a changé de nom en 2011 et est devenue « Airlines for America (A4A) » en 2011.
Nota : la norme MSG-3 est une norme américaine dont il n’existe pas de version en français. Par conséquent, les termes anglais ne seront pas traduits pour éviter l’emploi de termes français inadaptés au monde aéronautique et ils seront mis en italique dans cet article. Soulignons que l’anglais est la langue de travail chez les grands constructeurs aéronautiques et dans les organismes de réglementation aérienne.
2. Objectifs et organisation du développement du programme de maintenance MSG-3
1.2 Évolution La MSG-1 était basée sur des méthodes d’entretien préventif et curatif.
2.1 Objectifs
Pour l’entretien préventif, deux modes ont été définis : – l’entretien à « temps limite » (Hard Time-HT) qui définit un intervalle de temps maximum fixé à l’issue duquel un élément doit être révisé ou réformé ; – l’entretien suivant la vérification de l’état (On Condition-OC). Les tâches consistent à inspecter, à des intervalles de temps maximum fixés, les éléments concernés.
L’objectif de la norme MSG-3 est de présenter les moyens à mettre en œuvre pour développer des tâches de maintenance programmée et leurs intervalles qui seront acceptables par les autorités réglementaires, les exploitants des aéronefs et les constructeurs pendant toute leur durée de vie. Historiquement, le programme initial de maintenance était spécifié dans les différents rapports du Maintenance Review Board (MRB), organisation créée spécialement pour remplir cette tâche.
Pour l’entretien correctif, une tâche de surveillance du comportement est préconisée (Condition Monitoring-CM ). La méthode MSG-1 utilisait des arbres logiques pour définir les tâches de maintenance programmée. Par la suite, le document MSG-2 [2] a été développé pour élaborer un programme de maintenance programmée adapté aux nouveaux avions en utilisant des logiques et méthodes d’entretien légèrement améliorées par rapport à la MSG-1.
2.2 Principes de l’organisation Depuis sa création en 1968, l’organisation et la structure du Maintenance Review Board font l’objet de circulaires régulièrement remises à jour par la FAA. La dernière circulaire publiée en 2012, l’AC n° 121-22C [5] fournit les lignes directrices que l’industrie doit mettre en œuvre pour développer et remettre à jour les exigences minimales relatives aux tâches de maintenance et à leurs intervalles pour des avions dérivés d’appareils existants ou des avions ayant eu récemment des certificats de type pour l’aéronef et ses moyens de propulsion dans le but d’une approbation par la FAA. Cette circulaire est indispensable pour la rédaction de plusieurs rapports de maintenance dont notamment le MRBR (Maintenance Review Board Report) et le MTBR (Maintenance Type Board Report). La figure 1 présente de façon intégrale l’organisation contenue dans la circulaire AC n° 121-22C et présente les
En 1979, le retour d’expérience et les événements observés ont montré la nécessité de réviser la procédure MSG-2 pour la maintenance de nouveaux avions. Ensuite, un groupe de travail de l’ATA a travaillé sur l’identification des points susceptibles d’être améliorés pour les nouveaux avions. Ainsi, un programme révisé de maintenance a été défini. Il exige des analyses minutieuses pour s’assurer que les tâches de maintenance sélectionnées garantissent le maintien des niveaux inhérents de sécurité et de fiabilité ou bien conduisent à des bénéfices économiques. En 1978, Nowlan et Heap ont publié le premier document [3] [SE 1 650] [SE 1 655] qui définit pour la première fois la RCM (Reliability-
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
XU
SE 1 669 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVY MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3 _________________________________________________________________________
Le « Maintenance Review Board (MRB) » est actif pendant toute la durée de vie de l’avion
Processus du Maintenance Review Board (MRB) Le demandeur du certificat de type (TC) sollicite la FAA pour organiser le Maintenance Review Board (MRB)
S
Mise en place du Maintenance Review Board (MRB) du Comité directeur (ISC) et des groupes de travail (WG)
Tâches de maintenance et intervalles proposés par le Maintenance Review Board (MRB)
Revue par le demandeur ou par le détenteur du certificat de type (TC)
Revues par le Comité directeur (ISC)
Acceptation par le Comité directeur (ISC) ?
Analyses par les groupes de travail (WG) : – constructeurs – conseillers du MRB – observateurs du TCB
NON
Le président du Maintenance OUI Review Board (MRB) examine et approuve le rapport
Rapport MRB
VIE OPÉRATIONNELLE DE L’AVION
Règles des programmes de maintenance
Le constructeur prépare les données de conception et de retour d’expérience pour les analyses et examens par les WG, I’ISC et le MRB
Programmes systèmes/ propulseurs Programme structural
Acronymes TC : Type Certificate MRB : Maintenance Review Board ISC : Industry Steering Committee WG : Working Group TCB : Type Certification Board ICA : Instructions for Continued Airworthiness
Programme zonal
CERTIFICATION DE TYPE
INSTRUCTIONS POUR LE MAINTIEN DE LA NAVIGABILITÉ ICA Source : AC 121-22C
Figure 1 – Organisation de la procédure MRB
d’établir la politique de maintenance, les intervalles initiaux, les tâches de maintenance programmée. L’ISC dirige les activités des groupes de travail (Maintenance Working Groups) et prépare les recommandations finales pour le MRB.
différentes analyses à mettre en œuvre pendant le cycle de vie d’un aéronef. Le lecteur pourra se reporter au contenu de cette circulaire pour obtenir plus de détails. Le rapport Maintenance Review Board Report (MRBR), soumis aux autorités réglementaires pour validation, résulte d’une organisation administrative constituée de trois entités : le Maintenance Review Board, l’Industry Steering Committee et les Maintenance Working Groups.
§ Maintenance Working Groups (MWGs) Les groupes de travail sont composés essentiellement de spécialistes des autorités réglementaires, d’exploitants et de constructeurs des équipements. L’objectif de ces groupes de travail est d’appliquer la logique de MSG-3 pour développer et proposer le contenu des tâches et de leurs intervalles pour un type spécifique d’avion. Les groupes de travail et l’ISC sélectionnent dès le début tous les Maintenance Significant Items (MSI’s), les Structural Significant Items (SSI’s) et les zones qui feront l’objet ultérieurement d’analyses détaillées.
§ Maintenance Review Board (MRB) Le MRB a l’entière responsabilité de la validation des tâches initiales de maintenance programmée pour un type spécifique d’avion ; elles seront ensuite soumises aux autorités réglementaires pour approbation finale. Le MRB est composé des représentants des compagnies aériennes clientes, des constructeurs de la structure et des moteurs, et des représentants des autorités réglementaires qui en assurent la présidence.
Bien que mentionné mais non défini dans la norme MSG-3, un document « The Policy and Procedures Handbook (PPH) » doit être rédigé au préalable suivant les recommandations et les modalités de la circulaire AC 121-22C. Il définit les politiques et les procédures qui doivent être respectées par l’ISC, le MRB et des différents groupes de travail pour assurer une cohérence pendant la phase d’analyse de la conception de l’aéronef.
§ Industry Steering Committee (ISC) La gestion des activités de développement du programme de maintenance programmée est réalisée par l’ISC, dont les membres sont les représentants des exploitants d’avions et des constructeurs de la structure et des moteurs. La responsabilité de l’ISC est
SE 1 669 – 4
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVVY _________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3
3. Inspection/test (IN/FC)]
Nota : pour prendre en compte les modifications liées aux nouvelles technologies, un organisme spécialisé a été créé en 1994 : l’International Maintenance Review Board Policy Board (IMRBPB). Il offre un forum structuré permettant de discuter de l’élaboration de politiques nationales et internationales pour l’ensemble des activités des MRB et de rédiger des documents de discussion (IP – Issue Paper) destinés à proposer des modifications de la MSG-3. La dernière charte a été révisée en avril 2015 et signée par la majorité des autorités de certification des grandes puissances.
fonctionnel
[Inspection/Functional
Check
– Inspection : ce terme général recouvre en pratique trois types d’inspection, soit : • une inspection visuelle générale [General Visual Inspection (GVI)] qui consiste à un examen visuel des zones extérieures et intérieures d’installations ou ensembles pour détecter des dommages évidents, défaillances et anomalies. Elle peut faire appel à l’usage de miroirs avec la lumière ambiante ;
3. Développement de la maintenance programmée MSG-3
• une inspection détaillée [Detailed Inspection (DET)] qui consiste à un examen intensif d’un élément spécifique d’un équipement pour détecter des dommages, défaillances et anomalies. Elle fait appel à l’usage de miroirs avec des sources complémentaires d’éclairage ;
3.1 Objectifs de la maintenance programmée
• une inspection spéciale détaillée [Special Detailed Inspection (SDI)] qui consiste à un examen intensif d’un élément spécifique d’ensembles pour détecter des dommages, défaillances et anomalies. Elle fait appel à un usage intensif de techniques spécialisées d’inspection et/ou à des équipements d’inspection. Un nettoyage spécialisé, un accès total ou des procédures de démontage peuvent être nécessaires.
Les objectifs de la maintenance programmée sont d’obtenir une politique de maintenance efficace d’un aéronef. Un programme de maintenance efficace selon la MSG-3 correspond à un programme qui met en œuvre uniquement les tâches nécessaires pour atteindre les objectifs fixés. Les objectifs fixés dans la MSG-3 reprennent intégralement ceux définis dans le document sur la RCM de Nowlan et Heap) en 1978 [3] (cf. page XVI) :
– Test fonctionnel [Functional Check/(FC)] : un test fonctionnel est un test quantitatif destiné à vérifier si une ou plusieurs fonctions d’un élément sont réalisées dans les limites spécifiées.
– assurer la réalisation des niveaux inhérents de sécurité et de fiabilité d’un avion ; – rétablir la sécurité et la fiabilité à leurs niveaux inhérents quand une dégradation survient ; – obtenir les informations nécessaires pour l’amélioration de la conception des entités dont la fiabilité inhérente s’avère insuffisante ; – accomplir ces objectifs à un coût total minimum, incluant les coûts de la maintenance et les coûts des défaillances.
– Surveillance programmée de l’intégrité des structures [Scheduled Structural Health Monitoring (S-SHM)] : cette tâche utilise un équipement spécialisé de surveillance des structures à base de capteurs. Elle est destinée à surveiller les charges de la structure et les dommages structurels (elle a été introduite dans la MSG-3 suite aux recommandations de l’IMRBPB). 4. Remise en état [Restoration (RS)]
Le niveau inhérent de sécurité et de fiabilité correspond à celui intégré dans l’entité, et par conséquent dépend de sa conception. C’est le niveau le plus élevé de fiabilité et de sécurité que l’on peut attendre d’une entité, d’un système ou d’un avion lorsqu’il fait l’objet d’une maintenance efficace. Aucune tâche de maintenance ne peut conduire à un niveau supérieur pour une conception donnée. Si l’on souhaite obtenir des niveaux plus élevés de fiabilité, des modifications ou des reconceptions doivent être mises en place.
Elle correspond aux travaux nécessaires pour remettre un élément conforme à ses spécifications d’origine. 5. Mise au rebut [Discard (DS)] Il s’agit du retrait du service de l’entité après une limite de durée de vie spécifiée.
3.2.2 Tâches de maintenance non programmées
3.2 Contenu de la maintenance programmée
En complément des tâches programmées définies à la section 3.2.1, des tâches de maintenance supplémentaires non programmées peuvent être mise en œuvre. Ces tâches peuvent résulter des :
Le contenu du programme de maintenance programmée se décompose en deux familles de tâches. Le premier groupe de tâches correspond à celles à réaliser à des intervalles spécifiés. Le deuxième groupe de tâches utilise des intervalles qui dépendent d’informations issues du retour d’expérience.
– tâches de maintenance programmée réalisées à des intervalles spécifiés ; – rapports de dysfonctionnements constatés principalement par l’équipage ; – analyses des données du retour d’expérience ; – rapports sur les défaillances potentielles constatées lors des activités de surveillance de l’avion.
3.2.1 Tâches de maintenance programmée La liste des tâches candidates pour la MSG-3 inclut : 1. Graissage/petit entretien [Lubrication/Servicing (LU/SV)]
3.2.3 Développement du programme de maintenance programmée
Elle correspond à toute tâche de graissage et petit entretien ayant pour objectif de maintenir les capacités inhérentes définies à la conception.
La méthode pour élaborer le programme de maintenance programmée repose sur une approche basée sur les tâches de maintenance et utilise des arbres logiques de décision prenant en compte les effets des défaillances. Les sections 4, 5, 6 et 7 de cet article seront dédiées respectivement aux systèmes et moyens de propulsion, aux structures, aux zones et aux systèmes de protection contre la foudre et champs rayonnés à haute intensité. Ils présenteront les procédures et les arbres logiques associés pour définir les tâches de maintenance applicables et économiques.
2. Test operational/visuel [Operational/Visual Check (OP/VC)] – Un test opérationnel est une tâche qui a pour but de déterminer si l’entité remplit sa mission prévue. – Un test visuel est une observation réalisée pour vérifier si l’entité remplit son utilisation prévue. Ces tâches ne requièrent pas de tolérance quantitative et sont déployées pour la recherche de défaillances cachées.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés
XW
SE 1 669 – 5
S
S
XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWQ
Méthode AP913 de maintenance basée sur la fiabilité des centrales nucléaires américaines par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès Sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2 1.3
1.5
Origines du processus AP913 développé par l’INPO .................. Origine et contexte.................................................................................... Contexte nucléaire aux États-Unis........................................................... Organismes réglementaires pour l’exploitation des centrales nucléaires américaines...................................................... Sûreté et fiabilité de l’exploitation des centrales nucléaires à eau pressurisée américaines................................................................. Maintenance Rule .....................................................................................
2. 2.1 2.2 2.3
Étapes du processus AP913 développée par l’INPO ................... Préambule.................................................................................................. Principe et organigramme de la démarche AP913................................. Mise en œuvre de l’organigramme de la démarche AP913 ..................
— — — —
8 8 8 9
3.
Retour d’expérience des exploitants avec la démarche AP913.....................................................................
—
16
4.
Exemple d’application au système de contrôle volumétrique et chimique (RCV).................................................................................. Description du système de contrôle volumétrique et chimique RCV ... Application au cas du système de pompes de charge du RCV en fonctionnement incidentel .................................................................. Synthèse de l’étude sur le système de contrôle volumétrique et chimique (RCV) .....................................................................................
— —
16 17
—
17
—
21
—
21
—
23
1.4
4.1 4.2 4.3 5.
Conclusion...............................................................................................
6.
Glossaire ..................................................................................................
Pour en savoir plus ........................................................................................
SE 1 671 - 2 — 2 — 3 —
4
— —
5 6
Doc SE 1 671
et article, s’adressant à des lecteurs ayant des connaissances de base sur la maintenance industrielle et la production d’énergie d’origine nucléaire, présente le contenu de la méthode AP913 (Advanced Process 913) développée par l’INPO (Institute of Nuclear Power Operations) pour la maintenance des centrales nucléaires américaines. L’INPO a publié un guide de recommandations intitulé « Reliability Process Description AP913 » qui fournit un cadre pour mettre en œuvre une procédure relative à la fiabilité des équipements pour aider les exploitants américains à améliorer la sûreté et la disponibilité de leurs centrales. La première section fournit les origines de cette démarche et précise le contexte de l’exploitation des centrales nucléaires aux États-Unis. L’AP913 étant spécifique aux centrales nucléaires, le fonctionnement des centrales à eau pressurisée et à eau bouillante est fourni de façon succincte. Dans cette même section et compte tenu du fait que la production
p。イオエゥッョ@Z@ェオゥョ@RPQV
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
XY
SE 1 671 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWQ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES _________________________________________
S
d’électricité d’origine nucléaire comporte des risques, les éléments indispensables à la maîtrise du process de l’AP913 seront rappelés. Ils concernent les organismes réglementaires pour l’exploitation des centrales nucléaires américaines, la sûreté et la fiabilité de l’exploitation des centrales nucléaires à eau pressurisée américaines, les systèmes de sûreté et de sauvegarde d’une centrale nucléaire, le concept de défense en profondeur, les études probabilistes de sûreté (EPS), la Maintenance Rule et l’échelle INES de l’AIEA. La seconde section présente les six étapes générales de la démarche indispensables pour réaliser le processus de gestion des actifs que représente une centrale nucléaire (Asset Management). C’est la réunion de toutes ces étapes qui constitue le processus de l’AP913. De façon similaire à la méthode de maintenance basée sur la fiabilité MBF de Nowlan et Heap développée en 1978, trois étapes concernent l’évaluation et l’identification des composants critiques, la mise en place de la maintenance préventive et l’amélioration continue de la fiabilité de l’équipement. Trois étapes supplémentaires assurent la cohérence pour le processus global de la gestion des actifs : le suivi des performances, les actions correctives, la planification à long terme et la gestion du cycle de vie. Cette seconde section explicite le contenu des actions et des questions à poser identifiées par leur repère dans l’organigramme détaillé de l’AP913. Le suivi de cette procédure est indispensable pour réaliser une maintenance conforme à l’AP913. La troisième section présente le bilan de la mise en place de l’AP913 dans plusieurs sites nucléaires. Le bilan indique que les accroissements de la sûreté, de la fiabilité et de la disponibilité sont effectivement obtenus. En revanche, les volumes de tâches de surveillance, d’entretiens préventifs et de remplacements augmentent de façon très significative. La quatrième section prend comme exemple le système de contrôle volumétrique et chimique (RCV) d’une centrale à eau pressurisée qui assure des fonctions critiques en fonctionnement normal et incidentel. Les tâches de maintenance pour un robinet à commande motorisée sont proposées à partir d’un canevas de maintenance et de tableau d’AMEC et d’une logique de sélection inspirée de la MBF. La conclusion de l’article propose une synthèse sur les spécificités de l’AP913 et souligne la nécessité de disposer de banques de données et des logiciels de traitement pour faciliter son déploiement. Elle insiste également sur l’engagement du management à fournir tous les moyens humains et financiers pour pérenniser cette démarche pendant toute la durée de vie de la centrale. Compte tenu de son efficacité démontrée aux États-Unis où elle a vu le jour, l’AP913 est adoptée dans d’autres pays produisant de l’énergie d’origine nucléaire et fait l’objet de révisions et d’adaptations. Par ailleurs, d’autres secteurs industriels commencent à s’intéresser à l’AP913 dans le cadre de l’Asset Management en les adaptant à leur stratégie d’entreprise.
1. Origines du processus AP913 développé par l’INPO 1.1 Origine et contexte
groupes interdisciplinaires pour analyser les causes de ces défaillances. Ces groupes constatèrent qu’il n’y avait pas d’explication simple à ce problème et qu’un besoin se faisait ressentir pour disposer d’une approche plus globale pour résoudre les problèmes liés à la fiabilité des équipements. Pour aider les exploitants américains à résoudre ce problème, l’INPO (Institute of Nuclear Power Operations ) a publié en 2001 un rapport intitulé Reliability Process Description AP913 [1] qui fournit un cadre pour mettre en œuvre une procédure relative à la fiabilité des équipements.
Au début des années 1990, des exploitants américains de centrales nucléaires ont obtenu grâce à leurs programmes de maintenance des résultats exceptionnels de leur disponibilité en dépit de défaillances fortuites des équipements conduisant à des arrêts non programmés. Chacun de ces exploitants a alors mis en place des
Nota : l’INPO (Institute of Nuclear Power Operations ) , implantée à Atlanta, est une organisation financée uniquement par l’industrie nucléaire américaine. Elle a été créée en 1979 en réponse aux conclusions du rapport de la commission Kemeny commandé par le Président des États-Unis Jimmy Carter [2] suite à l’accident de Three Mile Island le 28 Mars 1979. Les missions de l’INPO sont d’établir des objectifs de performance, des critères et des recommandations pour promouvoir l’excellence de l’exploitation de centrales nucléaires.
SE 1 671 – 2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWQ __________________________________________ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES
1.2 Contexte nucléaire aux États-Unis
1. Le cœur du réacteur composé d’éléments combustibles, contenant des pastilles d’uranium 235 enrichi, produit la chaleur par le processus de fission. 2. Cette chaleur est extraite par de l’eau sous pression dans le circuit primaire par un ensemble de pompes qui transfèrent la chaleur dans les parties primaires des générateurs de vapeur. La pression est maintenue constante à l’aide d’un pressuriseur (typiquement à une pression de l’ordre de 150 bars et une température moyenne de 310 °C). 3. La chaleur du circuit primaire est transmise à la partie secondaire des générateurs de vapeur qui produit de la vapeur pour alimenter les turbines et le groupe turboalternateur pour produire l’énergie électrique. 4. La vapeur à la sortie des turbines est refroidie par un condenseur à l’aide d’une source froide et réinjectée dans le circuit secondaire. 5. Le contrôle du réacteur est assuré par un ensemble de barres de contrôle qui permettent d’arrêter le réacteur en cas d’urgence ou d’en moduler sa puissance.
Les États-Unis produisent le plus d’électricité d’origine nucléaire dans le monde, représentant plus de 30 % de la production mondiale. En 2015, 99 centrales nucléaires étaient opérationnelles dont 65 utilisaient la filière à eau pressurisée (PWR) et 34 la filière à eau bouillante (BWR). Ces deux filières reposent sur la fission du noyau de l’uranium 235 et utilisent de l’eau légère à la fois comme modérateur de la vitesse des neutrons rapides et comme fluide caloporteur. Comme l’AP913 est destinée à intégrer les méthodes de fiabilité appliquées aux équipements pour maintenir de façon efficace des niveaux élevés de sûreté et de disponibilité des centrales nucléaires, une description succincte des deux types de réacteurs est donnée dans les sections 1.2.1 et 1.2.2. Le lecteur trouvera dans [BN 302] [BN 3 100] [BN 3 130] des informations détaillées sur les différentes filières.
1.2.1 Réacteurs à eau pressurisée (Pressurized Water Reactors – PWR)
Comme indiqué sur la figure 1, une enceinte en béton assure le confinement de produits radioactifs lors d’un incident sur le réacteur nucléaire et les systèmes d’apport d’urgence en eau sont utilisés pour refroidir le cœur du réacteur.
Dans un réacteur à eau pressurisée, les principes généraux sont mis en œuvre conformément à la figure 1.
Système de refroidissement de l’enceinte
Ligne vapeur
Mur de l’enceinte de confinement en béton et en acier d’une épaisseur de 1 à 1,5 m
3 Générateur de vapeur
4
Barres Cuve contrôle Turbine
Condenseur Pompes Circuit primaire
2 Cœur 2
Déminéralisateur
Pompes primaires du réacteur
Structure de l’enceinte de confinement
Pressuriseur Systèmes d’alimentation d’urgence en eau Source NRC
Figure 1 – Schéma d’une centrale nucléaire à eau pressurisée
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YQ
SE 1 671 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWQ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES _________________________________________
Une centrale à eau pressurisée comporte environ 300 000 composants regroupés en 400 systèmes. Les systèmes liés à la sûreté du réacteur feront l’objet de descriptions plus précises ultérieurement dans la démarche AP913.
5. Comme indiqué sur la figure 2, une enceinte en béton assure le confinement de produits radioactifs lors d’un accident sur le réacteur nucléaire et des systèmes d’apport d’urgence en eau sont utilisés pour refroidir le cœur du réacteur.
1.2.2 Réacteurs à eau bouillante (Boiling Water Reactor – BWR)
1.3 Organismes réglementaires pour l’exploitation des centrales nucléaires américaines
Dans un réacteur à eau bouillante, les principes généraux sont mis en œuvre conformément à la figure 2.
Jusqu’en 1974, l’Atomic Energy Commission (AEC) était chargée de la réglementation pour accorder les licences d’exploitation des centrales nucléaires, ainsi que la surveillance de leurs niveaux de sûreté. En 1974, cet organisme a été aboli et remplacé par la NRC (Nuclear Regulatory Commission ). La NRC attribue les licences d’exploitation et assure la surveillance de tous les réacteurs nucléaires commerciaux en service aux États-Unis. La licence d’exploitation permet d’exploiter une centrale nucléaire jusqu’à 40 années. Sous certaines conditions, la NRC peut éventuellement renouveler la licence d’exploitation pour 20 années supplémentaires à condition que l’exploitant puisse démontrer que la centrale peut fonctionner de façon sûre sur la période d’extension de la licence. La NRC réglemente l’exploitation des centrales nucléaires à l’aide d’une combinaison d’exigences réglementaires : octroi de la licence d’exploitation, supervision de la sûreté nucléaire incluant des inspections, examens des performances et du respect de la réglementation, évaluation de l’expérience opérationnelle et des activités d’appui réglementaires.
1. Le cœur du réacteur composé d’éléments combustibles, contenant des pastilles d’uranium 235 enrichi, produit la chaleur par le processus de fission.
S
2. Un mélange eau vapeur se produit lorsque de l’eau circule dans le cœur pour en évacuer la chaleur. 3. Un mélange eau vapeur sort du cœur du réacteur et pénètre dans les séparateurs qui éliminent l’eau pour séparer la vapeur qui alimente la turbine pour produire l’énergie électrique avec le groupe turboalternateur (la pression de la vapeur est de l’ordre de 75 bars et sa température d’environ 290 °C). La vapeur à la sortie des turbines est refroidie par un condenseur à l’aide d’une source froide et réinjectée dans le circuit primaire. 4. Le contrôle du réacteur est assuré par un ensemble de barres de contrôle situées sous la cuve et qui permettent d’arrêter le réacteur en cas d’urgence ou d’en moduler sa puissance.
Système de refroidissement de l’enceinte
Mur de l’enceinte de confinement en béton et en acier d’une épaisseur de 1 à 1,5 m 4
Ligne de vapeur
Cuve du réacteur
Turbine Alternateur Sécheurs Séparateurs
Réchauffeur
Alimentation en eau
Condenseur
3 Pompes Cœur 1,2 Pompes
Barres de contrôle Déminéralisateur
Pompes de recirculation
Structure de l’enceinte de confinement
Systèmes d’alimentation d’urgence en eau Source NRC
Figure 2 – Schéma d’une centrale nucléaire à eau bouillante
SE 1 671 – 4
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWQ __________________________________________ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES
priés en situation accidentelle. L’arrêt automatique du réacteur est obtenu en insérant les barres de contrôle dans le cœur du réacteur. Il est appelé également Scram (Safety Cut Rope Axe Man ). Pour l’anecdote, il tire son nom de la personne qui était chargée de couper la corde qui maintenait les barres de contrôle dans la première pile nucléaire expérimentale conçue par Enrico Fermi [4] en 1942. Pour éviter une fission nucléaire non contrôlée lors de la première expérience de divergence, Fermi avait mandaté un bûcheron pour faire chuter les barres de commande dans le cœur en coupant la corde qui les maintenait. Le même procédé artisanal a été utilisé en France pour la première divergence pile ZOE à Fontenay-auxRoses en 1948 par Maurice Surdin.
Chaque pays exploitant des centrales nucléaires commerciales s’est doté de structures similaires pour l’octroi des licences d’exploitation et pour assurer la surveillance de leur sûreté de fonctionnement.
1.4 Sûreté et fiabilité de l’exploitation des centrales nucléaires à eau pressurisée américaines Le zéro accident n’existant pas dans le domaine des installations industrielles, les centrales nucléaires n’échappent pas à la règle. Une centrale nucléaire comportant environ 300 000 composants regroupés dans plusieurs centaines de systèmes est obligatoirement l’objet de défaillances techniques ou d’erreurs humaines lors de leur exploitation. Une des responsabilités majeures de la NRC est d’assurer que l’exploitation des centrales nucléaires ne présente pas de risque inacceptable pour la santé de la population et la sûreté. La NRC réalise cette mission en faisant appliquer et respecter un ensemble d’exigences techniques relatives à la conception et à l’exploitation des centrales conformément au Code of Federal Regulations (10 CFR) [3]. Ce document contient toutes les exigences auxquelles doivent se plier les organisations et les personnes qui ont obtenu une licence auprès de la NRC pour exploiter une centrale nucléaire. Elles sont écrites en utilisant les termes traditionnels d’ingénierie déterministes tels que les marges de sécurité utilisées en conception, construction et exploitation. Depuis 1983, les études probabilistes de sûreté (EPS) ou PRA (Probability Risk assessment ) ont été préconisées pour compléter les jugements d’experts en matière de risque [BN 3 831].
1.4.1.2 Dispositifs de sauvegarde Le rôle des systèmes de sauvegarde est de maîtriser et de limiter les conséquences des incidents et des accidents. Les systèmes de sauvegarde sont différents pour les réacteurs à eau pressurisée et à eau bouillante. Parmi les circuits de sauvegarde les plus importants figurent les circuits d’injection de sécurité, les circuits d’aspersion dans l’enceinte du bâtiment réacteur et le circuit d’eau alimentaire de secours des générateurs de vapeur. Plus généralement, ces systèmes concernent le refroidissement, la lubrification et la fourniture d’électricité. L’exemple traité dans cet article concernera le système de contrôle volumétrique et chimique (RCV) d’une centrale à eau pressurisée.
1.4.2 Défense en profondeur Suivant la NRC, le concept de défense en profondeur est une approche basée sur une conception et une exploitation des centrales nucléaires qui prévient et réduit l’occurrence des accidents qui relâchent des substances radioactives ou des matériaux dangereux. Le principe fondamental est de créer des lignes de défenses multiples et redondantes pour se protéger des erreurs humaines et des défaillances techniques préférables à une unique ligne de défense, aussi robuste soit-elle.
1.4.1 Systèmes de sûreté et de sauvegarde d’une centrale nucléaire L’AP913 définissant une procédure de fiabilité des équipements afin de maintenir le niveau de sûreté des centrales nucléaires, cette section décrit de façon succincte les principaux systèmes de protection et de sauvegarde destinés à garantir la sûreté. Comme cela sera détaillé par la suite, la procédure AP913 classe les matériels et systèmes en deux catégories critiques et non critiques. Concernant les critères de criticité vis-à-vis de la sûreté, le terme « lié à la sûreté » suivant la NRC (safety-related ) s’applique aux systèmes, structures, composants, procédures et moyens de contrôle qui sont indispensables pour rester opérationnels pendant un accident de dimensionnement. Un accident de dimensionnement représente des conditions accidentelles dans lesquelles une installation est conçue pour résister conformément à des critères de conception spécifiés pour assurer la santé du public et la sûreté.
Les objectifs de la défense en profondeur sont les suivants : – compenser les éventuelles erreurs humaines et les défaillances de composants ; – maintenir l’efficacité des barrières en évitant les dommages à l’installation et aux barrières elles-mêmes ; – protéger les travailleurs, les personnes du public et l’environnement contre des dommages dans des conditions accidentelles au cas où ces barrières ne seraient pas pleinement efficaces. Ce concept met en œuvre les contrôles d’accès, les barrières physiques, des fonctions de sécurité indépendantes et redondantes, et des mesures organisationnelles pour répondre aux situations d’urgence. L’Agence internationale de l’énergie atomique a définit cinq niveaux de défense en profondeur dans le cadre du groupe de travail INSAG (The International Nuclear Safety Group ) : • niveau 1 : prévention du fonctionnement anormal et des défaillances ;
L’AIEA distingue les constituants (structures, systèmes ou composants) liés à la sûreté qui ne font pas partie d’un système de sûreté de ceux appartenant à un système de sûreté. Celui-ci est important pour la sûreté et est destiné à garantir la mise à l’arrêt sûre du réacteur, l’évacuation de la chaleur résiduelle, ou à limiter les conséquences des accidents de dimensionnement. Les systèmes de sûreté incluent les systèmes de protection du cœur, les systèmes actionneurs de sûreté et les dispositifs auxiliaires de systèmes de sûreté. Par la suite, les systèmes de protection du cœur et les auxiliaires de sauvegarde feront l’objet de descriptions succinctes.
• niveau 2 : contrôle du fonctionnement anormal et détection des défaillances ; • niveau 3 : contrôle des accidents de dimensionnement ; • niveau 4 : contrôle des conditions dégradées à la centrale, y compris prévention de la progression d’un accident et atténuation des conséquences des accidents graves ; • niveau 5 : atténuation des conséquences radiologiques des rejets importants de matières radioactives.
1.4.1.1 Système de protection du réacteur Le système de protection du réacteur a pour principales fonctions la détection de situations anormales, l’arrêt automatique du réacteur et le déclenchement des systèmes de sauvegarde appro-
Nota : en France, dès la conception, un réacteur nucléaire est doté d’une série de barrières étanches successives : la gaine des crayons combustibles, l’enveloppe du circuit primaire et l’enceinte de confinement.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YS
SE 1 671 – 5
S
S
YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWU
Méthode de maintenance basée sur la fiabilité inversée PMO2000® par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès Sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
S
1. 1.1 1.2
Origines et objectifs de la méthode PMO2000® .......................... Origines...................................................................................................... Objectifs .....................................................................................................
2. 2.1 2.2
Principes et étapes la méthode PMO2000®................................... Principes .................................................................................................... Étapes......................................................................................................... 2.2.1 Inventaire et examen des contenus des tâches actuelles de maintenance ............................................................................ 2.2.2 Analyse des modes de défaillance ............................................. 2.2.3 Rationalisation et examen des modes de défaillance ............... 2.2.4 Analyse fonctionnelle (optionnelle) ............................................ 2.2.5 Évaluation des conséquences ..................................................... 2.2.6 Détermination de la politique de maintenance.......................... 2.2.7 Regroupement et examen des tâches ........................................ 2.2.8 Approbation et mise en œuvre ................................................... 2.2.9 Programme vivant........................................................................ 2.2.10 Organisation d’une étude PMO2000® ........................................
— — —
3 3 3
— — — — — — — — — —
5 5 5 5 5 7 7 7 8 8
Exemple d’application à un compresseur à vis ........................... Composants d’un compresseur d’air à vis ............................................. Principes de fonctionnement ................................................................... 3.2.1 Tâches de maintenance PMO2000® pour la fonction entraînement du compresseur à vis ........................................... 3.2.2 Conclusion sur l’exemple du compresseur d’air d’un atelier ....................................................................................
— — —
8 8 8
—
9
—
9
4.2 4.3
Avantages et limitations ..................................................................... Avantages et limitations de la PMO2000® selon Steve Turner............. 4.1.1 Avantages ..................................................................................... 4.1.2 Inconvénients ............................................................................... Limitations et dangers de la PMO2000® selon John Moubray ............. Limitations et dangers de la PMO2000® selon Vee Narayan ................
— — — — — —
10 10 10 11 11 11
5.
Conclusion...............................................................................................
—
11
6.
Glossaire ..................................................................................................
—
12
3. 3.1 3.2
4. 4.1
Pour en savoir plus ........................................................................................
SE 1 675 - 2 — 2 — 3
Doc. SE 1 675
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle et sur les méthodes de maintenance basées sur la fiabilité (MBF) (RCM pour Reliability Centered Maintenance), présente la méthode développée par Steve Turner appelée également méthode inversée de maintenance basée sur la fiabilité, PMO2000® (Planned Maintenance Optimization).
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQV
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YU
SE 1 675 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWU MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ INVERSÉE PMO2000® __________________________________________________________________
S
Les motivations de Steve Turner pour développer une méthode inversée de RCM ou « Reverse or retroactive RCM » partent du constat que l’application de la méthode développée par Nowlan et Heap en 1978 était trop contraignante et demandait trop de temps et de ressources humaines aux yeux des exploitants. Cet article fournit intégralement les détails de la méthode PMO2000® telle qu’elle a été définie par son concepteur à partir des documents méthodologiques publiés par son auteur de 2001 à nos jours. La première section présente les origines de la démarche résultant de la volonté de Steve Turner de mettre à la disposition des industriels une méthode simplifiée de maintenance basée sur la fiabilité permettant d’obtenir des gains substantiels de temps de développement (de l’ordre d’un facteur six). Selon Turner, les programmes de maintenance sont très proches de ceux qui auraient été obtenus avec la méthode RCM classique. La deuxième section présente les étapes pour élaborer un programme de maintenance PMO2000® en y soulignant les points communs et différences avec la méthode RCM développée dans le cadre de la norme SAE JA 1011. Pour illustrer le contenu d’une étude de maintenance basée sur la PMO2000®, le cas d’un compresseur d’air comprimé à vis est présenté dans la troisième section. Le programme de maintenance du compresseur d’air fait l’objet de développements détaillés. Compte tenu des nombreuses controverses formulées à l’encontre de la PMO2000® par les défenseurs de la RCM telle que défini par ses fondateurs Nowlan et Heap, la quatrième section fournit un bilan comparatif des avantages et inconvénients de la PMO2000®. La conclusion formule des recommandations pour une implantation de la PMO2000®.
1. Origines et objectifs de la méthode PMO2000®
Johnson [6] des temps de développement six fois inférieurs à la méthode RCM utilisée par l’EPRI. En Australie, Steve Turner constata que de nombreuses entreprises faisaient face à des niveaux excessifs de maintenance corrective et de pannes, entraînant des arrêts de production coûteux. Il formalisa cette situation en la représentant par le « cercle vicieux de la maintenance corrective » représenté sur la figure 1. Selon ce cercle vicieux, quand une panne survient, les ressources sont mobilisées pour les réparations au détriment de la mise en place de la maintenance préventive. Comme la maintenance préventive n’est pas en place, des pannes de plus en plus fréquentes surviennent, entraînant des réparations provisoires et répétitives. Cette situation a des conséquences sur les budgets dédiés à la maintenance, induit des retards dans la remise en état, réduit de façon significative la qualité des opérations et affectent la motivation des personnels en raison de la surcharge de travail.
1.1 Origines Nowlan et Heap [1] ont défini en 1978, dans le domaine aéronautique, les principes de la première méthode de maintenance basée sur la fiabilité (MBF), connue sous le sigle RCM (Reliability Centered Maintenance ). Cette méthode a démontré son efficacité puisqu’elle constitue les bases de la norme aéronautique MSG3 [2] actuellement en vigueur pour la certification des aéronefs actuels. Compte tenu des résultats probants obtenus dans le domaine aéronautique, d’autres secteurs industriels ont adapté cette méthode à leurs installations dès le début des années 1980. Des normes d’application ont également vu le jour et sont régulièrement réactualisées : la norme SAE JA1011 [3], et la norme CEI 60300-3-11 [4]. John Moubray a mis au point la méthode RCM2 [5] au début des années 1990 qui est conforme en tous points à la norme SAE JA1011. Le lecteur trouvera les détails de ces méthodes dans [SE 1 650] [SE 1 655] [SE 1 660] [SE 1 667]. Le retour d’expérience des exploitants de centrales nucléaires qui ont été parmi les premiers à réaliser des expériences pilotes avec la RCM originale a permis de constater que l’application de la méthode RCM originale exigeait trop de temps et de ressources, les conduisant à rechercher des méthodes simplifiées pour définir des programmes de maintenance. De nombreuses tentatives ont alors vu le jour pour proposer des alternatives respectant très peu souvent la démarche préconisée par la RCM. Dans le domaine de la production d’énergie, l’EPRI a mis au point une méthode simplifiée ou « allégée » de maintenance basée sur la fiabilité : la SRCM (Streamlined Reliability Centered Maintenance ) [5], qui utilise une station de travail PMO (Plant Maintenance Optimization ) conduisant à des résultats proches de la RCM originale. Dans le nucléaire, une autre méthode PMO (Preventive Maintenance Optimization ) développée par la société Fractal Solution a été expérimentée en 1995 sur la centrale nucléaire de Kiwaunee et nécessite selon
SE 1 675 – 2
Baisse de la qualité des interventions
Retards croissants La maintenance préventive est délaissée
Baisse du moral des personnels Les ressources sont affectées aux pannes Réduction des budgets
Plus de travaux répétitifs
Réparations temporaires
Figure 1 – Cercle vicieux de la maintenance suivant Turner (source : Turner)
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWU __________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ INVERSÉE PMO2000®
Pour rompre avec ces pratiques, Steve Turner pense qu’une nouvelle organisation est indispensable pour faire le meilleur usage des ressources allouées à la maintenance pour augmenter la productivité ou l’efficacité des personnels de maintenance. En conséquence, il propose de mettre en œuvre les concepts de la RCM dans différents domaines industriels. En Australie, la SIRF (Strategic Industry Research Foundation ) voit le jour en 1988 à l’initiative du gouvernement de Victoria et de l’Académie australienne des Sciences technologiques pour réunir, dans le cadre de tables rondes, les industriels concernés par la maintenance et la fiabilité. Suite aux retours d’expérience des industriels avec la RCM, la SIRF, tout en reconnaissant que la RCM est un outil utile, constate que cette politique de maintenance ne correspond pas aux besoins des industriels dont les installations sont déjà pourvues de programmes de maintenance. Selon les membres de la SIRF, la RCM est considérée comme un outil valable lors de l’établissement d’un programme de maintenance lors de la conception d’une nouvelle installation, mais est inappropriée pour une installation, déjà existante. Steve Turner crée en 1995 la société OMCS (Operations and Maintenance Consulting Services Pty Ltd) pour proposer une méthode appelée PMO2000® (Planned Maintenance Optimisation ) valable pour tous les secteurs industriels et pour des installations déjà en fonctionnement. Cette méthode est souvent appelée la méthode RCM inversée (Reverse RCM ou retroactive RCM) dans la mesure où elle commence par analyser les procédures de maintenance déjà existantes, et les optimisent ensuite à l’aide du retour d’expérience). Compte tenu du fait que la méthode « inversée » de RCM la plus répandue actuellement est celle de Steve Turner, cet article est consacré à sa description, sachant que par ailleurs d’autres méthodes ont été développées mais demeurent plus confidentielles.
Les étapes de la RCM originale Nowlan et Heap ont défini la RCM comme une politique de maintenance programmée destinée à maintenir les niveaux de fiabilité inhérente des équipements. La fiabilité inhérente correspond à la fiabilité définie par les études de conception. Les principes de la RCM découlent de l’examen rigoureux des réponses aux questions suivantes : – Comment apparaît une défaillance ? – Quelles sont ses conséquences ? – La maintenance préventive est-elle bénéfique ? Le programme de maintenance préventive respectant cette démarche RCM se construit avec les étapes suivantes : 1. sélection de systèmes et recherche d’information ; 2. définition des limites du système ; 3. description du système et analyse fonctionnelle ; 4. inventaire des fonctions et des défaillances fonctionnelles ; 5. analyse des conséquences des modes de défaillance fonctionnelle ; 6. analyse avec un arbre logique de décision des tâches de maintenance ; 7. sélection des tâches de maintenance ; 8. programme vivant.
2. Principes et étapes de la méthode PMO2000® 2.1 Principes
1.2 Objectifs
La méthode PMO2000® doit son appellation de méthode inversée de maintenance basée sur la fiabilité par le fait qu’elle part d’un programme de maintenance déjà en place pour les équipements. À partir de l’inventaire des programmes de maintenance existants, elle recherche les défaillances associées. Puis, à partir des connaissances des spécialistes, de nouveaux modes de défaillance sont recherchés pour compléter le contenu des programmes de maintenance. À partir d’une analyse des conséquences des défaillances qui s’inspire de la méthode RCM initiale (défaillances évidentes et cachées et impacts sur la sécurité et la production), les nouvelles tâches sont définies ou améliorées avec leurs intervalles de réalisation. La figure 3 représente les étapes de la PMO2000® et celles de la norme SAE JA1011 de 2009. La figure 4 fournit la comparaison avec la norme IEC 60300-3-11 de 2009.
La PMO2000® a pour objectifs principaux de définir un programme de maintenance préventive qui réduit de façon significative (jusqu’à six fois moins de ressources) comparativement à la démarche RCM classique tout en garantissant des performances sensiblement identiques. La figure 2 représente les approches comparatives entre la RCM classique et la PMO2000®. On constate que la PMO2000® a pour ambition d’atteindre ces objectifs à partir des examens des tâches existantes de maintenance, des historiques des défaillances et de la documentation technique et des avis d’experts. Par opposition, la RCM originale fait un inventaire exhaustif des fonctions et de leurs défaillances fonctionnelles en vue d’établir les contenus des tâches de maintenance applicables et efficaces (voir l’encadré ci-après).
RCM • Fonctions • Défaillances fonctionnelles
L’analyse des figures 3 et 4 indique clairement que la démarche PMO2000® n’est pas basée sur une recherche systématique des fonctions, des défaillances fonctionnelles et de la recherche de leurs causes.
Tous les modes de défaillance sont analysés
PMO2000 • Tâches existantes de maintenance • Historique des défaillances • Documentation technique Défaillances analysées avec la PMO
2.2 Étapes
Liste identique de tâches de maintenance préventive
Neuf étapes sont nécessaires pour établir un programme de maintenance basée sur la fiabilité PMO2000® : 1. inventaire et examen des contenus des tâches actuelles de maintenance ; 2. analyse des modes de défaillance ; 3. rationalisation et examen des modes de défaillance ; 4. analyse fonctionnelle (optionnelle) ; 5. évaluation des conséquences des modes de défaillance ; 6. détermination de la politique de maintenance ; 7. regroupement des tâches et revue critique ; 8. approbation et mise en place ; 9. programme vivant.
Modes évitables de défaillance
Figure 2 – Comparaison des approches PMO2000® et RCM relatives aux modes de défaillance (source : Turner)
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YW
SE 1 675 – 3
S
S
YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWW
Méthode de maintenance basée sur les risques et la fiabilité CWA-RBIM par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2
Origine et objectifs de la méthode CWA-RBIF .............................. Origine ....................................................................................................... Objectifs .....................................................................................................
2. 2.1 2.2 2.3
Principes, exigences et étapes de la méthode CWA-RBIM ........ Principes .................................................................................................... Exigences................................................................................................... Étapes de la CWA-RBIM ...........................................................................
— — — —
3 3 3 6
3. 3.1 3.2
Avantages et limitations de la méthode CWA-RBIM ................... Avantages .................................................................................................. Limitations .................................................................................................
— — —
13 13 13
4. 4.1 4.2 4.3
Exemple d’application à un réservoir d’une unité de production d’ammoniac................................................................. Contextes, données et paramètres.......................................................... Détermination et identification des inspections..................................... Bilan de l’étude sur le réservoir d’ammoniac.........................................
— — — —
13 13 14 15
5.
Conclusion...............................................................................................
—
15
6.
Glossaire ..................................................................................................
—
16
7.
Sigles, notations et symboles............................................................
—
17
Pour en savoir plus ........................................................................................
SE 1 677 - 2 — 2 — 2
Doc. SE 1 677
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maîtrise des risques et les méthodes de maintenance, présente la méthode de maintenance basée sur les risques et la fiabilité CWA-RCBIM développée en 2001 dans le cadre du projet européen RIMAP (Risk-Based Inspection and Maintenance Procedures for European Industry). Elle fait l’objet du projet de la prénorme européenne prEN 16991 en 2016 (Risk-Based Inspection Framework : RBIF). La première section présente les origines de la démarche résultant de la volonté de la communauté européenne de disposer d’un cadre méthodologique pour établir des programmes d’inspection basée sur les risques et de maintenance prenant en compte les différentes normes européennes et internationales tout en se démarquant des normes américaines comme celles de l’API (American Petroleum Institute). L’un des objectifs de cette méthode est de rendre les programmes d’inspection et de maintenance des installations industrielles plus performants sur le plan économique tout en maintenant ou améliorant la sécurité, la santé des
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQW
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
YY
SE 1 677 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWW MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM _____________________________________________________________
personnels, l’environnement et les performances économiques des actifs. Cette méthode est destinée aux responsables et aux ingénieurs désireux d’implanter un programme RBIM dans les secteurs industriels (pétrochimie, chimie, production d’énergie et entreprises associées). La deuxième section présente les six étapes indispensables pour élaborer un programme d’inspection et de maintenance basée sur les risques RBIM. Ces étapes concernent les analyses préliminaires et la planification, la recherche de données, la collecte des données et leur validation, une analyse de risque multiniveaux, des prises de décision et des plans d’actions, la mise en œuvre et la collecte du retour d’expérience et les analyses de performance nécessaires à l’élaboration du programme évolutif.
S
Pour illustrer le contenu d’une étude de RBIM, le cas d’un réservoir d’une unité de production d’ammoniac est présenté dans la troisième section uniquement pour le volet des techniques d’inspection basées sur les risques. Le programme d’inspection fait l’objet de développements avec les justificatifs détaillés. La quatrième section fournit un bilan comparatif des avantages et inconvénients de la RBIM. La conclusion formule des recommandations pour une implantation de la RBIM et les perspectives d’améliorations dans le cadre de la norme définitive EN 16991.
CWA 15740 concerne uniquement la RBI. Il est fait mention de la RCM uniquement pour démontrer l’applicabilité du concept de la RBIM. La validité du document CWA 15740 a été prolongée jusqu’en 2011 et le comité technique TC 319 du CEN (Comité européen de normalisation) a été chargé de rédiger le projet de norme prEN16991 [6] soumis à enquête publique en avril 2016. Le contenu de cette prénorme repose sur les documents RIMAP Network « Risk-Based Inspection and Maintenance Procedures for European Industry » et « CWA 15740 » de 2008. C’est la raison pour laquelle la méthode décrite dans cet article a été appelée la méthode CWA-RBIM ; elle fournira une synthèse des méthodes préconisées dans ces documents.
1. Origine et objectifs de la méthode CWA-RBIF 1.1 Origine L’origine de la méthode de maintenance CWA-RBIM découle de la volonté de la communauté européenne industrielle de disposer d’une méthode de maintenance basée sur les risques et sur la fiabilité, reposant sur les normes européennes de maintenance et de sûreté de fonctionnement. En 2001, le projet européen de recherche RIMAP « Risk-Based Inspection and Maintenance Procedures for European Industry » (GIRD-CT-2001-03008) a été initié [1]. L’objectif de ce projet était de développer une procédure systématique pour gérer les risques en identifiant et hiérarchisant les activités d’inspection et de maintenance pour servir de base à l’établissement d’une norme européenne spécifique. En parallèle, un réseau RIMAP a été mis en place pour valider les concepts dans différents domaines industriels (production d’énergie électrique, pétrochimie, chimie et aciéries) [2] [3] [4]. La volonté affichée du projet RIMAP était de proposer une alternative européenne aux normes américaines de l’API (American Petroleum Institute ) dans le domaine de l’inspection basée sur les risques. À partir des résultats du projet RIMAP, le document intitulé CEN Workshop Agreement CWA 15740 « Risk-Based Inspection and Maintenance Procedures for European Industry » RIMAP [5] a été publié en avril 2008. Ce document, qui ne constitue pas une norme, a pour objectif de proposer un cadre méthodologique clair et précis afin d’appliquer et de mettre en œuvre l’inspection basée sur les risques et la maintenance (RBIM) pendant la durée de vie des équipements. L’objectif de la RBIM est de s’assurer que les niveaux de risques relatifs à la sûreté, la santé des personnels, l’environnement, les objectifs financiers, la production et l’exploitation soient clairement définis et jugés acceptables en utilisant des méthodes efficaces d’inspection et de maintenance. Le document CWA 1570 concerne tous les secteurs industriels et s’applique à tous types de matériels statiques et dynamiques. Cependant, il est important de noter que bien que la RBIM englobe la RBI et la RCM, le document
SE 1 677 – 2
1.2 Objectifs Les objectifs de la méthode CWA-RBIM sont de fournir un cadre général (RBIF) pour les études de RBIM et donner des lignes directrices pour les industries chimiques et pétrochimiques, la production d’énergie et les autres industries. La méthode présentée dans cet article concerne uniquement l’inspection basée sur les risques dans le contexte de la RBIM en mentionnant la méthode RCM dans le cadre général de la RBIM. La méthode prend en compte non seulement l’optimisation de l’exploitation et de la maintenance, mais également la gestion de l’intégrité des actifs. Elle vise également à faciliter l’élaboration des inspections basées sur les risques et des programmes de maintenance des installations industrielles de façon efficace et documentée, tout en respectant les textes réglementaires et en maintenant ou améliorant la sûreté, la santé et la sécurité des personnes et les performances environnementales. La méthode CWA-RBIM s’adresse d’abord aux équipements de confinement statiques (réservoirs, tuyaux) ou dynamiques (pompes, turbines, vannes) et les dispositifs de décompression et peut aussi être appliquée à d’autres types d’équipements si cela s’avère nécessaire. Elle peut être utilisée également dans les phases de conception ou d’extension de la durée de vie. Elle propose également un ensemble de recommandations qui peuvent être mises en œuvre en relation avec des pratiques internationalement reconnues, des normes nationales et/ou des politiques industrielles spécifiques. Il est important de souligner que cette
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWW _____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM
Documents relatifs à la RBI – API
Documents supports et rapports pour des problèmes spécifiques
Documents de base et rapports
Évaluation et recommandations pour la mise en œuvre et documents
API 510 Inspection enceintes sous pression
API 581 Inspections basées sur les risques RBI
API 580 Inspection basée sur les risques RBI
API 570 Inspection tuyauteries
API 579 Inspection basée sur les risques
S
API 663 Inspection réservoirs
API 750 Inspection réservoirs
Figure 1 – Champ d’application de la norme API 580
méthode diffère sur deux points fondamentaux par rapport à d’autres cadres méthodologiques en RBI :
2. Principes, exigences et étapes de la méthode CWA-RBIM
des différents types d’équipements sous pression pour minimiser le risque de perte de confinement suite à une dégradation et/ou un dommage. Le risque est défini en général comme une combinaison de la probabilité d’une défaillance et de sa gravité en termes de conséquences comme indiqué sur la figure 2. La RBI nécessite des évaluations quantitatives ou qualitatives de la probabilité de défaillance (PdD) et de la conséquence de la défaillance (CdD) associées à chaque équipement. L’inspection dans la RBI concerne toutes les activités pour vérifier que les matériaux, la fabrication, le montage, les examens, les tests, les réparations, etc. sont conformes aux codes applicables, à l’ingénierie et/ou aux exigences des procédures écrites de l’exploitant. La RBI est une démarche destinée à concevoir un plan d’inspection reposant sur la connaissance des risques de défaillance d’un équipement ayant un impact sur l’intégrité. Cependant, les autres systèmes peuvent être couverts par des méthodes d’évaluation du risque définies par exemple par la maintenance basée sur la fiabilité (RCM) pour les défaillances fonctionnelles. La prénorme prEN 16991 préconise l’utilisation de la RCM, définie dans la norme IEC 60300-3-11 [14].
2.1 Principes
2.2 Exigences
La méthode CWA-RBIM décrite dans cet article met principalement l’accent sur la Risk Based Inspection (RBI) qui peut se définir comme une méthodologie d’analyse nécessitant l’évaluation du risque associé à une défaillance et/ou un événement redouté. La RBI a pour vocation première de maintenir l’intégrité mécanique
2.2.1 Généralités
– le premier point concerne l’étendue de champ d’application qui est plus vaste par exemple que celui préconisé par la RBI, décrite dans la norme API 580 [7] comme le montre la figure 1 (car elle peut s’appliquer à d’autres types d’équipements ou de procédés). Sur cette figure on note que seuls les matériels suivants sont concernés : enceintes sous pression, tuyauteries et réservoirs ; – le second point porte sur le fait que les approches et les méthodologies de la CWA-RBIM doivent être compatibles en particulier avec les normes IEC/ISO 31010 [8], ISO/IEC Guide 51 [9], ISO Guide 73 [10], EN 13306 [11], OHSAS 18001 [12], et ISO/IEC 17020 [13].
L’approche d’inspection et de maintenance basée sur les risques exige la mise en place d’une analyse multidisciplinaire pour garantir que les objectifs en matière de sécurité, de santé, d’environnement
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QPQ
SE 1 677 – 3
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWW MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM _____________________________________________________________
CONSÉQUENCES (Importance du composant en termes de :
PROBABILITÉ (probabilité qu’un événement indésirable se produise)
• coûts • sûreté • environnement • autres
• état du composant • charges/facteurs externes
RISQUE = probabilité × conséquences Priorité et évaluation du risque
S
Stratégie de maintenance
Gestion des composants et de la durée de vie du procédé basée sur les risques
Figure 2 – Principe de gestion des risques dans la RBI
La cause de la défaillance peut-elle être identifiée et son élimination est-elle réellement efficace économiquement ?
Mise en œuvre/optimisation : • procédures • modifications • conditions d’exploitation
Établir de nouvelles stratégies d’inspection et de maintenance
Les stratégies d’inspection et de maintenance assurent-elles un risque faible pour les personnels et évitent-elles de nouvelles défaillances ?
Un remplacement de la stratégie d’inspection et de maintenance est-elle possible ?
Reconception
Mise en œuvre
Figure 3 – Niveau principal pour la prise de décision
et d’efficacités financière et commerciale soient atteints. Ces objectifs doivent impérativement être respectés en mettant en œuvre des programmes optimisés d’inspection, de surveillance et de maintenance reposant sur une méthodologie basée sur les risques. Les exigences préconisées dans la prénorme prEN 16991 imposent que les objectifs et les critères définissant le risque soient clairement définis. La démarche RBIM comporte deux niveaux : le premier niveau définit la stratégie à retenir en fonction de la nature de la défaillance conformément à la figure 3 et le deuxième niveau détaille la méthode d’inspection, son étendue et les intervalles. Les contenus des programmes d’inspection sont déterminés pour que le niveau de risque reste acceptable et conforme au concept ALARP (As Low As Reasonably Practicable, ou en français : niveau le plus faible qu’il soit raisonnablement possible). La norme énumère les exigences requises pour mener à bien la démarche CWA-RBIM. Elles concernent la documentation, la qualification des personnels, les
SE 1 677 – 4
procédures d’évaluation des probabilités des défaillances et des estimations des conséquences des défaillances, l’évaluation des techniques d’inspection.
2.2.2 Documentation La méthode RBIM et ses étapes doivent faire l’objet de documents écrits qui découlent d’une procédure bien définie, rigoureuse et logique qui garantit que toutes les informations pertinentes ont été prises en compte (réglementations, retour d’expériences, données de conception et d’exploitation). Notamment, ces informations doivent expliciter en détail comment les dangers ont été définis pour chaque élément d’un système, comment les probabilités et les conséquences des défaillances ont été déterminées. Elles doivent préciser les modalités d’utilisation pour déterminer le niveau de risque et les plans associés d’inspection.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWY
Me´thodes d’analyse des causes racines des de´faillances par
Gilles ZWINGELSTEIN Inge´nieur de l’E´cole nationale supe´rieure d’e´lectrotechnique, d’e´lectronique, d’informatique, d’hydraulique et des te´le´communications de Toulouse (ENSEEIHT), Docteur-Inge´nieur, Docteur e`s Sciences, Professeur associe´ des universite´s en retraite, Universite´ Paris Est Cre´teil, France
1. 1.1 1.2 1.3 1.4 1.5 1.6
1.7 2. 2.1 2.2 2.3
2.4 2.5 3. 3.1 3.2 3.3
3.4
3.5
Concepts de base et terminologie ............................................... Pre´ambule .......................................................................................... Diffe´rentes de´finitions de la cause racine ......................................... Diffe´rentes de´finitions de la de´faillance ............................................ Classification des causes ................................................................... Notion de causalite´ ............................................................................ Me´thodes d’analyse fonctionnelle pour repre´senter la chaıˆne de causalite´ ........................................................................................ 1.6.1 Me´thode intuitive de repre´sentation d’arbres fonctionnels et mate´riels .............................................................................. 1.6.2 Me´thode SADT‚ IDEF0 ........................................................... Synthe`se ............................................................................................. Exemple de la recherche des causes racines de l’accident du vol China Airlines 120 .............................................................. Objectifs de cet exemple.................................................................... Circonstances de l’accident ............................................................... Proce´dure de recherche de la cause racine ....................................... 2.3.1 Rappel sur le triangle du feu ................................................... 2.3.2 Donne´es utilise´es par les enqueˆteurs ..................................... Scenarios e´labore´s par les enqueˆteurs et leur ve´rification .............. Lec¸ons tire´es de l’enqueˆte sur l’accident du vol China Airlines 120 Me´thodes et outils de RCFA.......................................................... Principes et champs d’application des me´thodes RCFA ................... Exemples de typologie des causes racines ....................................... Exemples d’arbres logiques de recherche de causes racines .......... 3.3.1 Arbre logique pour des de´faillances techniques n’induisant pas d’accident .......................................................................... 3.3.2 Arbre logique pour des de´faillances techniques induisant un accident .............................................................................. Principaux outils en RCFA .................................................................. 3.4.1 Informations a` re´unir au pre´alable pour entreprendre la RCFA ..................................................................................... 3.4.2 Informations comple´mentaires pour entreprendre la RCFA .. Outils de RCFA ................................................................................... 3.5.1 Outils a` base de jugement collectifs d’experts ...................... 3.5.2 Outils issus du domaine de la qualite´ .................................... 3.5.3 Outils issus du domaine de la suˆrete´ de fonctionnement ..... 3.5.4 Outils issus du domaine de l’intelligence artificielle .............
SE 1 379 – 2 — 2 — 3 — 4 — 4 — 4 —
5
— — —
6 6 7
— — — — — — — —
8 8 8 8 8 9 9 11
— — — —
11 11 12 12
—
13
— —
13 14
— — — — — — —
14 15 16 16 16 18 20
4.
Conclusion........................................................................................
—
21
5.
Glossaire ...........................................................................................
—
22
Pour en savoir plus..................................................................................
Doc. SE 1 679
C
p。イオエゥッョ@Z@ュ。ゥ@RPQX
et article pre´sente une introduction aux diffe´rentes me´thodes les plus utilise´es pour rechercher les causes racines des de´faillances techniques de proce´de´s industriels. En effet, pour des de´faillances qui ont des conse´quences critiques pour la disponibilite´ des installations industrielles, il est indispensable d’identifier
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPS
SE 1 679 – 1
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWY ME´THODES D’ANALYSE DES CAUSES RACINES DES DE´FAILLANCES
S
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
leurs causes racines afin de pouvoir les e´liminer. Dans la mesure ou` il n’existe pas de norme internationale pre´conisant la terminologie et la de´marche de la recherche des causes racines de de´faillances techniques (RCFA : Root Cause Failure Analysis), la premie`re section pre´sentera et pre´cisera les diffe´rentes notions de causes racines et de de´faillances. La seule norme sur les causes racines au sens large a e´te´ publie´e en 2015 par la CEI dans le document IEC62740 – Root cause analysis (RCA) – Analyse de cause initiale (RCA). Dans cet article le terme « cause racine » sera employe´ en lieu et place de « cause initiale ». Une classification des diffe´rentes causes (techniques, organisationnelles et facteurs humains) sera e´galement propose´e. La me´thode RCFA e´tant par de´finition une me´thode de´ductive qui de´termine la cause racine a` partir des symptoˆmes, cette section sera consacre´e a` la de´finition de la notion de causalite´ et pre´sentera les me´thodes de descriptions hie´rarchiques et arborescentes des proce´de´s industriels indispensables pour repre´senter graphiquement la chaıˆne de causalite´. Elle insistera sur la ne´cessite´ d’identifier le niveau associe´ a` une cause racine qui de´pend de la politique de maintenance retenue (e´change standard ou re´paration in situ). Pour illustrer les de´marches susceptibles d’eˆtre mises en œuvre, la proce´dure suivie par les enqueˆteurs pour connaıˆtre la cause racine qui a conduit a` l’incendie et a` l’explosion au sol du Boeing 737 du vol 120 la China Airlines en 2007 sera pre´sente´e dans la deuxie`me section. Le rapport des enqueˆteurs du Japan Transport Safety Board a permis d’identifier la cause primaire due a` une erreur humaine et lie´e a` une erreur de conception. Dans la suite de cet article, cet exemple servira d’illustration pour pre´senter les principes des me´thodes et outils de´taille´s dans la troisie`me section. Cette troisie`me section rappellera que la RCFA ne concerne que des analyses « post-mortem » relatives a` une de´faillance qui vient d’eˆtre constate´e. Ensuite, pour faciliter la recherche des causes racines, des arbres logiques seront propose´s ainsi qu’une typologie de´taille´e. Un inventaire des informations a` re´unir au pre´alable pour mettre en œuvre les outils de recherche de la cause racine sera dresse´. Cette section pre´sentera les outils a` base de jugement collectif d’experts tels que le brainstorming et la me´thode Delphi en insistant sur le fait qu’elles permettent d’avoir un consensus sur la nature de la cause racine. Ensuite, elle de´crira les outils issus du domaine de la qualite´ : les me´thodes QQOQQCP, des 5 pourquoi (5P) et d’Ishikawa. Comme la discipline de la suˆrete´ de fonctionnement propose une panoplie tre`s e´tendue de me´thodes, cette section pre´sentera le principe de trois me´thodes : les arbres de de´faillances illustre´s d’un exemple, la de´marche Apollo qui permet de visualiser graphiquement la chaıˆne de causalite´, et les AMDEC. Enfin, compte tenu de la place grandissante actuelle de l’intelligence artificielle, concept de´fini en 1956, cette section pre´sentera un aperc¸u des me´thodes utilisables pour la recherche des causes racines des de´faillances : syste`mes experts, re´seaux de neurones, algorithmes ge´ne´tiques, apprentissage automatique (Learning Machine) et apprentissage profond (Deep Learning). Elle fera le lien avec les concepts de « Big Data » et de « Data Mining » utilise´s en association avec l’apprentissage automatique et apprentissage profond. En conclusion, une synthe`se et des recommandations seront fournies pour guider l’utilisateur a` choisir la me´thode la plus adapte´e a` la recherche des causes racines de la de´faillance conside´re´e.
reproduise. La de´faillance sera conside´re´e au sens large comme un dysfonctionnement entraıˆnant des conse´quences juge´es significatives par les responsables en charge de l’entite´. Des de´finitions plus formelles de la de´faillance seront fournies dans la suite de cet article. Le terme « entite´ » sera interpre´te´ comme e´tant un e´le´ment simple ou complexe, mate´riel ou organisationnel.
1. Concepts de base et terminologie 1.1 Pre´ambule
En effet, l’occurrence d’une de´faillance peut, selon les secteurs d’application, entraıˆner des conse´quences de nature tre`s diverse (se´curite´ des personnes, perte d’exploitation, image de marque, qualite´, environnement, etc.).
Dans de nombreux domaines (industries, organisations, services, etc.), la pre´sence d’une de´faillance d’une entite´ conduit a` la de´termination de sa (ou ses) cause(s) racine(s) pour e´viter qu’elle ne se
SE 1 679 – 2
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWY ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– ME´THODES D’ANALYSE DES CAUSES RACINES DES DE´FAILLANCES
De nombreuses me´thodes ont e´te´ de´veloppe´es pour identifier, localiser, diagnostiquer la (ou les) cause(s) racine(s), et entreprendre des actions correctives. Cependant, pour e´tablir une classification des me´thodes de recherche des causes racines, une difficulte´ majeure re´side dans les perceptions de ces causes racines. En effet, en fonction des secteurs d’application des normes nationales ou internationales, des pratiques spe´cifiques a` un secteur d’activite´ donne´ utilisent des termes et des interpre´tations diffe´rentes en relation avec la nature de la cause de la de´faillance : technique, humaine, organisationnelle, environnementale, etc. Depuis plusieurs de´cennies, des me´thodologies ont vu le jour avec des de´finitions et des terminologies spe´cifiques qui peuvent induire des confusions pour un lecteur non spe´cialise´ dans cette discipline. Pour tenter de lever ces ambigu¨ite´s, les principaux sigles utilise´s et leurs de´finitions et objectifs sont re´capitule´s ci-apre`s.
une fois la cause identifie´e sur un e´le´ment mate´riel (dans certains cas) l’analyse de la de´faillance peut correspondre a` une recherche des me´canismes de de´gradation des mate´riaux (corrosion, fatigue, rupture, etc.) ; elle peut se de´finir comme l’utilisation d’un raisonnement logique a` partir de l’examen des donne´es, des symptoˆmes, des preuves mate´rielles et de re´sultats de tests en laboratoire (dans cet article, les me´canismes de de´gradation ne seront pas de´taille´s).
Pour tenter de clarifier ces concepts spe´cifiques a` la me´thode RCFA, cette section proposera de de´finir la notion de causalite´ et les termes importants pour la compre´hension de la suite de l’article, et enfin d’insister sur l’importance de la repre´sentation hie´rarchique du fonctionnement d’une entite´ complexe.
FRACAS (Failure Reporting Analysis Corrective Action System Methods) La me´thode FRACAS, initialement de´veloppe´e dans le domaine des e´quipements militaires et objet de la norme MILHDBK-2155A [1], utilise une de´marche ite´rative qui repose sur plusieurs e´tapes : les consignations e´crites ou orales sur les circonstances d’apparition de la de´faillance ; l’analyse de la de´faillance pour comprendre et identifier les causes ; la mise en place des actions correctives pour e´liminer les causes ; la ve´rification de l’efficacite´ des actions correctives.
1.2 Diffe´rentes de´finitions de la cause racine Suivant les diffe´rentes normes et guides de recommandations pour la recherche des causes racines, les de´finitions de la cause racine peuvent varier. Dans certaines normes, le terme « cause racine » est remplace´ par celui de « cause initiale » ou de « cause primaire ». L’identification de la cause racine est essentielle pour les responsables afin d’e´valuer et de re´soudre tout proble`me et d’e´viter qu’il ne re´apparaisse de nouveau.
Ces me´thodes sont base´es sur les techniques de re´solution de proble`me ge´ne´ralisables a` tous les secteurs d’activite´s.
Pour guider le lecteur a` choisir celle qui sera la plus pertinente pour ses pre´occupations, les de´finitions les plus utilise´es sont les suivantes :
RCA (analyse des causes racines) L’analyse de cause initiale selon la norme CEI 62740:2015 de´signe tout processus syste´matique identifiant les facteurs qui ont contribue´ a` un e´ve´nement non de´sire´ (accident, incident, etc.). Elle part du constat qu’il est plus judicieux de traiter les causes d’un proble`me que d’en traiter les symptoˆmes e´vidents et imme´diats. La RCA a pour objectif de re´ve´ler les causes initiales afin que la probabilite´ d’occurrence de la de´faillance puisse eˆtre modifie´e. Une importante distinction est a` faire entre la RCA et la RCFA car cette dernie`re est utilise´e pour analyser un e´ve´nement qui s’est produit a` partir de la connaissance du passe´ (a posteriori). Cependant, la connaissance des causes initiales d’e´ve´nements passe´s peut entraıˆner des actions qui ame`nent a` des ame´liorations dans le futur. La RCA est un processus ite´ratif d’ame´lioration continue applicable a` tous les secteurs d’activite´s comme c’est le cas pour la me´thode FRACAS.
1. la cause ultime des causes qui e´vitera la re´apparition de la de´faillance si celle-ci est e´limine´e de´finitivement ; 2. la cause qui, lorsqu’elle sera identifie´e et corrige´e, e´vitera la re´apparition de la de´faillance. La cause racine ne concerne pas uniquement cette apparition, mais comporte des conse´quences ; 3. la cause racine qualifie la cause premie`re, initiale, qui provoque l’enchaıˆnement de la de´faillance [2].
De plus, le terme « cause racine » peut faire re´fe´rence a` une cause particulie`re dans la chaıˆne causale, comme repre´sente´ sur la figure 1. Il appartiendra alors aux responsables de de´terminer le niveau de la cause dans la chaıˆne causale, qui sera retenu pour re´aliser les actions correctives. La figure 2 illustre cette situation et montre qu’une cause a` un niveau donne´ entraıˆne la de´faillance de l’e´le´ment conside´re´. Ensuite, les effets de la de´faillance se re´percutent au niveau supe´rieur et celle-ci devient de facto la cause de la de´faillance de l’e´le´ment de niveau supe´rieur.
RCFA (Root Cause Failure Analysis) La RCFA, objet de cet article, est une me´thode d’analyse de´ductive qui permet a` partir des symptoˆmes et conse´quences de la de´faillance d’installations industrielles et de leurs e´quipements d’identifier la (ou les) cause(s) racine(s). Son objectif principal est d’e´liminer ces causes et de pouvoir de´finitivement e´viter la re´apparition de la de´faillance. Cet article est principalement consacre´ a` ces objectifs d’ame´lioration de la fiabilite´ et la disponibilite´ des installations industrielles.
Ce point est extreˆmement important a` de´finir dans les spe´cifications car il a un impact direct sur les taˆches de maintenance corrective a` re´aliser. En effet, cela conditionne les politiques qui ont e´te´ retenues concernant la maintenabilite´. Si l’entreprise dispose d’un parc important de pie`ces de rechange et de´cide de faire un e´change standard de l’e´le´ment de´faillant situe´ a` un niveau donne´, la cause racine sera celle correspondant a` l’e´le´ment remplace´. Ainsi, en ae´ronautique, la de´faillance d’un re´acteur d’avion qui est la cause de l’impossibilite´ de continuer a` exploiter l’ae´ronef pourra eˆtre corrige´e graˆce a` un e´change standard du re´acteur sans se pre´occuper dans l’imme´diat des causes de de´faillances internes au re´acteur. Pour e´viter toute ambiguı¨te´ et des interpre´tations errone´es, il est indispensable d’associer a` la cause racine la politique de re´paration : e´change standard ou re´paration comple`te de l’e´le´ment en e´liminant la cause racine comme indique´ sur la figure 2.
Analyse des de´faillances L’analyse des de´faillances posse`de plusieurs interpre´tations qui de´pendent de la finesse de l’analyse : dans la majorite´ des cas, pour des installations industrielles, elle correspond a` la de´termination de la de´faillance a` partir d’un raisonnement logique proce´dant a` l’examen des donne´es des symptoˆmes et des preuves mate´rielles physiques. Pour d’autres secteurs d’activite´s non techniques, les de´finitions associe´es sont diffe´rentes ;
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPU
SE 1 679 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWY ME´THODES D’ANALYSE DES CAUSES RACINES DES DE´FAILLANCES
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1.4 Classification des causes Événement
Les causes racines peuvent se classer en plusieurs cate´gories qui, dans la majorite´ des cas, font l’objet de listes diffe´rentes suivant les secteurs.
Symptôme
Cause de premier niveau nº1
Niveau 1
Cause intermédiaire nº2
Niveau 2
Cause intermédiaire nº3
Niveau 3
Cause de niveau immédiatement supérieur nº N + 1
Niveau N
La classification pre´sente´e dans cette liste repre´sente un exemple et ne doit pas eˆtre conside´re´e comme exhaustive : les causes physiques lie´es a` la technologie et aux mate´riaux utilise´s ; les causes humaines qui concernent les erreurs involontaires ou volontaires de la part des personnels charge´s de re´aliser les taˆches assigne´es. Elles entraıˆnent par leurs effets la de´faillance des e´quipements physiques ; les causes organisationnelles correspondant aux mauvaises prises de de´cision par les responsables lors du choix des politiques a` mener ; les causes environnementales qui repre´sentent les risques naturels ou cre´e´s par l’activite´ humaine induisant la de´faillance d’un proce´de´ (par exemple, la catastrophe de la centrale de Fukushima re´sulte d’un se´isme de magnitude 7,4 engendrant un tsunami qui a de´vaste´ ses e´quipements) ; les causes relatives a` une mauvaise conception ou a` une fabrication mal controˆle´e peuvent par la gravite´ de leurs conse´quences eˆtre conside´re´es comme des causes racines ; les causes latentes entraıˆnant des de´faillances qui ne pre´sentent pas de symptoˆmes apparents.
S
1.5 Notion de causalite´ Le proble`me du diagnostic et de l’identification de la cause racine consiste avant tout a` re´soudre le proble`me inverse de la relation de la cause a` l’effet connaissant principalement l’effet par ses symptoˆmes observables comme le montre la figure 3. Dans la norme CEI 60812:2006, un mode de de´faillance est de´fini par la manie`re dont un dispositif tombe en panne.
Cause racine
Figure 1 – Les diffe´rents niveaux dans la chaıˆne causale
Il est donc le´gitime de s’inte´resser a` la notion de causalite´ qui a, depuis l’Antiquite´, mobilise´ de nombreux philosophes et scientifiques. C’est Saint-Thomas d’Aquin qui a introduit la notion de cause premie`re dans le domaine religieux (somme the´ologique (1273) Ire partie, question 2, article 3) : « Nous constatons, a` observer les choses sensibles, qu’il y a un ordre, entre les causes efficientes ; mais ce qui ne se trouve pas et qui n’est pas possible, c’est qu’une chose soit la cause efficiente d’elle-meˆme, ce qui la supposerait ante´rieure a` elle-meˆme, chose impossible. Or il n’est pas possible non plus qu’on remonte a` l’infini dans les causes efficientes ; car, parmi toutes les causes efficientes en se´rie, la premie`re est cause des interme´diaires et les interme´diaires sont causes du dernier terme, quoi qu’il en soit du nombre des interme´diaires, qu’ils soient nombreux ou qu’il n’y en ait qu’un seul ».
1.3 Diffe´rentes de´finitions de la de´faillance L’une des difficulte´s majeures dans les me´thodes de recherche des causes racines de la de´faillance repose sur les diffe´rentes de´finitions et interpre´tations du terme « de´faillance » lui-meˆme.
Le dictionnaire Larousse donne plusieurs de´finitions en fonction des domaines d’application et qui seront utiles et pre´cise´es sur des exemples dans cet article : fait pour quelqu’un, un groupe, de ne pas assurer pleinement son roˆle, sa fonction (absence, faiblesse ou incapacite´) ; fait pour un me´canisme, un appareil, de cesser brusquement de fonctionner correctement ; perte momentane´e et brusque d’une faculte´, du controˆle de soi, de l’usage d’une fonction.
Plus re´cemment, dans son essai sur La nature dans la physique contemporaine, le physicien Werner Heisenberg [3] de´crit de fac¸on magistrale l’e´volution de la notion de causalite´. C’est pourquoi l’extrait suivant de´crit mieux que quiconque la notion de causalite´ : « Historiquement parlant, l’application du concept de causalite´ a` la re`gle de cause a` effet est relativement re´cente. Dans les philosophies anciennes, le terme « causa » avait une signification bien plus ge´ne´rale qu’il ne l’a aujourd’hui. Se re´fe´rant a` Aristote, la scolastique par exemple parlait de quatre formes de causes. On y trouve la « causa formalis », qu’aujourd’hui on appellerait la structure ou le contenu conceptuel d’une chose ; la « causa materialis », c’est-a`-dire la matie`re dont est faite une chose, la « causa finalis » qui est le but d’une chose et enfin la « causa efficiens ». Seule la causa efficiens correspond a` peu pre`s a` ce qui est de´signe´ aujourd’hui par terme de cause ».
Dans le domaine des installations industrielles, les de´faillances ont dans la plupart des cas une signification fonctionnelle comme indique´ dans la norme NF-EN-13306 : de´faillance : cessation de l’aptitude d’un bien a` accomplir une fonction requise. C’est cette de´finition qui sera retenue dans la suite de cet article. Cependant, certaines pratiques conside`rent la de´faillance mate´rielle. On constate que le mate´riel est en panne et on ne lui associe pas de fonctions.
SE 1 679 – 4
Dans la suite de cet article, la causa efficiens, qui implique le de´terminisme dans la relation de cause a` effet dans la de´faillance d’une entite´ physique ou organisationnelle, sera retenue.
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWY ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– ME´THODES D’ANALYSE DES CAUSES RACINES DES DE´FAILLANCES
PRINCIPE DE PROPAGATION DES DÉFAILLANCES DES EFFETS ET DES CAUSES ENTRE NIVEAUX DE DÉCOMPOSITION
Causes niveau 5
PROCÉDÉ L’effet
de la d
nce de
la cau
se
SYSTÈME nº 1 L’effet
de la d
nce de
de la d
se
nce de
Symptômes niveau 3
Défaillance niveau 2
Symptômes niveau 2
COMPOSANT N
Défaillance niveau 1
Symptômes niveau 1
PIÈCE N
S
SOUS-SYSTÈME N
la cau
se
COMPOSANT 1 L’effet
Défaillance niveau 3
SYSTÈME nº N
éfailla
vient
Causes niveau 2
Symptômes niveau 4
la cau
SOUS-SYSTÈME 1 L’effet
Défaillance niveau 4
éfailla
vient
Causes niveau 3
Symptômes niveau 5
éfailla
vient
Causes niveau 4
Défaillance niveau 5
de la d
éfailla
nce de
vient
Causes niveau 1
la cau
se
PIÈCE 1
Figure 2 – Propagation des causes et des effets dans une arborescence
1.6 Me´thodes d’analyse fonctionnelle pour repre´senter la chaıˆne de causalite´
DÉMARCHE DÉDUCTIVE
Cause
Mode / Symptôme
Les me´thodes d’analyse fonctionnelle, par leurs caracte`res syste´matiques et exhaustifs, repre´sentent une garantie formelle pour de´composer une installation industrielle en niveaux fonctionnels et mate´riels ne´cessaires pour identifier les modes de de´faillances et leurs conse´quences sur les objectifs ope´rationnels retenus pour l’installation ou l’e´quipement concerne´.
Effets / Conséquences
Figure 3 – De´marche de´ductive dans la recherche de causalite´
L’analyse fonctionnelle consiste a` recenser, caracte´riser, ordonner et hie´rarchiser les fonctions.
La recherche de la cause initiale ou racine correspond aux techniques de diagnostic.
Les me´thodes d’analyse fonctionnelle permettent : en cours de conception, de de´crire le besoin d’un utilisateur en termes de fonctions, en faisant abstraction des solutions pouvant les re´aliser ;
Le dictionnaire Robert donne une de´finition e´tymologique : « action de de´terminer une maladie d’apre`s ses symptoˆmes » et fait re´fe´rence a` sa racine grecque (dia : par, gnosis : connaissance).
pour un e´quipement existant, de de´crire sa structure en termes de fonctions, en prenant en compte les composants utilise´s. Pour e´tablir et visualiser la notion de cause a` effet, plusieurs outils et des logiciels spe´cialise´s permettent de cre´er des arborescences fonctionnelles ou mate´rielles qui se de´duisent directement de la structure du proce´de´. E´tant donne´ le nombre de me´thodes de repre´sentation disponibles, seules deux approches seront de´veloppe´es : l’approche intuitive et la me´thode SADT-IDEF0. Le lecteur trouvera plus d’informations dans [SE 4 007], notamment sur la me´thode FAST (Function Analysis System Technique) [5] qui est une autre technique permettant d’ordonner les fonctions identifie´es (elle n’est pas de´taille´e dans cet article).
Dans cet article, le diagnostic sera de´fini comme l’identification de la cause probable de la (ou des) de´faillance(s) a` l’aide d’un raisonnement logique fonde´ sur un ensemble d’informations recueillies sur l’entite´ a` diagnostiquer. La majorite´ des me´thodes et outils de´crits dans cet article reposent sur des de´marches intuitives ou sur des algorithmes de´terministes [4]. Le de´veloppement des techniques base´es sur d’intelligence artificielle et l’apprentissage automatique (en anglais machine learning) ouvrent actuellement des perspectives tre`s prometteuses e´voque´es a` la fin de cet article.
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPW
SE 1 679 – 5
S
QPX
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVXQ
Signalement, analyse et correction de de´faillances par
Gilles ZWINGELSTEIN Inge´nieur de l’E´cole nationale supe´rieure d’e´lectrotechnique, d’e´lectronique, d’informatique et d’hydraulique et des te´le´communications de Toulouse (ENSEEIHT), Docteur-Inge´nieur, Docteur e`s Sciences, Professeur associe´ des universite´s en retraite, Universite´ Paris Est Cre´teil, France
S
1.7 1.8
Principales me´thodes et outils de la re´solution de proble`me dans la de´marche FRACAS ............................................................ Pre´ambule .......................................................................................... Fondement des me´thodes de re´solution de proble`me ..................... E´volution des me´thodes de re´solution de proble`me ........................ Les principales me´thodes de re´solution de proble`me...................... Les e´tapes de la synthe`se des me´thodes de re´solution de proble`me ....................................................................................... Les principaux outils dans les me´thodes de re´solution de proble`me ....................................................................................... Conclusion sur les outils de re´solution de proble`me ....................... Les me´thodes graphiques de repre´sentation des donne´es ..............
2. 2.1 2.2 2.3 2.4
Principes ge´ne´riques des me´thodes FRACAS ........................... Pre´ambule .......................................................................................... Origines et concepts des me´thodes FRACAS.................................... Structure ge´ne´rique d’une me´thode FRACAS ................................... Les e´tapes de la de´marche ge´ne´rique FRACAS ................................
— — — — —
15 15 15 16 17
3.
Conclusion........................................................................................
—
21
4.
Glossaire ...........................................................................................
—
22
5.
Sigles .................................................................................................
—
22
1. 1.1 1.2 1.3 1.4 1.5 1.6
Pour en savoir plus..................................................................................
SE 1 681 – 2 — 2 — 3 — 3 — 3 —
8
— — —
9 14 14
Doc. SE 1 681
es diffe´rentes me´thodes les plus utilise´es pour mettre en œuvre un syste`me d’archivage de de´claration, d’analyse et de correction de de´faillances des installations industrielles sont pre´sente´es. Ces me´thodes sont utilise´es dans le monde anglo-saxon sous l’acronyme FRACAS (Failure Reporting Analysis Corrective Action System) et qui sera utilise´ dans le corps de cet article. Le principe ge´ne´ral de la me´thode FRACAS a e´te´ e´tabli formellement par le de´partement de la De´fense ame´ricain en 1985 pour permettre aux responsables d’avoir une visibilite´ et un controˆle de la fiabilite´ et de la maintenabilite´ de leurs syste`mes d’armes et des programmes informatiques qui leurs sont associe´s pendant toute la dure´e du cycle de vie (conception, de´veloppement, fabrication, test, exploitation et maintenance). Elle est caracte´rise´e par une de´marche tre`s structure´e qui comprend des e´tapes organise´es dans une boucle ferme´e re´troactive. Les e´tapes spe´cifiques de la me´thode en boucle ferme´e FRACAS impliquent tout d’abord que les de´faillances affectant les e´quipements et les logiciels soient formellement consigne´es et documente´es, puis une analyse approfondie pour comprendre la de´faillance et ses causes racines. Ensuite, des actions correctives doivent eˆtre identifie´es, applique´es et ve´rifie´es pour pre´venir la re´apparition de la de´faillance, minimisant ainsi les couˆts de maintenance.
p。イオエゥッョ@Z@ュ。イウ@RPQX
L
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QPY
SE 1 681 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVXQ SIGNALEMENT, ANALYSE ET CORRECTION DE DE´FAILLANCES
S
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Actuellement, suite aux de´veloppements des me´thodes et outils relatifs a` la qualite´ et aux travaux de Shewhart depuis les anne´es 1930, de multiples variantes des me´thodes FRACAS ont vu le jour dans les diffe´rents secteurs industriels. Dans la premie`re section de cet article, la de´marche ge´ne´rale des me´thodes de re´solution de proble`me a` l’origine de la majorite´ des me´thodes FRACAS fera l’objet d’une description synthe´tique. Apre`s un rappel des de´veloppements relatifs a` la qualite´ concernant des biens, services et organisations depuis les anne´es 1930, elle fournira un inventaire des principales me´thodes et outils dont le but est de de´tecter leurs dysfonctionnements, d’en rechercher les causes, de trouver les actions correctives et d’e´valuer leur efficacite´ apre`s leur mise en œuvre. Les causes pouvant eˆtre d’origines techniques, humaines et organisationnelles, cet article privile´giera le cas des de´faillances techniques. Les me´thodes de´veloppe´es pour la re´solution de proble`me mises au point par les spe´cialistes de la qualite´ Shewhart, Deming, Ishikawa (Roue de DemingShewhart-PDCA) et par Kepner et Tregoe feront l’objet de descriptions succinctes. Les principes des me´thodes plus re´centes de´veloppe´es par des industriels japonais et ame´ricains (Toyota et Ford notamment) telles que le KAIZEN, le 6 SIGMA, les techniques de l’A3, la 8D et la DMAIC y seront de´veloppe´s. Pour l’analyse et la recherche des causes des de´faillances des syste`mes industriels, cette section pre´sentera e´galement les objectifs des outils les plus utilise´s dans la de´marche FRACAS : QQOQCCP, Pare´to, arbre de de´faillances, AMDEC (analyse des modes de de´faillance de leurs effets et de leur criticite´), diagramme 5M d’Ishikawa, carte de controˆle, fiches de controˆle, lois de probabilite´s des de´faillances, les 5 POURQUOI, matrice de criticite´. Cette section de´crira ensuite les me´thodes de brainstorming, de Delphi et de Lewin pour le choix des actions correctives et les principales me´triques disponibles pour e´valuer leur efficacite´. La seconde section sera de´die´e a` la description d’une me´thode ge´ne´rique FRACAS qui re´alise une synthe`se des principaux concepts et outils spe´cifiquement adapte´s aux de´faillances techniques d’installations industrielles. En conclusion, une synthe`se et des recommandations seront fournies pour guider l’utilisateur a` choisir la me´thode la plus approprie´e, ainsi qu’une prospective sur les nouveaux de´veloppements.
marketing… La figure 1 de´crit cette proce´dure ite´rative universelle dans les diffe´rentes variantes des me´thodes FRACAS : poser le proble`me ; valider le proble`me ; rechercher les causes ; trouver des actions correctives ; e´valuer l’efficacite´ des actions correctives propose´es.
1. Principales me´thodes et outils de la re´solution de proble`me dans la de´marche FRACAS
Les diffe´rentes de´marches FRACAS ont un de´nominateur commun car elles sont toutes de´duites des principes utilise´s dans le domaine de la qualite´. En effet, de nombreuses variantes de FRACAS ont vu le jour suite aux de´veloppements des me´thodes de controˆle qualite´ re´alise´s depuis les anne´es 1930 avec les travaux de Shewhart dans son ouvrage Economic Control of Quality of Manufactured Product [1]. Ensuite, les concepts de la qualite´ totale et de l’assurance qualite´ se sont de´veloppe´s au Japon dans les anne´es 1950 et la ge´ne´ralisation du management de la qualite´ totale est concre´tise´e aujourd’hui par les normes ISO 9000. La notion de qualite´ fait l’objet de nombreuses interpre´tations en fonction des domaines concerne´s. Ainsi l’AFNOR (Association franc¸aise de normalisation) de´finit la qualite´ comme suit : « un produit ou un service de qualite´ est un produit dont les caracte´ristiques lui permettent de satisfaire les besoins exprime´s ou implicites des consommateurs ». Suivant la norme ISO 9000, « la qualite´ est l’aptitude d’un ensemble de caracte´ristiques intrinse`ques a`
1.1 Pre´ambule Les de´marches qui ont conduit aux diffe´rentes me´thodes FRACAS pour assurer et ame´liorer la fiabilite´ posse`dent un fondement commun valable dans tous les secteurs d’activite´s : celui de la re´solution de proble`me. Un proble`me correspond a` l’apparition d’une situation inattendue ou qui empeˆche d’atteindre les objectifs. Un proble`me, c’est la mesure de l’e´cart qui se´pare une situation de´crite comme ide´ale d’une part, et la situation actuelle, ressentie comme insatisfaisante d’autre part. Au sens large, cet e´cart, s’il est conside´re´ comme inacceptable, est appele´ « une de´faillance », un de´faut suivant les secteurs concerne´s. Re´soudre le proble`me reviendra donc a` supprimer cet e´cart (dans le meilleur des cas), ou en tout cas a` le re´duire de manie`re significative. Cette situation se rencontre dans les installations industrielles, les technologies de l’information, l’exploitation, le service au client, la maintenance, le
SE 1 681 – 2
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVXQ –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SIGNALEMENT, ANALYSE ET CORRECTION DE DE´FAILLANCES
Corporation, ont conduit des recherches sur des failles dans la prise de de´cisions au sein de l’arme´e de l’air. Leurs travaux ont conduit a` la me´thode KT (Kepner-Tregoe) sur les fondements que l’on peut dispenser a` chaque personne un enseignement pour ` parraisonner rationnellement pour la re´solution de proble`me. A tir des anne´es 1960, les entreprises japonaises de construction automobile ont de´veloppe´ des me´thodes d’ame´lioration de la qualite´. Parmi les plus importantes figurent la de´marche KAIZEN et la me´thode des 6 SIGMA. En relation avec la me´thode des 6 SIGMA, la me´thode DMAIC (Define Measure Analyse Improve Control) a e´te´ cre´e´e par l’entreprise Motorola a` la fin des anne´es 1980. Il s’agit d’une me´thode d’ame´lioration continue particulie`rement efficace, de´rive´e d’une de´marche qualite´ mise en place au sein du constructeur Toyota. La me´thodologie A3 a e´te´ invente´e et utilise´e pour la re´solution de proble`me sur le terrain e´galement chez Toyota. Aux E´tats-Unis, la me´thode de re´solution de proble`me 8 D (8 disciplines) a vu le jour en 1987 au sein de la compagnie Ford. Elle se pre´sente comme l’une des me´thodes de re´solution de proble`me participative, pratique´e en e´quipe pluridisciplinaire.
Poser le problème
Évaluer l’efficacité des actions correctives proposées
Trouver des actions correctives
Valider le problème
Rechercher les causes
1.4 Les principales me´thodes de re´solution de proble`me Figure 1 – Les e´tapes fondamentales des me´thodes FRACAS
Cette section pre´sente de fac¸on volontairement re´sume´e les principes des me´thodes de re´solution actuellement les plus populaires. Les principes ge´ne´raux de chaque me´thode y sont de´veloppe´s pour aider le lecteur a` s’approprier les de´marches et e´valuer leur complexite´. Elle expose succinctement leurs principes et fournit les re´fe´rences bibliographiques pour approfondir les de´tails de chaque me´thode. Elle est structure´e en pre´sentant de fac¸on chronologique leur mise en œuvre.
satisfaire les exigences. La caracte´ristique est un trait distinctif : elle de´pend du domaine concerne´ ; une caracte´ristique est intrinse`que si elle n’est pas attribue´e et une exigence est le besoin ou attente formule´(e), habituellement implicite, ou impose´(e) par le client qui rec¸oit le produit ». Dans le cas spe´cifique des me´thodes FRACAS applique´es aux de´faillances des syste`mes industriels, les caracte´ristiques lie´es a` la suˆrete´ de fonctionnement (fiabilite´, maintenabilite´, disponibilite´ et suˆrete´) seront prises en compte. Le produit est le proce´de´ industriel qui a e´te´ acquis aupre`s d’un fournisseur par les entreprises et dont elles assurent ensuite l’exploitation.
1.4.1 La roue PDCA de Shewhart – Deming – Ishikawa Est ici pre´sente´e l’e´volution de cette me´thode de´veloppe´e par Walter Shewhart [2], [0756], depuis les anne´es 1939 comme indique´ sur la figure 2. Le cycle initial de Shewhart de´veloppe´ en 1939 comporte trois e´tapes relatives a` la spe´cification, la production et l’inspection des performances d’un processus. Ces trois e´tapes constituaient a` l’e´poque une proce´dure scientifique dynamique pour acque´rir des connaissances. En 1950, Deming [3] modifia le cycle de Shewhart lors d’une re´union avec l’Union des scientifiques et inge´nieurs japonais. Il prit en conside´ration les interactions entre la conception, la fabrication, les ventes et la recherche. Le cycle de Deming-Shewhart a e´te´ modifie´ le´ge`rement par les japonais avec les travaux de Masaaki Imai [4] pour obtenir la fameuse roue de Deming-Shewhart (PDCA : Plan-Do-Check – Act) en 1951. M. Imai par la suite cre´a la de´marche KAIZEN qui fera l’objet d’une description dans la section 1.4.3. En 1985, Ishikawa a rede´fini le cycle PDCA en incluant les objectifs a` atteindre et en introduisant dans la phase Do (de´velopper) les notions de formation. Deming modifia de nouveau le cycle de Shewhart en 1993 et l’appela PDSA (PlanDo-Study-Act) [5]. Selon son expe´rience, Ishikawa jugea ne´cessaire que chaque e´tape puisse s’appuyer sur des me´thodes statistiques pour se prote´ger des conclusions errone´es sur les de´faillances a` tester et les mesures des interactions entre leurs effets. En franc¸ais, Le cycle PDSA correspond aux quatre e´tapes : planifier-exe´cuter-e´tudier-agir (PEE´A) et permet de de´terminer si un changement conduit a` une ame´lioration. La figure 2 re´capitule l’e´volution de la roue de Shewhart-Deming-Ishikawa depuis les anne´es 1939.
1.2 Fondement des me´thodes de re´solution de proble`me Les me´thodes de re´solution de proble`me permettent de cerner et de re´soudre un proble`me. Dans le dictionnaire Larousse, la de´finition d’un proble`me la plus adapte´e aux me´thodes FRACAS est la suivante : « Question a` re´soudre dans un domaine quelconque, qui se pre´sente avec un certain nombre de difficulte´s, d’obstacles ». En reprenant les termes utilise´s dans la norme ISO 9000, un proble`me peut eˆtre de´fini comme l’apparition d’e´ve´nements qui perturbent les caracte´ristiques spe´cifie´es d’un produit. La compre´hension du proble`me et sa transformation par e´tapes, fonde´es sur la planification et le raisonnement, constituent le processus de re´solution du proble`me. La re´solution de proble`me implique la re´flexion et l’action oriente´es vers un objectif dans des situations pour lesquelles aucune solution de routine n’existe.
1.3 E´volution des me´thodes de re´solution de proble`me La premie`re approche structure´e dans la re´solution de proble`me a vu le jour en 1931 avec les travaux de Walter Shewhart, alors qu’il e´tait inge´nieur a` la socie´te´ Bell. Shewhart est conside´re´ comme le pe`re fondateur des me´thodes modernes du controˆle de la qualite´. Dans son travail de 1925 a` 1956, Shewhart met en place les cartes de controˆle, le cycle PDCA (Plan-DoCheck-Act) et autres me´thodes statistiques d’assurance qualite´. Les concepts du cycle PDCA ont e´volue´ depuis 1939 graˆce a` sa collaboration avec Deming, Ishikawa et l’Union japonaise des scientifiques et inge´nieurs japonais (JUSE). Dans les anne´es 1950, Charles Kepner et Benjamin Tregoe, inge´nieurs a` la Rand
Lors du fonctionnement de d’un quart de tour. Si chaque d’expe´rience empeˆche la roue ce qui est appele´ la « cale » de
la me´thode PDCA, la roue avance e´tape est bien respecte´e, le retour de redescendre. Elle correspond a` la roue de Deming.
La figure 3 repre´sente un exemple des e´tapes a` accomplir dans le cas de la de´marche FRACAS utilisant les concepts pre´ce´dents.
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QQQ
SE 1 681 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVXQ
1950
1951
Spécification
Mise en service
uct
n
ion
ctio pe
In s
Pro d
Tests en Conception service
Cycle de Shewhart
Fabrication
Roue de Deming
Agir
1993
1985 ec tif s
1939
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Planifier
Agir
Contrôler Développer
Cycle PDCA japonais 1
O bj
SIGNALEMENT, ANALYSE ET CORRECTION DE DE´FAILLANCES
Méthodes Formation M Contrôler se ise rv en ic e Cycle PDCA japonais 2
PDCA : Plan – Do – Act – Check
Agir
Planifier
Étudier
Développer
Cycle PDSA : Deming PDSA : Plan – Do – Study – Check
Évolution de la roue de Deming-Shewhart
S
Figure 2 – Les e´tapes des e´volutions de la me´thode PDCA
ROUE DE DEMING-SHEWHART PDCA
Reconnaissance du problème A : Act : agir
Création du groupe de travail d’amélioration de la qualité
Amélioration continue
Vérification des performances de la solution
Définition précise du problème COMITÉ DE GESTION
C : Check : vérifier
P : Plan : planifier Sélection des indices de performance
Évaluation de la solution
Sélection et mise en place de la solution
D : Do : réaliser
Analyse du problème/procédé
Détermination des causes possibles
Figure 3 – Exemple de me´thode FRACAS base´e sur la roue de Deming-Shewhart
8. e´valuation de la solution ;
Les de´tails sur les outils seront de´crits dans la section 1.6. Les e´tapes sont re´capitule´es dans la liste suivante :
9. ve´rification des performances des solutions ;
1. reconnaissance du proble`me ;
10. ame´lioration continue si la solution est efficace.
2. cre´ation du groupe de travail ;
L’efficacite´ de cette me´thode de´pend de la qualite´ du groupe de gestion compose´ de spe´cialistes des domaines concerne´s.
3. de´tection pre´cise du proble`me ; 4. se´lection des indices de performances et de la criticite´ du proble`me ;
1.4.2 La me´thode Kepner et Tregoe
5. analyse du proble`me ;
Fonde´e en 1958 par Benjamin Tregoe et Charles Kepner [6], chercheurs a` la RAND corporation, leur me´thode de re´solution de proble`me repose sur une de´marche logique de pense´e. Cette me´thode,
6. de´termination des causes et de leur validation ; 7. se´lection et mise en place de la solution ;
SE 1 681 – 4
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QQR
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVXQ –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SIGNALEMENT, ANALYSE ET CORRECTION DE DE´FAILLANCES
• Déterminer les responsabilités • Définir les étapes à réaliser • Établir la liste des préoccupations • Déterminer les priorités • Séparer et clarifier la situation
LES ÉTAPES CLÉS DE LA MÉTHODE KEPNER-TREGOE-KT
ANALYSE DE LA SITUATION
Analyse du problème
Analyse des décisions
Analyse des problèmes potentiels
• Définition du problème • Spécification du problème • Identification des dysfonctionnements et des écarts • Formulation des causes possibles • Évaluer les causes à partir des données • Établir la preuve de la cause racine
• Énoncer une décision • Définir et classer les objectifs • Pondérer les objectifs • Formulations de décisions alternatives • Évaluer les décisions alternatives • Évaluer les risques • Prendre la décision finale
• Identifier les problèmes potentiels • Identifier les causes • Prendre des actions préventives • Planifier des actions éventuelles • Définir des critères de déclenchement des actions
S
Source : kepner-tregoe.com
Figure 4 – Les 4 e´tapes de la me´thode Kepner-Tregoe
connue sous l’acronyme KT, a e´te´ utilise´e avec succe`s pour secourir les astronautes de la mission Apollo 13 a` la suite d’une de´faillance technique. Elle est caracte´rise´e par l’utilisation de techniques structure´es afin d’analyser les proble`mes et prendre les de´cisions approprie´es pour e´viter leur re´apparition. Elle repose sur quatre e´tapes repre´sente´es sur la figure 4 :
Déterminer les objectifs Refaire
1/ analyse de la situation ;
Rappeler la situation actuelle
2/ analyse du proble`me ; 3/ analyse des de´cisions ; 4/ analyse des de´faillances potentielles.
Identifier les gaspillages
Formaliser La démarche Kaizen
1.4.3 La de´marche KAIZEN La de´marche KAIZEN [7], a e´te´ de´veloppe´e au Japon apre`s la fin de la deuxie`me guerre mondiale. C’est une me´thode de re´fe´rence pour la gestion et la maıˆtrise de la qualite´. Elle a e´te´ a` la base du succe`s de la compe´titivite´ japonaise. L’un des fondateurs de la de´marche KAIZEN est Taiichi Ohno, auteur du TPS [8] (Toyota Production System – syste`me de production Toyota), du JIT (Just In Time – juste a` temps) et autres outils de la lutte contre les gaspillages. Un autre pilier de la the´orie et la mise en œuvre pratique de la gestion de la qualite´ est Kaoru Ishikawa. Il est l’auteur du diagramme de causes et effets ; il de´veloppa avec succe`s les cercles qualite´, le TQC (Total Quality Control – maıˆtrise totale de la qualite´). Masaaki Imai a fait connaıˆtre et adapter le mot et la de´marche KAIZEN dans le monde entier. Il cre´a en 1986 l’institut pour diffuser le concept, la philosophie et la strate´gie KAIZEN. La figure 5 repre´sente les principales actions de la de´marche KAIZEN.
Résumer et célébrer
Corriger
Faire un bilan
Analyser les actions
Figure 5 – Les diffe´rentes e´tapes de la de´marche KAIZEN
Management est d’optimiser la performance des processus en exploitant les me´thodes, techniques et pratiques de´ja` a` disposition [1590]. Parmi les techniques les plus connues figurent le juste a` temps et les de´marches KAIZEN. Cette me´thode, en donnant l’alerte tre`s toˆt sur la chaıˆne de production, de`s qu’une erreur survient, permet non seulement de re´duire le gaspillage, mais de garantir e´galement au client une conformite´ aux plus hautes exigences en termes de qualite´, de fiabilite´ et de durabilite´. Les quatorze principes de managements de Toyota on fait l’objet d’un ouvrage intitule´
1.4.4 La me´thode Toyota TPS Selon le constructeur automobile japonais [8], le syste`me de production Toyota « (Toyota Production System – TPS) de´crit sur son site internet est conc¸u de manie`re a` « tirer » le produit fini d’un bout a` l’autre de la chaıˆne de production ». Elle inte`gre les concepts du Lean Management de´veloppe´s initialement par des chercheurs du MIT, Womack et Jones [9] en 1990. L’objectif du Lean
Copyright © - Techniques de l’Inge´nieur - Tous droits re´serve´s
QQS
SE 1 681 – 5
S
QQT
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWS
Méthode de maintenance basée sur la fiabilité « Streamlined » de l’EPRI par
Gilles ZWINGELSTEIN Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT) Docteur-Ingénieur Docteur ès sciences Professeur associé des universités en retraite, Université Paris Est Créteil, France
1. 1.1 1.2 2. 2.1 2.2
3. 3.1 3.2
Origines et objectifs du processus SRCM développé par l’EPRI...................................................................................................... Origines........................................................................................................ Objectifs ....................................................................................................... Principes et étapes la méthode « SCRM »................................................ Principes ...................................................................................................... Étapes........................................................................................................... 2.2.1 Organigramme général ..................................................................... 2.2.2 Collecte des données et examen du retour d’expérience .............. 2.2.3 Identification des fonctions importantes et de leurs défaillances fonctionnelles .............................................................................................. 2.2.4 Réalisation de l’analyse des composants critiques......................... 2.2.5 Réalisation de l’analyse des composants non critiques ................. 2.2.6 Recommandations pour la sélection des tâches de maintenance préventive .................................................................................................... 2.2.7 Comparaison avec les tâches existantes ......................................... 2.2.8 Mise en œuvre des changements..................................................... 2.2.9 Programme vivant ............................................................................. 2.2.10 Organisation d’une étude SRCM .................................................... Exemple d’application au système d’alimentation en eau de la chaudière d’une centrale à charbon................................................. Description du système d’alimentation en eau de la chaudière ............. Application de la SCRM au cas du système d’alimentation en eau ....... 3.2.1 Analyse des modes de défaillance et de l’évaluation de la criticité ... 3.2.2 Description d’un groupe motopompe électrique ............................ 3.2.3 Tâches de maintenance SCRM du groupe motopompe électrique ... 3.2.4 Conclusion sur l’exemple du système d’alimentation en eau de la chaudière ............................................................................................
S SE 1 673 - 2 — 2 — 2 — — — — —
3 3 3 3 3
— — —
4 4 6
— — — — —
6 6 6 9 9
— — — — — —
9 9 11 11 11 11
—
12
4. 4.1 4.2
Avantages et limitations de la méthode SRCM....................................... Avantages .................................................................................................... Limitations ...................................................................................................
— — —
14 14 14
5.
Conclusion ...................................................................................................
—
15
6.
Glossaire ......................................................................................................
—
15
Pour en savoir plus ..............................................................................................
Doc. SE 1 673
et article, qui s’adresse à des lecteurs ayant des connaissances de base sur la maintenance industrielle et sur la maintenance basée sur la fiabilité (MBF) (en anglais RCM : Reliability Centered Maintenance), présente la méthode développée par l’EPRI (Electrical Power Research Institute) aux ÉtatsUnis pour l’implantation d’une méthode simplifiée de maintenance basée sur
p。イオエゥッョ@Z@ウ・ーエ・ュ「イ・@RPQV
C
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QQU
SE 1 673 – 1
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWS MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI _____________________________________________________________
la fiabilité appelée SCRM (Streamlined Reliability Centered Maintenance) applicable aux ensembles de production d’électricité (nucléaires, thermiques classiques ou hydrauliques). Dans cet article, le symbole RCM sera utilisé en lieu et place de la MBF. Les motivations de l’EPRI pour développer une méthode simplifiée de RCM partent du constat que l’application de la méthode développée par Nowlan et Heap en 1978 était trop contraignante et demandait trop de temps et de ressources humaines aux yeux des exploitants. La première section présente les origines de la démarche qui résulte de la volonté de l’EPRI de mettre à la disposition des différents exploitants de centrales de production d’électricité une méthode simplifiée de maintenance basée sur la fiabilité respectant en grande partie les concepts fondamentaux de la RCM originale.
S
La deuxième section présente les étapes pour élaborer un programme de maintenance SCRM en y soulignant les points communs et différents avec la méthode RCM développée par Nowlan et Heap. Elle présente en particulier le contenu des canevas élaborés pour chaque type de composants en vue de simplifier la sélection des catégories des tâches de maintenance et leurs intervalles de mise en œuvre. Afin d’illustrer le contenu d’une étude de maintenance basée sur la SRCM, le cas du système d’alimentation en eau de la chaudière d’une centrale électrique à charbon est traité dans la troisième section. Le programme de maintenance des pompes d’alimentation en eau fait l’objet de développements détaillés. Compte tenu des critiques formulées à l’encontre de la SCRM par les défenseurs de la RCM telle que définie par ses fondateurs Nowlan et Heap, un bilan comparatif des avantages et inconvénients de la SRCM est fourni dans la quatrième section. En conclusion, des recommandations seront également formulées pour le lecteur souhaitant implanter la SRCM, ainsi que sur les adaptations qui ont vu le jour depuis la fin des années 2000.
1. Origines et objectifs du processus SRCM développé par l’EPRI
1.2 Objectifs La procédure d’analyse de la SRCM combine une analyse de fiabilité avec un examen approfondi du retour d’expérience pour élaborer un programme de maintenance. La SCRM repose principalement sur l’importance fonctionnelle et la fiabilité de chaque équipement. Le programme de maintenance est développé en hiérarchisant l’importance de chaque équipement en identifiant leurs fonctions, leurs défaillances potentielles et en tenant compte du besoin de minimiser les tâches de maintenance et d’inspection intrusives. Les tâches de maintenance sont développées pour surveiller ou maintenir les équipements dont les défaillances entraîneraient l’interruption de fonctions importantes pour le procédé. Tous les autres équipements fonctionnent jusqu’à leur défaillance à condition que cela n’impacte pas la sûreté ou n’entraîne pas de coûts prohibitifs. La SCRM conduit à des recommandations de modification des programmes de maintenance déjà établis. Les objectifs de la SCRM se résument comme suit : • affecter en priorité les ressources de maintenance en recherchant le maximum d’efficacité ; • éliminer les tâches de maintenance inefficaces ou non nécessaires ;
1.1 Origines Suite à la publication du rapport sur la RCM par Nowlan et Heap en 1978 [1] dans le domaine aéronautique, l’Electrical Power Research Institute (EPRI), financé par les producteurs d’électricité américains, a transposé cette méthode pour l’industrie nucléaire dès 1983 lors d’expériences pilotes pour différents systèmes de centrales nucléaires. Les exploitants nucléaires concernés ont constaté que l’application de la méthode RCM originale exigeait trop de temps et de ressources, les conduisant à suspendre son application. L’EPRI a alors recherché d’autres méthodes permettant de diminuer les coûts et les temps de développement d’une analyse RCM tout en conservant l’intégrité et les résultats de la démarche originale. Les résultats de ces efforts ont conduit à une méthode simplifiée ou « allégée » de maintenance basée sur la fiabilité : la SRCM (Streamlined Reliability Centered Maintenance). Dans la suite de cet article, l’acronyme SRCM sera uniquement utilisé. Cette approche a été validée en comparant les résultats obtenus avec la RCM originale et la SCRM, appliquées à un système identique. Des informations plus détaillées sur les méthodes de RCM sont fournies dans [SE1655] et [SE1650].
SE 1 673 – 2
• élaborer les moyens les plus simples et les plus efficaces économiquement pour maintenir les équipements ; • privilégier les activités de maintenance conditionnelles et prévisionnelles pour surveiller la dégradation des équipements chaque fois que cela est possible ;
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QQV
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWS _____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI
• établir les documents de base pour les programmes de maintenance ;
• identification des fonctions importantes ; • réalisation de l’analyse des composants critiques ; • réalisation de l’analyse des composants non critiques ; • recommandations pour la sélection des tâches de maintenance préventive ; • comparaison avec les tâches existantes ; • mise en œuvre des changements ; • programme vivant.
• utiliser les compétences des personnels de maintenance et des entreprises de sous-traitance pour déterminer les tâches de maintenance préventive et leurs fréquences.
2. Principes et étapes la méthode « SCRM »
2.2.1 Organigramme général L’organigramme représenté sur la figure 3 indique le séquencement des différentes études à réaliser pour définir un programme de maintenance SRCM.
2.1 Principes Comme souligné à la section précédente, les performances de la SRCM ont été comparées à celles de la RCM originale sur un système identique. Les principales simplifications et modifications de la méthode SCRM par rapport à la RCM originale sont représentées sur la figure 1. Le lecteur trouvera des descriptions complètes de la SRCM dans [2] et [3].
2.2.2 Collecte des données et examen du retour d’expérience Dans le but de faciliter la procédure d’analyse de la SRCM et d’optimiser les coûts, une collecte et un examen approfondi de toutes les informations pertinentes sont indispensables avant de procéder aux étapes suivantes de la SRCM. Les documents et les données nécessaires aux analyses comportent :
2.2 Étapes La figure 2 représente les étapes à réaliser pour développer un programme de maintenance SCRM. Elles feront l’objet de descriptions détaillées dans cette section :
• la description du système ; • les schémas ;
• collecte des données ;
• la liste des équipements ;
MFB standard
MBF allégée
True RCM
Streamlined RCM
Décomposition fonctionnelle systèmes sous-systèmes Identification des fonctions importantes Analyse des défaillances fonctionnelles Analyse des modes de défaillances et de leurs effets (AMDE)
Réalisation de l’analyse de des composants critiques
Sélection des tâches pour composants critiques Évaluation des composants non critiques Réalisation de l’analyse de des composants non critiques Sélection des tâches pour composants non critiques
Comparaison des tâches
Comparaison des tâches
Implantation
Implantation
Figure 1 – Comparaison des étapes de la RCM originale et de la SRCM
Copyright © – Techniques de l’Ingénieur – Tous droits réservés.
QQW
SE 1 673 – 3
S
r←ヲ←イ・ョ」・@iョエ・イョ・エ seQVWS MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI _____________________________________________________________
Collecte des données
Identification des fonctions importantes
Réalisation de l’analyse des composants critiques
Audits du retour d’expérience et réalisation d’interviews des personnels de maintenance et d’exploitation
Réalisation de l’analyse des composants non critiques
S
Comparaison des tâches de maintenance de la MBF allégée avec le programme de maintenance existant
Mise en œuvre des changements
Programme vivant
Figure 2 – Les étapes de la RCM allégée « SRCM »
ne retient que les modes de défaillance les plus significatifs ainsi que les effets les plus importants pour l’installation. Toutes ces informations sont regroupées dans un seul document comme indiqué sur le tableau 1 à titre d’illustration pour un réservoir et un robinet à commande manuelle d’un système d’alimentation en eau d’une chaudière.
• l’historique de la maintenance corrective (si possible sur une période de plusieurs années) ; • les procédures actuelles de maintenance préventive et de surveillance ; • les exigences réglementaires ou non relatives aux tâches actuelles de maintenance préventive et de surveillance.
La criticité est définie en tenant compte des combinaisons entre les modes de défaillance spécifiques à chaque fonction et leurs effets. Pour faciliter les analyses, l’EPRI propose de prendre en compte la sûreté, la production et l’environnement (critique ou non critique), les conditions d’environnement de l’équipement (sévère ou non sévère), les modes de sollicitation (fréquent ou rare). La criticité ne tient pas compte du critère économique. Ainsi, un composant dont la défaillance n’a pas de conséquence fonctionnelle mais des conséquences économiques est considéré comme non critique.
2.2.3 Identification des fonctions importantes et de leurs défaillances fonctionnelles La démarche utilisée par la SRCM diffère de la RCM originale dans la mesure où tous les efforts sont consacrés à l’identification des défaillances fonctionnelles considérées comme importantes. Une analyse est entreprise pour identifier toute argumentation associée : (1) fonctions importantes et (2) fonctions non importantes. Le critère retenu pour définir une fonction importante est en général spécifique à chaque utilisateur. En général, toute fonction dont les défaillances affectent la sécurité, les contraintes environnementales où les capacités de production est classée importante. Les fonctions non importantes incluent typiquement celles qui fournissent des mesures locales ou des fonctions secondaires.
Un des points clés de l’efficacité de SCRM consiste à identifier les modes de défaillance à des niveaux élevés dans la décomposition fonctionnelle. Par exemple pour une pompe, en cas de défaillance, on indiquera seulement : la pompe ne démarre pas ou s’arrête de fonctionner, et non pas la pompe cesse de fonctionner à cause du blocage d’un palier. Par rapport à la RCM originale, cela représente une réduction très importante des analyses. En effet, on constate généralement que 50 à 70 % des équipements sont classés comme non critiques. Cela évite ainsi de faire des analyses non nécessaires. Si le composant est classé critique, l’étape suivante consiste à rechercher les causes des modes de défaillance dans le but de définir les tâches de maintenance applicables et efficaces pour les modes de défaillances et les causes qui sont jugées importantes à identifier ou à éliminer. Pour faciliter les analyses, l’EPRI a établi une liste non exhaustive des principales causes qui seront utilisées ultérieurement comme indiqué dans le tableau 2.
2.2.4 Réalisation de l’analyse des composants critiques Contrairement à la RCM originale, dans la SRCM, seules les fonctions importantes font l’objet d’une AMDE simplifiée (analyse des modes de défaillances et de leurs effets) [SE4040] pour déterminer les composants critiques. Dans la SRCM, les AMDE originales et l’arbre logique de décision (LTA : Logic Tree Analysis) ont été réunis dans un document unique. L’AMDE simplifiée identifie chaque composant qui contribue à la défaillance fonctionnelle et
SE 1 673 – 4
Copyright © – Techniques de l’Ingénieur – Tous droits réservés
QQX
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE Techniques de l’Ingénieur propose la plus importante collection documentaire technique et scientifique en français ! Grâce à vos droits d’accès, retrouvez l’ensemble des articles et fiches pratiques de votre offre, leurs compléments et mises à jour, et bénéficiez des services inclus.
RÉDIGÉE ET VALIDÉE PAR DES EXPERTS
MISE À JOUR PERMANENTE
100 % COMPATIBLE SUR TOUS SUPPORTS NUMÉRIQUES
SERVICES INCLUS DANS CHAQUE OFFRE
+ de 350 000 utilisateurs + de 10 000 articles de référence + de 80 offres 15 domaines d’expertise Automatique - Robotique Biomédical - Pharma Construction et travaux publics Électronique - Photonique Énergies Environnement - Sécurité Génie industriel Ingénierie des transports
Innovation Matériaux Mécanique Mesures - Analyses Procédés chimie - Bio - Agro Sciences fondamentales Technologies de l’information
Pour des offres toujours plus adaptées à votre métier, découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source d’informations de référence des bureaux d’études, de la R&D et de l’innovation. www.techniques-ingenieur.fr CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : [email protected]
SERVICES ET OUTILS PRATIQUES
ACCÈS
LES AVANTAGES ET SERVICES compris dans les offres Techniques de l’Ingénieur
Accès illimité aux articles en HTML
Téléchargement des articles au format PDF
Consultation sur tous les supports numériques
Enrichis et mis à jour pendant toute la durée de la souscription
Pour un usage en toute liberté
Des contenus optimisés pour ordinateurs, tablettes et mobiles
Questions aux experts*
Articles Découverte
Dictionnaire technique multilingue
Les meilleurs experts techniques et scientifiques vous répondent
La possibilité de consulter des articles en dehors de votre offre
45 000 termes en français, anglais, espagnol et allemand
Archives
Impression à la demande
Alertes actualisations
Technologies anciennes et versions antérieures des articles
Commandez les éditions papier de vos ressources documentaires
Recevez par email toutes les nouveautés de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
www.techniques-ingenieur.fr CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : [email protected]