Vous êtes sur la page 1sur 120

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Sécurité des systèmes industriels

Réf. Internet : 42830 | 2nde édition

Actualisation permanente sur


www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français

Une information fiable, claire et actualisée


Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.

Les meilleurs experts techniques et scientifiques


Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.

Une collection 100 % en ligne


• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF

Des services associés


Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.

 Des services associés


Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com

III
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
composé de  :

Management de la sécurité Réf. Internet : 42154

Méthodes d'analyse des risques Réf. Internet : 42155

Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156

Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568

Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742

Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743


dans l’entreprise

Risques d'explosion Réf. Internet : 42157

Risques d'incendie Réf. Internet : 42583

Risques électriques Réf. Internet : 42496

Sécurité par secteur d'activité et par technologie Réf. Internet : 42159

Sécurité des systèmes industriels Réf. Internet : 42830

Santé et sécurité au travail Réf. Internet : 42158

Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648

Risques naturels et impacts industriels Réf. Internet : 42828

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

IV
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)

dont les exper ts scientifiques sont  :

William DAB
Titulaire de la chaire d'Hygiène et Sécurité, CNAM

Jean-Pierre DAL PONT


Président de la SFGP (Société française de génie des procédés), Secrétaire
général de l'EFCE (Fédération européenne du génie chimique), Président de la
SECF (Société des experts chimistes de France)

François FONTAINE
Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS

Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest

Jean-Louis GUSTIN
Expert en sécurité des procédés Rhodia Recherches et Technologies

Olivier IDDIR
Ingénieur quantification des risques, TechnipFMC, membre du réseau des
experts, Département Expertise et Modélisation

André LAURENT
Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC

Yves MORTUREUX
Expert en maîtrise des risques à la Direction de la sécurité de la SNCF

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

V
Les auteurs ayant contribué à cet ouvrage sont :

Philippe CHARPENTIER Laurent MIQUET


Pour l’article : S8270 Pour l’article : BE9814

Joseph CICCOTELLI Yves MORTUREUX


Pour l’article : S8270 Pour l’article : AG4670

Éric ERCOLANI Jean-Marc PONCET


Pour l’article : BE9814 Pour l’article : BE9814

Philippe GULLY Jean-Pierre SIGNORET


Pour l’article : BE9814 Pour l’article : SE4074

Philippe LUBINEAU Gilles ZWINGELSTEIN


Pour l’article : SE2075 Pour les articles : S8250 – S8251 –
S8252 – S8253 – SE1649 – SE1650 –
Chantal MEURIS SE1655 – SE1660 – SE1665 – SE1667 –
Pour l’article : BE9814 SE1669 – SE1671 – SE1675 – SE1677 –
SE1679 – SE1681 – SE1673

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

VI
Sécurité des systèmes industriels
(Réf. Internet 42830)

SOMMAIRE

1– Sureté de fonctionnement des systèmes industriels Réf. Internet page

Sûreté de fonctionnement. Principaux concepts S8250 11

La sûreté de fonctionnement : méthodes pour maîtriser les risques AG4670 19

Sûreté de fonctionnement. Analyse et bases de données de iabilité S8251 23

Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 29

Sûreté de fonctionnement des systèmes industriels complexes. Exemples S8253 31


d'applications
Blocs-diagrammes de iabilité SE4074 37

Sécurité en cryogénie BE9814 43

2– Sécurité des machines Réf. Internet page

Intégration de la sécurité à la conception des machines SE2075 49

Équipements de travail  : sécurité des systèmes programmés S8270 53

3– Méthodes de maintenance Réf. Internet page

Introduction aux méthodes de maintenance basées sur la iabilité SE1649 59

Méthodes de maintenance basées sur la iabilité et sur les risques SE1650 61

Méthode de maintenance basée sur la iabilité de Nowlan et Heap SE1655 67

Méthode de maintenance basée sur la iabilité RCM2™ de John Moubray SE1660 71

Méthode de maintenance basée sur la iabilité de la SAE SE1665 75

Méthode de maintenance basée sur la iabilité de la CEI SE1667 79

Méthode de maintenance basée sur la iabilité de la MSG 3 SE1669 83

Méthode AP913 de maintenance basée sur la iabilité des centrales nucléaires SE1671 89
américaines
Méthode de maintenance basée sur la iabilité inversée PMO2000® SE1675 95

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

VII
Méthode de maintenance basée sur les risques et la iabilité CWA-RBIM SE1677 99

Méthodes d'analyse des causes racines des défaillances SE1679 103

Signalement, analyse et correction de défaillances SE1681 109

Méthode de maintenance basée sur la iabilité « Streamlined » de l'EPRI SE1673 115

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
Sécurité des systèmes industriels
(Réf. Internet 42830)


1– Sureté de fonctionnement des systèmes industriels Réf. Internet page

Sûreté de fonctionnement. Principaux concepts S8250 11

La sûreté de fonctionnement : méthodes pour maîtriser les risques AG4670 19

Sûreté de fonctionnement. Analyse et bases de données de iabilité S8251 23

Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 29

Sûreté de fonctionnement des systèmes industriels complexes. Exemples S8253 31


d'applications
Blocs-diagrammes de iabilité SE4074 37

Sécurité en cryogénie BE9814 43

2– Sécurité des machines

3– Méthodes de maintenance

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires


QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

Sûreté de fonctionnement
Principaux concepts
par Gilles ZWINGELSTEIN

Ingénieur de l’école nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Note de l’éditeur
Cet article est la version actualisée de l’article [S8250v2] intitulé Sûreté de fonctionnement
des systèmes industriels complexes. Principaux concepts rédigé par Gilles ZWINGELSTEIN
et paru en 2009

1. Préambule ..................................................................................................... S 8 250v3 - 3


1.1 Sûreté............................................................................................................... — 3
1.2 Sécurité ............................................................................................................ — 3
1.3 Relations entre sûreté et sécurité .................................................................. — 3
2. Enjeux et évolution de la sûreté de fonctionnement........................ — 4
2.1 Enjeux de la sûreté de fonctionnement ........................................................ — 4
2.2 Évolutions de la discipline sûreté de fonctionnement................................. — 4
3. Missions, fonctions et défaillances d’un système
et de ses composants ...................................................................................... — 5
3.1 Missions et fonctions...................................................................................... — 5
3.2 Défaillances ..................................................................................................... — 6
4. Procédés industriels ................................................................................... — 9
4.1 Description générale....................................................................................... — 9
4.2 Terminologie générale ................................................................................... — 9
4.3 Description fonctionnelle ............................................................................... — 10
4.4 Description matérielle .................................................................................... — 11
5. Rappels sur les probabilités ..................................................................... — 11
5.1 Notion de variable aléatoire........................................................................... — 11
5.2 Notion de probabilité d’un événement ......................................................... — 12
5.3 Fonction de répartition d’une variable aléatoire .......................................... — 12
5.4 Valeur moyenne, variance et écart-type d’une variable aléatoire continue ... — 13
5.5 Adaptation des définitions pour la description du comportement
de systèmes physiques .................................................................................. — 13
5.6 Lois de probabilité rencontrées dans les études de fiabilité ....................... — 13
6. Concepts de base et sûreté de fonctionnement ................................ — 14
6.1 Concepts de maintenance .............................................................................. — 14
6.2 Fiabilité (reliability) ......................................................................................... — 15
6.3 Méthodes d’estimation des lois de fiabilité et données du retour
d’expérience .................................................................................................... — 18
6.4 Disponibilité (availability)............................................................................... — 18
6.5 Maintenabilité (maintainability)..................................................................... — 19
6.6 Caractéristiques de la maintenance .............................................................. — 21
7. Fiabilité humaine ......................................................................................... — 22
8. Coût global de possession........................................................................ — 22
9. Maintenabilité intégrée à la conception et soutien logistique
intégré (SLI)................................................................................................... — 24
10. Sécurité .......................................................................................................... — 25
10.1 Enjeux et démarches ...................................................................................... — 25
10.2 Niveau d’intégrité suivant la norme IEC 61508 : SIL (safety integrity level).. — 28
11. Conclusion .................................................................................................... — 28
12. Glossaire ........................................................................................................ — 29
13. Sigles, notations et symboles.................................................................. — 30
Pour en savoir plus ...............................................................................................Doc. S 8 250v3
p。イオエゥッョ@Z@ュ。イウ@RPQY

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 250v3 – 1

QQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

a sûreté de fonctionnement est une des préoccupations majeures des res-


L ponsables de l’exploitation de systèmes industriels complexes pour
répondre aux exigences opérationnelles et réglementaires. Cet article décrit la
terminologie et les principaux concepts pour optimiser la fiabilité, la maintena-
bilité et la sécurité des installations industrielles complexes. Compte tenu des
diverses interprétations et définitions des termes « sûreté » et « sécurité », la
première section précise ces notions suivant les secteurs d’activités et les diffé-

Q rentes normes pour éviter toute ambiguïté dans le contenu de cet article. La
sûreté de fonctionnement est une discipline scientifique multidisciplinaire à
part entière et évolue en permanence pour intégrer les nouveaux outils et exi-
gences en matière notamment de maintenance et de maîtrise des risques
technologiques. Ces enjeux font l’objet de la deuxième section. Qualifiées
souvent de science des défaillances, les études de sûreté de fonctionnement
reposent sur des définitions précises des fonctions, missions et défaillances et
sont développées dans de la troisième section. En parallèle, les décomposi-
tions hiérarchiques fonctionnelles et matérielles des processus industriels qui
permettent de préciser les niveaux d’analyse sont précisées dans la quatrième
section. L’instant d’occurrence d’une défaillance se produisant de façon aléa-
toire, des rappels sur les probabilités et les principales lois de défaillance sont
détaillées dans la cinquième section. La sixième section est principalement
dédiée aux définitions qui constituent les bases de la sûreté de fonctionne-
ment : fiabilité, maintenabilité, disponibilité et sécurité. Le retour d’expérience
sur les causes racines des incidents et accidents faisant ressortir que plus de
60 % d’entre elles sont imputables aux erreurs humaines ; la septième section
fournit une description des méthodes d’évaluation de la fiabilité humaine. La
rentabilité économique d’une installation industrielle pendant la durée de son
cycle de vie, de la conception à son démantèlement dépend en partie de la
sûreté de fonctionnement. La huitième section précise son rôle dans les éva-
luations des coûts globaux de possession et de cycle de vie ; ces coûts
dépendent très fortement des choix retenus lors de la phase de conception de
l’installation industrielle. La neuvième section fournit les bases des méthodes
de maintenance intégrée à la conception et du soutien logistique intégré.
Actuellement, les conséquences des défaillances sur la santé des personnes,
les biens et l’environnement sont les préoccupations majeures des respon-
sables d’exploitation qui sont soumis à des réglementations de plus en plus
contraignantes. La dixième section présente les enjeux et les méthodologies
pour la maîtrise des risques technologiques en y précisant également la termi-
nologie. Elle précise le rôle des moyens de prévention à mettre en place pour
obtenir un niveau de risque acceptable en se basant sur le modèle « swiss
cheese » de Reason. Une attention particulière est portée au cas particulier des
systèmes instrumentés de sécurité. La conclusion insiste sur la nécessité d’une
assimilation parfaite des concepts liés à la fiabilité, la maintenabilité, la dispo-
nibilité et la sécurité pour entreprendre avec succès une étude en sûreté de
fonctionnement. Les progrès réalisés depuis le début des années 2000 en intel-
ligence artificielle ouvrent de nouvelles perspectives en sûreté de
fonctionnement, notamment pour la prédiction des défaillances avec les nou-
veaux outils développés CBM (condition based monitoring, PHM (prognostics
and health management) et RUL (remaining useful life).

S 8 250v3 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT

1. Préambule de logistique de maintenance, les conditions d’utilisation et


l’influence du personnel d’exploitation).
• Norme CEI 60050 – Sûreté de fonctionnement : aptitude à
Tchernobyl, Bhopal, AZF, Concorde, Columbia, Fukushima, Bré- fonctionner quand et tel que requis ; la sûreté de fonctionne-
tigny, Pont de Gènes sont des exemples des activités indus- ment comprend la disponibilité, la fiabilité, la récupérabilité,
trielles et humaines qui malheureusement font presque la maintenabilité, l’efficacité de la logistique de maintenance
quotidiennement les grands titres des actualités avec leurs cor- et, dans certains cas, d’autres caractéristiques telles que la
tèges d’incidents, d’accidents ou d’événements catastrophiques. durabilité, la sûreté et la sécurité.
En effet, le zéro défaut, ou le risque zéro, n’existe malheureuse-
ment pas pour les activités industrielles à cause de l’occurrence
de défaillances humaines ou matérielles. Pour minimiser les 1.2 Sécurité

conséquences de ces défaillances sur la santé des personnes, les
biens et l’environnement, des normes internationales et des Cette notion possède des interprétations multiformes dans les
réglementations spécifiques ont été élaborées pour définir des domaines techniques, la santé des personnes et la prévention des
méthodes. C’est ainsi que les notions de sûreté et de sécurité ont actes de malveillance.
été définies. Bien que les termes « sûreté » et « sécurité » ont en
fait la même racine étymologique (latin securus : sûr) leurs défini- ■ Sécurité suivant la norme ISO/IEC GUIDE 51:2014
tions portent à confusion car, suivant les secteurs, leurs contenus La sécurité est l’absence de risque intolérable, le risque étant
diffèrent totalement. Cela vient de l’héritage des mots « safety » défini comme la combinaison de la probabilité de la survenue
et « security » utilisés dans le monde anglo-saxon où ces termes d’un dommage et de sa gravité. Le dommage représente une bles-
ont vu le jour pour la première fois au milieu du XXe siècle. Pour sure physique, une atteinte à la santé des personnes, une atteinte
la bonne compréhension de cet article et éviter toute confusion, aux biens ou à l’environnement, sachant que le risque tolérable
les termes sûreté et sécurité vont être explicités suivant leurs sec- correspond à un niveau de risque accepté dans un contexte donné
teurs d’application. et fondé sur les valeurs admises par la société.
■ Sécurité aérienne
1.1 Sûreté La sécurité vise à réduire et maîtriser à un niveau acceptable les
risques liés à l’exploitation des aéronefs. Il s’agit de prévention et
L’acceptation au sens général du terme « sûreté » dépend des de protection contre des événements d’origine accidentelle, quelle
secteurs industriels. Cette section fournit à titre d’exemple les qu’en soit la nature : technique, structurelle, météorologique,
définitions utilisées dans les secteurs aéronautiques et nucléaires humaine non intentionnelle. Si la finalité est la même, à savoir la
et dans les normes internationales. La définition de la sûreté de préservation des personnes et des biens, les notions de sûreté et
fonctionnement, objet de cet article, y est précisée. de sécurité ont leur logique propre et diffèrent tant sur les causes
que sur les remèdes. Elles doivent être pensées de manière
■ Sûreté aérienne conjointe et coordonnée dans un objectif d’efficience.
Ce terme est défini par la DGAC (Direction générale de l’aviation ■ Sécurité nucléaire
civile) : « La sûreté vise à protéger l’aviation civile contre les actes
volontaires malveillants dont les motivations peuvent être très L’article L. 591-1 du Code de l’environnement précise que la
diverses (terrorisme, criminalité, activisme politique, folie indivi- sécurité nucléaire comprend la sûreté nucléaire, la radioprotec-
duelle d’un passager… ». tion, la prévention et la lutte contre les actes de malveillance, ainsi
que les actions de sécurité civile en cas d’accident.
■ Sûreté nucléaire
■ Sécurité industrielle
Le droit français (article L. 591-1 du Code de l’environnement)
La sécurité industrielle désigne les moyens – humains, tech-
précise que la sûreté nucléaire est « l’ensemble des dispositions
niques et organisationnels – de prévention et d’intervention contre
techniques et des mesures d’organisation relatives à la concep-
les risques à caractère accidentel.
tion, à la construction, au fonctionnement, à l’arrêt et au démantè-
lement des installations nucléaires de base ainsi qu’au transport Il peut être question de risques techniques, physiques, chimiques
des substances radioactives, prises en vue de prévenir les acci- ou environnementaux, mais dont l’origine est toujours involontaire.
dents ou d’en limiter les effets ».
■ Sécurité au travail
■ Sûreté dans le secteur des PME et PMI Fortement liée à la santé au travail, la sécurité au travail est une
Suivant Veritas, la sûreté désigne « l’ensemble des moyens démarche pluridisciplinaire qui vise à supprimer ou à réduire les
dédiés à la prévention des actes de malveillance. Ces actes, par risques d’accidents susceptibles de se produire lors de l’exercice
définition volontaires, ont pour finalité le profit et/ou l’intention de d’une activité professionnelle.
nuire ». Cette définition est reprise par la majorité du tissu fran- ■ Sécurité fonctionnelle
çais des PMI et PME.
Elle représente un aspect de la sécurité au sens général. C’est
■ Sûreté de fonctionnement suivant les normes EN et CEI une méthodologie qui permet d’analyser et d’éliminer des
risques à caractère inacceptable qui pourraient engendrer des
Les normes NF EN 13306 et CEI 60050 sont principalement blessures, porter atteinte, directement ou indirectement à la
dédiées à la sûreté de fonctionnement. La norme NF EN 13306 est santé des personnes, dégrader l’environnement et altérer la pro-
dédiée à la maintenance tandis que la norme CEI 60050 propose priété.
des termes génériques applicables à tous les domaines de la
sûreté de fonctionnement, y compris les applications électrotech-
niques.
1.3 Relations entre sûreté et sécurité
• Norme NF EN 13306 – Sûreté de fonctionnement : aptitude à
fonctionner comme cela est requis et lorsque cela est requis ; Si la finalité est la même, à savoir la préservation des per-
elle précise que la sûreté de fonctionnement comprend la dis- sonnes et des biens contre des actions involontaires ou intention-
ponibilité, la sûreté, la sécurité, la durabilité et les facteurs qui nelles de malveillance, les notions de sûreté et de sécurité ont
les influencent (la fiabilité, la maintenabilité, les performances leur logique propre et diffèrent tant sur les causes que sur les

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 250v3 – 3

QS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

remèdes. Elles doivent être pensées de manière conjointe et 2.2 Évolutions de la discipline sûreté
coordonnée dans un objectif d’efficience. Ceci d’autant plus
qu’avec les nouveaux outils de la maîtrise des risques, les fron-
de fonctionnement
tières s’interpénètrent, notamment avec les notions de barrières
Historiquement, les premières études firent leur apparition
physiques et organisationnelles et les concepts de défense en
essentiellement dans les transports ferroviaires pour le dévelop-
profondeur comme c’est le cas dans le domaine de l’industrie
pement des recueils statistiques des pièces mécaniques. Les
nucléaire. Dans cet article, les concepts de sûreté de fonctionne-
études quantitatives de l’époque reposaient sur l’identification
ment correspondront strictement aux normes CEI 60050 et ISO/


d’éléments supposés critiques pour lesquels des améliorations de
IEC GUIDE 51.
la conception technique s’imposaient. Le développement des
transports aériens conduisit ensuite à évaluer la sécurité opéra-
tionnelle des vols d’aéronefs propulsés par un, deux, trois et
quatre moteurs. À cette occasion et pour la première fois, on a
2. Enjeux et évolution introduit des objectifs chiffrés en termes de probabilité d’occur-
rence d’accident par heure de fonctionnement. La Seconde Guerre
de la sûreté mondiale sonna le glas du concept du maillon le plus faible.
Quelques années après, en 1949, le capitaine Murphy énonça sa
de fonctionnement fameuse loi « If anything can go wrong, it will » (si un problème
risque de se produire, cela arrivera).
Dans les années 1950, l’avènement de l’électronique dans des
2.1 Enjeux de la sûreté équipements techniques complexes fit prendre conscience de
l’importance de leur fiabilité. En vue de quantifier la fiabilité des
de fonctionnement composants, les premiers indicateurs chiffrés firent leur apparition
comme le MTBF (mean time between failure) pour servir de base
La sûreté de fonctionnement a été définie pendant plusieurs aux premières clauses contractuelles de fiabilité. Introduite pour
décennies comme la science des défaillances. Cependant, pour traduire le terme anglais « reliability », la fiabilité est la probabilité
réduire les risques à un niveau le plus faible possible et accep- de non-défaillance d’un équipement sur un intervalle de temps
table par l’opinion publique, des méthodes, des techniques et donné (du latin fidare : faire confiance, fidus : fidèle et du latin
des outils scientifiques nouveaux ont été développés pour éva- médiéval « fiablete » : ce qui est digne de confiance).
luer les risques potentiels, prévoir l’occurrence des défaillances La disponibilité instantanée se définit par la probabilité d’être
et tenter de minimiser les conséquences des situations catastro- en état d’accomplir sa fonction à un instant donné. Anglicisme
phiques lorsqu’elles se produisent. La sûreté de fonctionnement introduit vers 1965, la maintenabilité est l’aptitude d’un système à
est connue sous le sigle FMDS (fiabilité, maintenabilité, disponi- être maintenu en état. Elle correspond à la probabilité que la
bilité, sécurité), en anglais RAMS (reliability, availability, maintai- remise en état d’une entité en panne soit effectuée dans un inter-
nability and safety). D’autres dénominations sectorielles utilisent valle de temps.
le terme « analyse de risque » (dans le milieu pétrolier) et cyndi-
nique pour la science du danger. L’ensemble de ces développe- Dans les années 1960 et dans le cadre de leurs programmes de
ments méthodologiques à caractère scientifique représente la missiles et de la conquête spatiale, les États-Unis ont formalisé
discipline de la sûreté de fonctionnement. Au sens large, la l’essentiel des méthodes d’analyse de la sûreté de fonctionnement
sûreté de fonctionnement consiste à connaître, évaluer, prévoir, utilisées aujourd’hui :
mesurer et maîtriser les défaillances des systèmes technolo- • analyse des modes de défaillance, de leurs effets et de leur
giques et les défaillances humaines pour éviter des consé- criticité ;
quences sur la santé et la sécurité des personnes, les pertes de
productivité, les atteintes à l’environnement et pour les généra- • arbre des causes et des défaillances ;
tions futures, la préservation des ressources de la planète. Elle • méthode du diagramme du succès ;
se caractérise à la fois par les études structurelles statiques et • méthode d’évaluation de la fiabilité humaine.
dynamiques des systèmes, du point de vue prévisionnel mais
aussi opérationnel et expérimental (essais, accidents), en tenant La décennie 1970 vit la diffusion des techniques d’évaluation
compte des aspects de probabilités et des conséquences induites opérationnelles et prévisionnelles de la fiabilité et l’acceptation de
par les défaillances techniques et humaines. Cette discipline la notion probabiliste de la sécurité dans les secteurs industriels
intervient non seulement au niveau de systèmes déjà construits, présentant des risques pour les biens, les personnes et l’environ-
mais aussi au niveau conceptuel pour la réalisation de systèmes. nement. Dans le nucléaire en particulier, l’accident de Three Mile
Comme indiqué dans le préambule, de nombreuses normes ont Island le 28 mars 1979, qui ne fît aucune victime mais qui eut un
vu le jour dans les différents secteurs pour en donner des défini- impact considérable sur l’opinion publique, conduisit à des déve-
tions plus précises. En plus de son sens général défini par l’apti- loppements comme ceux entrepris par Norman Rasmussen dans
tude d’un système à fonctionner comme cela est requis et le cadre du rapport WASH-1400. Ensuite, la normalisation des
lorsque cela est requis, cet article sera consacré à la description termes relatifs à la sûreté de fonctionnement commença à s’éta-
des principaux concepts de la sûreté de fonctionnement : dispo- blir sous l’égide notamment de la CEI. Cela a conduit à formaliser
nibilité, sûreté, sécurité, durabilité, récupérabilité, et les facteurs les notions de maintenance, de disponibilité, de maintenabilité et
qui les influencent (la fiabilité, la maintenabilité, les perfor- les concepts associés : testabilité, durabilité, survivabilité, dia-
mances de logistique de maintenance, les conditions d’utilisa- gnostic, soutien logistique intégré, soutenabilité, sûreté et sécu-
tion et l’influence du personnel d’exploitation). Actuellement, les rité.
préoccupations en matière de prévention et de réduction des Les deux dernières décennies avant l’avènement du troisième
risques sont de plus en plus contraignantes pour les industriels millénaire ont été marquées par la mise en œuvre dans les études
en matière de prévention et de réduction des risques. Suivant la de sûreté de fonctionnement de nouveaux outils :
norme ISO/IEC GUIDE 51, le risque est défini par la combinaison
de la probabilité de la survenue d’un dommage et de sa gravité, • pour les problèmes relatifs aux défaillances techniques :
le dommage étant une blessure physique ou une atteinte à la chaînes de Markov, réseaux de Pétri, logiciels industriels de
santé des personnes, ou une atteinte aux biens ou à l’environne- sûreté de fonctionnement ;
ment. Ces nouveaux enjeux de plus en plus d’actualité feront • de nouvelles générations d’outils d’évaluation pour les fac-
l’objet de développements dans cet article. teurs humains ;

S 8 250v3 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT

• la création de bases de données du retour d’expérience pour


permettre des évaluations quantitatives des métriques de la 3. Missions, fonctions et
sûreté de fonctionnement. défaillances d’un système
Depuis le début du troisième millénaire, les exigences réglemen-
taires et/ou les certifications relatives à la sécurité des biens et des
et de ses composants
personnes et la préservation de l’environnement ont conduit au
développement de méthodes pour évaluer les dangers et les 3.1 Missions et fonctions
risques, pour leur prévention et pour leur maîtrise. La mise en
œuvre dans les systèmes industriels de systèmes informatiques
embarqués ont imposé des contraintes sécuritaires très impor- Une étude de sûreté de fonctionnement passe nécessairement
par une analyse exhaustive des différentes phases de fonctionne-

tantes (automobile, aéronautique, transports) tels que les niveaux
de sécurité SIL (safety integrity level). Actuellement, il n’existe ment faisant appel à des termes précis tels que missions et fonc-
désormais pratiquement plus d’activités industrielles où la sûreté tions assurées par un bien. Il est particulièrement indispensable
de fonctionnement n’est pas prise en compte (même partiellement) de définir les notions de fonction et de mission. Ces définitions
dans tout le cycle de vie du produit (conception, fabrication, exploi- sont, en effet, très variables d’un secteur d’activité à un autre ou
tation, maintenance et mise au rebut/recyclage. La prise en compte d’un pays à un autre. Les missions et fonctions d’une entité
du coût global de possession (CGP) exigée par les clients dans les découlent directement de la définition et de la spécification de ses
cahiers des charges avec la notion de conception à coût objectif est exigences opérationnelles :
en train de révolutionner le monde de la sûreté de fonctionnement. • Quelles sont les exigences opérationnelles, et comment
En parallèle, les méthodes du soutien logistique intégré ont été l’entité sera-t-elle utilisée ?
développées pour assurer une maintenabilité optimisée pendant le
cycle de vie des équipements complexes. À la suite de nombreuses • Où l’entité sera-t-elle utilisée ?
catastrophes industrielles liées à des défaillances techniques,
humaines et à des risques naturels dans de nombreux pays indus- • Combien de temps l’entité sera-t-elle utilisée ?
trialisés, les autorités administratives ont imposé un classement
des installations industrielles en fonction de leur dangerosité (éta- En particulier, ces définitions sont obligatoires pour réaliser des
blissements classés Seveso III, ICPE…) qui imposent des études de études de maintenance basée sur la fiabilité et/ou sur les risques,
sûreté de fonctionnement pour obtenir les autorisations d’exploiter. pour la réalisation d’études d’AMDEC (analyse des modes de
Également dans le cadre de différentes certifications ou labellisa- défaillance, de leurs effets et de leur criticité) ou d’arbres de
tions telles que ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, lLO- défaillances comme décrits dans les références.
OHS-2001], MASE, ISO 22000, EMAS, les industriels ou organisa-
tions doivent entreprendre obligatoirement des études de sûreté de
fonctionnement pour identifier et prévenir les différents types de
3.1.1 Missions
risques. La sécurité au travail, en particulier en France, implique
actuellement les aspects réglementaires de la sécurité des per- Le profil de la mission d’une entité se décompose en plusieurs
sonnes avec notamment la rédaction du document unique. C’est phases distinctes ; il est indispensable, pour chacune d’entre elles,
ainsi que les CHSCT (comités d’hygiène, de sécurité et des condi- de disposer d’un ensemble de fonctions bien définies.
tions de travail) et les départements QHSE (qualité, hygiène,
sécurité et environnement) ont vu leur apparition dans les établis- Exemple
sements commerciaux et industriels. De plus, les stratégies de Ainsi, pour le véhicule de transfert automatique européen « Jules-
maintenance modernes font de plus en plus appel aux connais- Verne », le premier vaisseau ravitailleur de la station spatiale interna-
sances de la fiabilité des matériels et à leurs modes de défaillance : tionale dont la durée de mission était programmée sur six mois, les
maintenance basée sur la fiabilité MBF [2], [SE 1 649], maintenance cinq principales phases de la mission étaient les suivantes (http://
basée sur les risques et la fiabilité [SE 1 677]. Cependant, le talon www.esa.int) :
d’Achille actuel de la sûreté de fonctionnement provient du fait que • lancement depuis la base de Kourou avec la fusée Ariane 5 ;
les données de base servant à la modélisation sont soit inadé-
quates, soit inexistantes. Cela induit une réelle difficulté à obtenir • séparation de la fusée Ariane 5 ;
des résultats quantifiés et fiables pour les études de sûreté de fonc- • après plusieurs jours en orbite, amarrage à l’ISS, station spatiale
tionnement. J.-C. Ligeron en 2006 dans son ouvrage Le cercle des internationale ;
fiabilistes disparus ou critique de la raison fiabiliste [3] indiquait • après amarrage, utilisation pour rehausser l’orbite de la station,
qu’il allait devenir nécessaire de repenser une nouvelle école de refaire le plein de carburant de l’ISS et réapprovisionner l’équi-
sûreté de fonctionnement. Notamment, « cela implique de réviser page et évacuer les déchets ;
les fondements de la sûreté de fonctionnement permettant de
rendre cohérents les différents outils et méthodes, en pratiquant • une fois cette dernière phase accomplie, désintégration dans
une sorte de diététique de la sûreté de fonctionnement ». Ses vœux l’atmosphère.
sont en passe d’être exaucés avec l’apparition de nouveaux outils Les phases de la mission réalisées par le premier véhicule de trans-
issus de l’intelligence artificielle. Ainsi, à l’aide de très nombreuses fert automatique européen (ATV – Automated Transfer Vehicle)
données contenue dans le « big data », le « cloud », des techniques « Jules-Verne » pour la station ISS sont représentées sur la figure 1.
innovantes telles que le « data mining », l’apprentissage automa- La mission était considérée comme remplie si toutes les phases se
tique (« machine learning ») et l’apprentissage profond (« deep lear- déroulaient conformément aux spécifications.
ning ») se sont développées. Elles permettent actuellement des
applications en sûreté de fonctionnement pour la prédiction des
défaillances, les stratégies de maintenance avec les notions intro- 3.1.2 Fonctions
duites dans le monde anglo-saxon sous les vocables CBM (condi-
tion based monitoring), PHM (prognostics and health management) La compréhension de la notion de fonction et de ses para-
et RUL (remaining useful life). Le lecteur pourra compléter ses mètres est l’élément clé sur lequel reposent les analyses de sûreté
connaissances dans de très nombreux ouvrages [4], [5], [6], [7], [8], de fonctionnement car on recherche les éléments matériels qui
[9], [10], [11], [12]. L’ensemble des normes internationales, orga- vont entraîner la perte ou la dégradation des fonctions. L’AFNOR
nismes, institutions et sites Internet français et étrangers est donné définit une fonction comme « l’action d’une entité ou de l’un de
dans le « Pour en savoir plus » de cet article. ses constituants exprimée en termes de finalité ».

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 250v3 – 5

QU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

secondaires » et leur perte peut également avoir des consé-


quences catastrophiques.

Exemple
En reprenant l’exemple de la chaudière, une fonction secondaire
est de maintenir l’intégrité du confinement de la vapeur. L’existence
d’une fuite ou le risque d’une explosion entraînerait une défaillance de


la fonction principale. Le calorifugeage de la chaudière est une autre
fonction secondaire de la chaudière ayant pour but de minimiser les
pertes thermiques.

Figure 1 – Phases du module « ATV » Jules Verne ■ Fonctions de protection et de commande


Dans la majorité des cas, tout système industriel fonctionne
avec des fonctions de régulation et de protection, qui constituent
Cette définition de nature qualitative est indispensable pour de fait des barrières de protection pour éviter des dysfonctionne-
décrire de façon globale une fonction. La fonction fait appel à des ments graves. Les fonctions de protection et de commande ont
notions qualitatives et quantitatives. pour but de garantir, par des moyens de signalisation ou la mise
en route de systèmes redondants, la sécurité des biens, des per-
Exemple sonnes et de l’environnement. Ces fonctions de protection sont
Pour un système tel qu’un propulseur à poudre, la description de sa assurées par des systèmes de signalisation, d’alarme ou de pro-
fonction est simple : fournir une poussée nominale de 15 t pendant tection automatique.
30 s. Cette définition donne ses caractéristiques en termes quantita-
tifs. Exemple
Un moteur électrique possède une fonction de base consistant à Dans le cas d’une chaudière à vapeur alimentée par un brûleur à
convertir de l’énergie mécanique en énergie électrique. gaz :
• les soupapes de sécurité assurent une protection passive
Les différences entre ces fonctions sont quelquefois subtiles et contre le risque de surpression ;
l’acception de leur terminologie doit toujours faire l’objet d’une
acceptation au sens d’une même entreprise et de ses prestataires. • le système de mesure de pression et de température permet
Pour des systèmes plus complexes, il est indispensable de classer aux opérateurs de contrôler les anomalies de fonctionnement ;
et de hiérarchiser la nature des fonctions : • et le système de détection de gaz à l’intérieur de la chaudière a
pour rôle d’éviter son explosion.
• principales ;
• secondaires ; ■ Fonctions redondantes
• de protection ; Dans les industries telles que celles des secteurs aéronautiques,
• redondantes. nucléaires et spatiaux, des systèmes ou des matériels redondants
(doublés, triplés ou quadruplés) sont couramment mis en œuvre
■ Fonctions principales pour assurer le niveau requis de sécurité ou de sûreté. Ces sys-
Une fonction principale peut se définir comme étant la raison tèmes redondants peuvent fonctionner en permanence (redon-
d’être d’un bien ou d’un système défini souvent avec ses caracté- dance active) ou être en attente (redondance passive).
ristiques associées (durée, caractéristiques physiques,
chimiques… Exemple
Dans l’industrie automobile, c’est ainsi que l’on équipe certains
Exemple véhicules avec un double circuit de freinage. Pour un avion bimoteur,
Une première définition générale de la fonction principale d’une les deux moteurs illustrent la redondance active. En effet, en cas de
chaudière est de fournir de la vapeur. panne d’un des moteurs, le propulseur restant a été conçu pour pou-
Une seconde définition de la fonction de la chaudière à vapeur est voir ramener l’aéronef sur un terrain d’atterrissage avec toutes les
de fournir de la vapeur à 110 °C avec un débit de 40 t/h pendant 24 h. conditions de sécurité.

Cet exemple de définitions montrent la difficulté de décrire une ■ Fonctions instrumentées de sécurité
fonction quand on s’intéresse à ses modes de défaillance. En Les systèmes instrumentés de sécurité (SIS) sont utilisés
effet, dans la première définition, la perte de la fonction corres- comme moyens de prévention pour réaliser les fonctions instru-
pond à une non-fourniture de vapeur. Il n’existe dans ce cas qu’un mentées de sécurité (FIS) lorsque les systèmes automatisés
seul mode de défaillance. En revanche, en utilisant la deuxième présentent des risques potentiels pour les personnes, l’environne-
définition, trois modes de défaillance de la fonction apparaissent : ment ou les biens. Ces fonctions sont conçues pour réaliser des
• non-fourniture de vapeur à 110 °C (température supérieure ou fonctions de prévention et de protection de ces systèmes.
inférieure) ;
• non-fourniture du débit de 40 t/h (débit supérieur ou infé-
rieur) ; 3.2 Défaillances
• non-fourniture de la vapeur à une température de 110 °C, L’évolution de la discipline sûreté de fonctionnement au cours
avec un débit de 40 t/h, pendant 24 h. des trente décennies précédentes a conduit à l’introduction de
Sous l’aspect sémantique, une fonction est définie par un verbe nouvelles définitions relatives aux défaillances et à la dégradation.
à l’infinitif suivi d’un complément d’objet.
■ Défaillance
■ Fonctions secondaires Suivant la norme NF-EN 13306 « la défaillance est la perte de
Dans de nombreux cas, un système assure d’autres fonctions l’aptitude d’un bien à accomplir une fonction requise. Après la
que la fonction principale. Ces fonctions sont appelées « fonctions défaillance, le bien est en panne et correspond à l’état de défail-

S 8 250v3 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUP

________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT

lance du bien ». Une autre définition est souvent utilisée et décrit


la défaillance comme étant « l’altération ou la cessation de l’apti-
tude d’un ensemble à accomplir sa (ou ses) fonction(s) requise(s)
avec les performances définies dans les spécifications tech-
niques ». La défaillance est souvent le résultat d’une dégradation
qui correspond à un état néfaste de l’état physique avec le temps,
l’utilisation ou en raison d’une autre cause.


Suivant la norme CEI 60050, la dégradation est une modification
préjudiciable de l’aptitude à satisfaire à des exigences.

La défaillance est aussi qualifiée de « défaillance fonction-


nelle ». Pour bien comprendre la notion de défaillance, on peut
faire une analogie avec le la représentation d’une fonction mathé-
matique multivariable Y = f(X1, X2, X3,……XN.). Dès qu’une
variable Xi sort de son domaine de validité, automatiquement la
fonction Y n’est plus assurée. La figure 2 illustre cette situation, et
dans ce cas, on associe à la perte de la fonction un mode de
défaillance causée par le comportement de la composante Xi.

Il s’ensuit qu’un ensemble est défaillant s’il est considéré ou


déclaré incapable d’assurer les fonctions requises par l’exploitant
utilisant des critères fonctionnels simples. Toute étude de fiabilité
implique l’acceptation de deux états totalement exclusifs : le fonc-
tionnement normal et le fonctionnement défaillant. Contrairement
à la maintenance où l’on considère un fonctionnement dégradé, la
sûreté de fonctionnement considère uniquement deux états : un
état de fonctionnement normal et un état de panne. Le passage
d’un état de fonctionnement normal à un état défaillant pouvant
se manifester en fonction du temps de manière progressive, sou-
daine ou de façon aléatoire, la fiabilité ne connaît pas la notion de
défaillance partielle ou progressive. La figure 3 représente trois Figure 3 – Cas de figure conduisant tous à une défaillance
cas conduisant tous à une défaillance.

Cette définition inclut, de façon très explicite, la perte de la


■ Mode de défaillance
fonction d’une entité et, pour cette raison, elle porte souvent à des
interprétations différentes suivant les intervenants. Certains sec- Il est défini par la manière selon laquelle une défaillance se pro-
teurs industriels, pour lever cette ambiguïté, ont dressé des listes duit ; une défaillance fonctionnelle se manifeste dans la majorité
standardisées de défaillances fonctionnelles. des cas par plusieurs modes de défaillance.

Exemple ■ Effet d’une défaillance


Si l’on considère un moteur électrique dont la fonction principale Il s’agit de la conséquence d’une défaillance, dans ou au-delà de
est de convertir une énergie électrique en énergie mécanique, le la frontière de l’entité défaillante. Il peut être nécessaire de tenir
refus de démarrage est une défaillance fonctionnelle du moteur. Dans compte des modes de défaillance individuels et de leurs effets.
d’autres secteurs industriels, en adoptant une approche matérielle de ■ Dégradation
la défaillance, une perte de l’isolement du stator est considérée
comme une défaillance. Modification préjudiciable de l’aptitude à satisfaire à des exi-
gences.

Cette grande différence d’approche constitue une réelle diffi- ■ Défaillance potentielle
culté pour entreprendre de façon efficace un dialogue entre les Les évolutions récentes relatives à la maintenabilité et aux stra-
concepteurs et les exploitants. C’est la raison pour laquelle, dans tégies de maintenance telles que la maintenance basée sur la fia-
un cahier des charges d’une étude de sûreté de fonctionnement, il bilité et la CBM-PHM-RUL ont nécessité d’introduire de nouvelles
est indispensable de définir un glossaire commun accepté entre notions relatives aux défaillances qui se produisent suite à une
les différents partenaires pour lever toute ambiguïté ultérieure liée dégradation des équipements.
à une mauvaise compréhension.
La figure 4 représente l’évolution de la condition de l’équipe-
ment pendant son cycle de vie. À partir de sa mise en service,
l’équipement commence à se dégrader lentement sans qu’il soit
possible de le détecter avec les moyens de surveillance mis en
place. La défaillance potentielle suivant la norme SAE JA1012 est
une valeur de la condition identifiable qui indique qu’une défail-
lance fonctionnelle est en train de se produire. On associe deux
notions d’intervalle à courbe de dégradation de la condition :
l’intervalle P-F et le « Net P-F interval ». L’intervalle P-F est le
temps qui s’écoule entre le moment où la défaillance potentielle
devient identifiable et celui où on atteint la défaillance fonction-
nelle. Le « Net P-F interval » est défini comme l’intervalle de
temps qui s’écoulera vraisemblablement entre la découverte de la
défaillance potentielle et l’instant de l’occurrence de la défaillance.
En maintenance, cet intervalle de temps permet de définir la meil-
Figure 2 – Domaines de variation d’un paramètre d’une fonction leure stratégie de maintenance.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 250v3 – 7

QW

QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

La sûreté de fonctionnement :
méthodes pour maîtriser les risques

par Yves MORTUREUX
Ingénieur civil des Ponts et Chaussées
Expert Sûreté de Fonctionnement
à la Direction déléguée Système d’exploitation et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de Fonctionnement

1. Caractérisation de la sûreté de fonctionnement ............................ AG 4 670 - 3


1.1 Considérer avec réalisme les entités auxquelles on a affaire.................. — 3
1.2 Exploiter toutes les connaissances disponibles, rechercher le juste
nécessaire..................................................................................................... — 3
1.3 Produire de la confiance partageable grâce à la sûreté
de fonctionnement ...................................................................................... — 4
2. Notions fondamentales .......................................................................... — 4
2.1 Sûreté de fonctionnement .......................................................................... — 4
2.2 Risque ........................................................................................................... — 4
2.3 Fiabilité ......................................................................................................... — 6
2.4 Maintenabilité .............................................................................................. — 7
2.5 Disponibilité ................................................................................................. — 7
2.6 Sécurité......................................................................................................... — 7
3. Taux de défaillance, MTBF, MTTF, MUT .............................................. — 8
4. Données de fiabilité (ou de maintenabilité) ..................................... — 10
4.1 Généralités ................................................................................................... — 10
4.2 Bases de données........................................................................................ — 10
4.3 Retour d’expérience .................................................................................... — 11
5. Démarches et méthodes fondamentales d’une approche SdF .... — 12
5.1 Présentation des caractéristiques .............................................................. — 12
5.2 Analyse préliminaire de risques (APR) ...................................................... — 12
5.3 Analyse des modes de défaillance, de leurs effets et de leurs criticités
(AMDEC) ....................................................................................................... — 13
5.4 Arbres de causes, d’événement, de défaillances...................................... — 13
5.5 Graphes d’états. Réseaux de Petri ............................................................. — 15
5.6 Complémentarités entre ces méthodes..................................................... — 16
6. Fiabilités électronique, mécanique, logicielle, humaine... ........... — 16
Références bibliographiques ......................................................................... — 17

ans l’industrie, on parle de plus en plus de sûreté de fonctionnement. Cette


D discipline, qui a acquis ce nom et sa forme actuelle principalement au cours
du dernier demi-siècle et dans les secteurs de la défense, de l’aéronautique, de
l’espace, du nucléaire, puis des télécommunications et des transports, serait
désormais utile, voire indispensable, à tous les secteurs de l’industrie et même
d’autres activités.
De quoi s’agit il ? La sûreté de fonctionnement est une riche palette de métho-
des et de concepts au service de la maîtrise des risques.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPQ

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 1

QY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un


ensemble de moyens : des démarches, des méthodes, des outils et un vocabu-
laire. Le but qui impose le recours à la sûreté de fonctionnement est plus recon-
naissable sous le terme de « maîtrise des risques ».
■ Comme il est habituel avec ce type de mots ou d’expressions, « sûreté de
fonctionnement » désigne à la fois un ensemble de moyens et un ensemble de


résultats produits par ces moyens :
— une forme d’esprit particulière dans la considération portée aux systèmes
(en particulier industriels, mais rien ne justifie de se limiter à l’industrie) ; des
démarches, méthodes et outils propres à connaître, caractériser et maîtriser les
effets des aléas, des pannes, des erreurs... ;
— des caractéristiques des systèmes (produits, services, systèmes de produc-
tion, installations, etc.), exprimant la conformité dans le temps (constance, fré-
quence de la conformité) de leurs comportements et actions avec des attentes
plus ou moins explicites (on note la proximité de ces notions avec la qualité) :
sécurité, fiabilité, disponibilité, maintenabilité, voire invulnérabilité, capabilité,
coût global de possession, survivabilité...
Par extension, on parle de la « sûreté de fonctionnement d’un système »
comme la caractéristique de ce système qui permet de placer en lui une
confiance justifiée. C’est d’une simplicité séduisante et trompeuse. La con-
fiance dépend de ce à quoi on accorde de l’importance (innocuité, productivité,
qualité... ?) et des valeurs relatives de ces caractéristiques ; elle repose sur un
ensemble de démarches et s’exprime par un ensemble de caractéristiques, en
particulier des disponibilités et de la sécurité. C’est un atout majeur du concept
de sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la
disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir
réduire à une valeur (qui s’appellerait la sûreté de fonctionnement du système)
le résultat de ces démarches.
■ Les caractéristiques pertinentes pour exprimer les fondements de la
confiance que l’on place et que l’on veut transmettre dans son système pren-
nent des formes (des noms et des définitions) propres au système dont il s’agit,
aux cultures des acteurs concernés et à leurs vocabulaires. Fondamentalement,
il s’agit toujours de disponibilité et de sécurité fondées sur des fiabilités et des
maintenabilités élémentaires, mais le foisonnement des vocabulaires en usage
dans les différentes branches de l’industrie (et encore plus si on élargit au-delà
du monde industriel) prouve que chacun a besoin de notions propres adaptées
à son contexte.
Par contre, les démarches et méthodes, même cachées sous des noms
divers et variés, s’avèrent universelles. Plutôt que les caractéristiques, ce sont
les méthodes qui seront au cœur de ce premier article. En matière de sûreté de
fonctionnement (et pas seulement là), il nous paraît infiniment plus important de
comprendre une démarche et un raisonnement, quitte à réinventer le vocabu-
laire en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des
outils en se laissant guider par eux. Cette dernière pratique, très répandue,
conduit malheureusement assez souvent à des conclusions gravement erronées.
La sûreté de fonctionnement n’est que du bon sens organisé et systématisé.
S’en éloigner en se laissant conduire par une recette ou une méthode à l’encon-
tre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves.
■ Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en
œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la sys-
tématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état
d’esprit spécifique, à quelques questions que l’on se pose systématiquement ;
cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en
calcul de probabilités, essais, modélisations, analyses, recueil et traitement de
données... À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de
fonctionnement, mais le principe en est toujours le même.
Nota : Le lecteur pourra utilement se reporter au CD-Rom Sécurité/Prévention des risques (projet 2002) et, plus particuliè-
rement, à l’article [SE 1 020] « La sûreté de fonctionnement : démarches pour maîtriser les risques ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
AG 4 670 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle

RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

___________________________________________________________________ LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES

1. Caractérisation Une première caractéristique d’une approche sûreté de fonc-


de la sûreté tionnement, c’est le principe de considérer un système pour
tout ce qu’il peut être et non seulement pour ce qu’on veut qu’il
de fonctionnement soit.

La sûreté de fonctionnement (SdF) est peut-être d’abord un état


d’esprit avant d’être un ensemble de méthodes. Qu’est-ce qui carac- 1.2 Exploiter toutes les connaissances
térise cet esprit ? disponibles, rechercher le juste
nécessaire
1.1 Considérer avec réalisme les entités
auxquelles on a affaire L’application du principe évoqué au paragraphe 1.1 met donc en
présence de nombreuses éventualités d’échecs ou d’accidents. Il y a
l’attitude qui consiste à les ignorer et celle qui consiste à les éliminer
Un composant, un sous-système peut tomber en panne. Un totalement. La SdF consiste à remplacer le choix binaire entre ces
homme peut avoir une activité différente de ce qu’on a voulu lui deux extrêmes par le choix continu entre toutes les positions inter-
prescrire. Les conditions d’environnement peuvent être défavora- médiaires. Entre excès de précautions (coûteux, contraignant) et jeu
bles, etc. avec le feu (tout va bien jusqu’à la catastrophe), il y a un juste milieu
La sûreté de fonctionnement consiste à ne pas considérer un sys- en harmonie avec les grands principes, la politique de son entité
tème uniquement à travers son cahier des charges comme s’il ne (entreprise, association...).
devait jamais avoir comme comportements et comme effets que
ceux pour lesquels il a été conçu. Entre la connaissance déterministe que la panne va toucher tel
Exemple : un frein de bicyclette est conçu, fabriqué, installé pour composant à tel moment et l’ignorance totale (on ne sait pas quelle
ralentir et arrêter la bicyclette. panne va survenir, ni où, ni quand), il y a des connaissances incom-
Premièrement, la SdF considère qu’il n’est pas acquis, parce qu’il plètes ou incertaines. La sûreté de fonctionnement, loin de les écar-
peut le faire, qu’il va le faire. Il peut ne pas remplir totalement, instanta- ter (comme si on ne pouvait rien faire d’une incertitude) les exploite.
nément, à chaque sollicitation sa fonction.
Le cas des composants électroniques après la Seconde Guerre
Deuxièmement, la SdF considère que, à partir du moment où il
existe, il va avoir des effets, peut-être sans rapport avec sa fonction. mondiale est caractéristique, puisqu’il est à l’origine de l’essor évo-
Normalement, un frein de bicyclette produit de la chaleur, peut faire du qué dans l’« historique » : en présence d’un lot de composants
bruit, occupe de la place, ajoute du poids à certains endroits. Un frein « identiques » (fabriqués ensemble), il n’était pas possible (techni-
de bicyclette, ce sont des pièces qui pourraient, accidentellement, tom- quement ou économiquement) de déterminer lesquels allaient tom-
ber dans les rayons, des câbles tendus qui pourraient, accidentelle- ber en panne et quand. Par contre, le retour d’expérience montrait
ment, casser, cingler, blesser, etc. Il y a lieu d’en examiner les une très grande régularité dans le nombre de pannes rapporté au
conséquences pour faire des choix appropriés. nombre de composants par unité de temps.

Historique
Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’acci-
concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la dents. Elles ont développé des approches déterministes très poussées et se
comparaison des fréquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyées sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. l’analyse logique pour assurer la sécurité. L’apport des approches probabilis-
tes permet de chercher à ajuster les mesures de prévention des événements
■ À partir de la deuxième guerre mondiale, une discipline se développe sous aléatoires au lieu de rester abrité derrière des normes de dimensionnement
le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractéri- larges et coûteuses.
sées par la découverte de l’efficacité d’une approche probabiliste appliquée à ■ À partir de la décennie 1980, les efforts entrepris dans tant de directions
l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette dis-
de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une cipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionne-
chaîne de composants est le produit des probabilités de succès de chacun des ment. On note les développements suivants :
composants – fut l’origine d’un développement très rapide dans les domaines — constitution de bases de données de fiabilité ;
cités. — début de normalisation en matière de sûreté de fonctionnement ;
Cette période fut aussi celle d’un développement rapide de l’électronique — développement des méthodes d’analyse, de modélisation, de représen-
qui introduit des composants nombreux dont les défaillances individuelles tation des systèmes complexes ;
sont imprévisibles à ce stade des connaissances, mais dont les défaillances — développement de logiciels de calculs ;
collectives présentent des régularités statistiques ; sur un lot de composants — développement de logiciels de modélisation ;
homogène, on sait prédire avec une bonne confiance le nombre de — campagnes d’essais pour recueillir des données de fiabilité ;
défaillances par unité de temps qui vont se produire alors qu’on reste totale- — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart
ment incapable de prédire quel composant va tomber en panne et quand. des industries ;
— utilisation de la sûreté de fonctionnement pour maîtriser tout type de
risque industriel (et peu à peu des risques juridiques, individuels, financiers,
■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser etc.) et non seulement la sécurité ;
cette approche probabiliste si réussie à d’autres « composants » : — apparition et développement des clauses contractuelles de sûreté de
mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences légales et réglementaires de sûreté de
l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la fonctionnement ;
maintenabilité). En même temps se développent des méthodes permettant de — besoin croissant de connaissances pointues dans les domaines scienti-
maîtriser les risques de systèmes complexes (centrale nucléaire, supersoni- fiques concernés dans les systèmes complexes : systèmes programmés,
que...) et non plus simplement de chaînes de composants (même complexes). sciences humaines et sociales.
Ces démarches sont conduites par les équipes constituées autour de la Aujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble
« théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une confiance jus-
risques qui a toujours accompagné les activités à risque comme le transport. tifiée dans le succès d’un projet, d’une activité et son innocuité.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 3

RQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

Entre une position très prudente consistant à ne pas utiliser ces La sûreté de fonctionnement est souvent définie comme :
composants faute de pouvoir éviter les pannes, en les remplaçant à
temps par exemple, et une position très risquée consistant à espérer — fiabilité, disponibilité, maintenabilité et sécurité ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet — science des défaillances ;
d’évaluer statistiquement le risque pris en fonction des choix — maintien de la qualité dans le temps.
d’architecture, de politique de maintenance, etc., mais elle ne le per-
met que parce qu’il y a une information utile qui est, ici, la loi de pro- Toutes ces définitions sont reconnues à divers titres par l’Institut
babilité de défaillance des composants en fonction du temps ! de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est


porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant réductrice, trop étroite.
1.3 Produire de la confiance partageable ■ La définition « fiabilité, maintenabilité, disponibilité et
grâce à la sûreté de fonctionnement sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à
§ 2.6) et met en avant la cohérence de ces approches. Par contre, si
En vertu du principe évoqué en premier dans le paragraphe 1.1, la la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est
sûreté de fonctionnement tend à « tout prévoir » (à ne pas confon- aussi une performance d’un système, la SdF ne se réduit pas facile-
dre avec « empêcher tout accident »). En vertu du deuxième prin- ment à une performance.
cipe (§ 1.2), elle tend à prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que ■ La définition « science des défaillances » met l’accent sur la
choix et décisions ont pu être faits et pris en toute connaissance de prise en compte des défaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, l’importance de la connaissance sur
les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a
Il n’y a pas à proprement parler de décisions de SdF. Il y a des pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF
décisions techniques, politiques, des choix de conception, d’organi- prend en compte et traite plus que des défaillances.
sation, d’exploitation, etc., toutes les décisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, privée... La En ce qui concerne les événements finaux (les conséquences), la
SdF permet de prendre en compte de façon explicite les SdF ne prend pas en compte que les défaillances dans l’accomplis-
défaillances, les incertitudes, les aléas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances qu’on détient à leur che fiabilité, maintenabilité, disponibilité ou « dependability »), mais
propos. Ce caractère explicite permet de justifier, de montrer, de dis- aussi des événements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la représentation des conséquences (souhai- tionnel du système (approche orientée sécurité).
tées et non souhaitées, mais maîtrisées) des décisions que l’on En ce qui concerne les événements initiateurs (les causes), la SdF
prend ou que l’on veut faire prendre. ne se limite pas aux défaillances, mais peut permettre de prendre en
compte aussi bien des agressions de l’environnement, des actions
Utiliser la sûreté de fonctionnement, c’est rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phénomè-
exploiter les informations relatives aux événements non nes aléatoires...
voulus : pannes, agressions, aléas..., les prendre en compte
pour des décisions plus fines, plus justes, inspirant plus ■ La définition « maintien de la qualité dans le temps » souli-
confiance. gne l’importance de la durée et l’importance de la référence à des
exigences (explicites ou non). Elle a le défaut de laisser supposer
Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de qu’une activité SdF se conduit nécessairement dans le cadre d’une
fonctionnement possible s’il n’y a pas de connaissances. La SdF est démarche qualité, ce qui est faux. C’est le choix – explicable histori-
toujours totalement dépendante de la connaissance du système étu- quement – de certains secteurs industriels où la sûreté de fonction-
dié et de l’état des sciences concernées. La recherche de ces infor- nement est très développée à l’intérieur de l’organisation Qualité,
mations, en particulier par le retour d’expérience et les essais, est mais n’est pas une nécessité ; d’autres secteurs ont une forte expé-
donc indissociable de la SdF. rience de la sûreté de fonctionnement antérieure à la Qualité au
sens moderne incarné par les normes ISO 9 000 et bien d’autres, en
particulier une expérience de la sûreté de fonctionnement orientée
vers la sécurité.
2. Notions fondamentales Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problè-
mes.

La démarche, le raisonnement « sûreté de fonctionnement »


s’appuient sur quelques notions de base qui se sont précisées au
cours de l’évolution (cf. Historique) et qui continuent à s’affiner. Par- 2.2 Risque
courir ce vocabulaire de base est donc une introduction classique à
la sûreté de fonctionnement. Le lecteur trouvera d’autres définitions
importantes dans un glossaire.
Événement redouté évalué en terme de fréquence et de gra-
vité. En sûreté de fonctionnement, il s’agit d’identifier les événe-
ments indésirables, d’évaluer la fréquence de leurs survenues et
2.1 Sûreté de fonctionnement de quoi elle dépend, d’évaluer la gravité de leurs survenues et
de quoi elle dépend ; de prendre ses décisions en fonction de
leurs impacts sur le triplet « événement, fréquence, gravité »
Aptitude d’une entité à satisfaire une ou plusieurs fonctions qu’on appelle risque.
requises dans des conditions données.
On notera que ce concept peut englober la fiabilité, la disponi-
bilité, la maintenabilité, la sécurité, la durabilité... ou des combi-
naisons de ces aptitudes. Reformuler en terme de risque les éléments de décision qui relè-
vent de la prise en compte des dysfonctionnements, des aléas, des
Au sens large, la SdF est considérée comme la science des erreurs, des agressions de l’extérieur... c’est déjà intégrer l’esprit de
défaillances et des pannes [2]. la sûreté de fonctionnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
AG 4 670 − 4 © Techniques de l’Ingénieur, traité L’entreprise industrielle

RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

Sûreté de fonctionnement
Analyse et bases de données de fiabilité
par Gilles ZWINGELSTEIN

Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT),
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Note de l’éditeur
Cet article est la version actualisée de l’article S8251V1 intitulé Sûreté de fonctionnement
des systèmes industriels complexes – Analyse prévisionnelle et bases de données de fiabi-
lité rédigé par Gilles ZWINGELSTEIN et paru en 2009.

1. Étapes d’une analyse de sûreté de fonctionnement ..................... S 8 251v2 - 3


2. Méthodes d’analyse fonctionnelle ..................................................... — 3
2.1 Concepts de base de l’analyse fonctionnelle............................................ — 3
2.2 Méthode FAST............................................................................................. — 4
2.3 Méthode RELIASEP® .................................................................................. — 4
2.4 Méthode SADT® ......................................................................................... — 5
2.5 Méthode IDEF0 ............................................................................................ — 6
2.6 Méthode APTE®.......................................................................................... — 6
2.7 Autres méthodes d’analyse fonctionnelle ................................................ — 7
3. Méthodes classiques d’analyse prévisionnelle ............................... — 7
3.1 Méthodes déductives et inductives ........................................................... — 7
3.2 Méthodes qualitatives ................................................................................ — 8
3.3 Méthodes mixtes et quantitatives ............................................................. — 11
4. Méthodes avancées d’analyse prévisionnelle ................................. — 17
4.1 Méthodes prévisionnelles pour le diagnostic et le pronostic
de défaillance .............................................................................................. — 17
4.2 Méthodes de pronostic du DEFAD (RUL).................................................. — 18
5. Facteurs humains .................................................................................... — 21
5.1 Typologie des méthodes d’évaluation de la fiabilité humaine ............... — 21
6. Méthodes de prédiction et banques de données de fiabilité...... — 23
6.1 Méthodes de prédiction.............................................................................. — 23
6.2 Modèles de prédiction et recueils de données......................................... — 24
7. Conclusion................................................................................................. — 26
8. Glossaire .................................................................................................... — 26
Pour en savoir plus .......................................................................................... Doc. S 8 251v2

et article présente les différentes étapes, les méthodes et les données à


C mettre en œuvre pour réaliser une analyse de la sûreté de fonctionne-
ment prévisionnelle de systèmes industriels complexes. Compte tenu de
l’importance des conséquences des défaillances sur la disponibilité, les per-
sonnes et l’environnement, les industriels sont de plus en plus concernés par
la réalisation d’études pour prévoir le niveau de la sûreté de fonctionnement
pour des installations existantes ou en cours de conception. Une analyse de
sûreté de fonctionnement prévisionnelle d’un système complexe se décom-
pose en plusieurs étapes principales : l’analyse structurelle et fonctionnelle du
p。イオエゥッョ@Z@。カイゥャ@RPQY

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 251v2 – 1

RS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

système suivie d’analyses qualitatives et/ou quantitatives en fonction des


données disponibles du retour d’expérience. La première section décrit l’orga-
nigramme des tâches et analyses à réaliser pour élaborer un dossier d’analyse
prévisionnelle de la sûreté de fonctionnement. Il permet de vérifier si les résul-
tats obtenus grâce aux différentes analyses sont conformes aux spécifications
définies dans le cahier des charges de l’utilisateur. La seconde section, après
un rappel sur les finalités de l’analyse de la valeur, présente les principales

Q méthodes d’analyse fonctionnelles utilisées pour identifier les fonctions d’un


système complexe à partir de modèles structurels. La connaissance de ces
fonctions est en effet indispensable pour identifier leurs modes de défaillance
qui conduiront par leurs effets à la défaillance. Les principes des méthodes
d’analyses fonctionnelles FAST, RELIASEP®, SADT®, IDEF0 et APTE® font
l’objet de descriptions succinctes. La troisième section est dédiée à une typo-
logie des méthodes classiques d’analyse prévisionnelle. Elle précise les
définitions des méthodes déductives et inductives, ainsi que les caractéris-
tiques des méthodes qualitatives et quantitatives. En particulier, les méthodes
quantitatives évaluent les paramètres associés à la sûreté de fonctionnement.
Elles utilisent les données de la fiabilité humaine et les banques de données de
fiabilité qui seront présentées dans cet article. Parmi l’ensemble des méthodes
qualitatives, l’AMDEC, APR, MCPR et HAZOP y sont présentées. Pour les
méthodes quantitatives qui font l’objet de développements figurent : le
diagramme de fiabilité, la table de vérité, les arbres de conséquences, le
diagramme cause-conséquence, le nœud papillon, l’espace des états et les pro-
cessus markoviens. Pour tenir compte des évolutions sur les deux dernières
décennies dans le domaine de l’analyse prévisionnelle en sûreté de fonction-
nement sous les noms de « condition-based-monitoring-CBM », « diagnosis,
prognostics and health management (PHM) » et « RUL - remaining useful life »,
la quatrième section présentera ces méthodes avancées. Elles ont été dévelop-
pées spécifiquement pour réaliser le diagnostic et le pronostic des défaillances.
Leurs finalités ultimes sont de prédire la durée de vie avant la défaillance
(DEFAD) et sa probabilité (notée « DEFAD-RUL » dans cet article). De nom-
breuses méthodes ont été développées pour estimer la DEDAD-RUL et feront
l’objet de descriptions succinctes. Elle couvrira les méthodes basées sur les
lois physiques (model-driven), l’exploitation des données (data-driven), les
expérimentations et les méthodes hybrides. Elles font appel aux techniques
classiques statistiques et aux outils de l’intelligence artificielle. Parmi ces outils
d’intelligence, l’apprentissage automatique (machine learning) et l’apprentis-
sage profond (deep learning) utilisant des réseaux de neurones artificiels
feront l’objet de développements. Comme certaines méthodes prévisionnelles
prennent en compte le facteur humain, la cinquième section présentera la
typologie des méthodes de la fiabilité humaine : l’évaluation probabiliste de la
fiabilité humaine (EPFH) et les facteurs humains (FH). Elle présente une classi-
fication en trois familles ; la première est basée sur des approches
principalement fréquentielles, la seconde privilégie les aspects cognitifs et la
troisième prend en compte l’environnement organisationnel. Cette section pré-
sente quinze modèles d’évaluation du facteur humain représentatifs de ces
trois familles. La sixième section présente un inventaire des banques de
données de fiabilité de composants dont l’usage est indispensable pour la
mise en œuvre des méthodes prévisionnelles quantitatives. Elle définit au pré-
alable les notions de « parts stress » et de « parts counts » utilisées dans les
modèles de prédiction de la fiabilité et les banques de données. Elle est consa-
crée à la description des caractéristiques de leurs contenus et à leurs domaines
d’application. Vingt-cinq banques de données sont ainsi passées en revue en
insistant sur leur niveau d’actualité. En conclusion, une synthèse et des recom-
mandations sont fournies pour guider l’utilisateur à choisir la méthode la plus
adaptée pour réaliser un dossier d’analyse prévisionnelle de la fiabilité.

S 8 251v2 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT

1. Étapes d’une analyse de ment. L’utilisation de ces méthodes, par leurs caractères
systématiques et exhaustifs, représente une garantie formelle
sûreté de fonctionnement pour décomposer une installation industrielle en niveaux fonction-
nels et matériels. Elles sont nécessaires pour identifier les modes
de défaillance et leurs conséquences sur les objectifs opération-
Une analyse de sûreté de fonctionnement de système se nels retenus pour l’installation ou l’équipement concerné. De
décompose en plusieurs étapes principales, à savoir : nombreuses méthodes d’analyse fonctionnelle ont été mises au
• l’analyse structurelle et fonctionnelle du système ; point dans le monde depuis la fin de la seconde guerre mondiale

• l’analyse prévisionnelle qualitative du système ;


• l’analyse prévisionnelle quantitative du système ;
et se déduisent des techniques d’analyse de la valeur, développée
par L.D. Miles, en 1947, dédiées principalement aux produits nou-
veaux. Selon la norme NF EN 1325, l’analyse de la valeur est une

« méthode de compétitivité, organisée et créative, visant la satis-
• la synthèse des analyses précédentes et une conclusion. faction du besoin de l’utilisateur par une démarche spécifique de
Les détails et l’enchaînement de ces étapes sont donnés dans conception à la fois fonctionnelle, économique et pluridiscipli-
l’organigramme de la figure 1. Il faut remarquer que ces étapes ne naire ». L’analyse fonctionnelle consiste à recenser, caractériser,
sont pas totalement disjointes et présentent des aspects communs. ordonner, hiérarchiser et valoriser les fonctions. Les méthodes
De plus, une étude réelle est itérative ; les étapes principales d’analyse fonctionnelle permettent :
sont répétées plusieurs fois jusqu’à l’obtention d’une conclusion • de décrire le besoin d’un utilisateur en termes de fonctions,
acceptable (objectifs réalisés). en faisant abstraction des solutions qui peuvent les réaliser.
La mise en œuvre de ces méthodes rend indispensable des À chaque fonction sont attribués des critères d’appréciation
décompositions hiérarchiques matérielles ou fonctionnelles du et leurs niveaux ; les niveaux des critères d’appréciation sont
système. les caractéristiques quantitatives de chaque fonction du pro-
duit. Pour chaque critère d’appréciation, on peut définir une
flexibilité, c’est-à-dire un ensemble d’indications exprimées
par le demandeur sur les possibilités de moduler un niveau
2. Méthodes d’analyse recherché ;

fonctionnelle • de décrire les choix technologiques imposés au concepteur


en termes de contraintes qui peuvent venir de l’environne-
ment, de la technologie, du marché, de la situation et des
choix de l’entreprise ou de l’organisme ;
2.1 Les concepts de base de l’analyse
fonctionnelle • de s’assurer, pour chaque fonction, de sa bonne expression
en termes d’objectifs et de sa stabilité dans le temps ; c’est le
Les méthodes d’analyse fonctionnelle sont indispensables pour but du contrôle de validité ;
réaliser une décomposition fonctionnelle et matérielle d’une ins- • de décrire le produit envisagé comme solution, en termes de
tallation industrielle en cours de conception ou en fonctionne- fonctions de service et en termes de fonctions techniques ou
de conception ;
• d’initialiser l’optimisation du produit aussi bien du point de
vue coût que du point de vue fiabilité.
Les résultats des analyses fonctionnelles sont matérialisés par
trois éléments.
1/ Le cahier des charges fonctionnel (CdCF), défini par la norme
NF X50-151 (attention norme annulée et décrite dans [S 8 250]), est
un document par lequel le demandeur exprime son besoin (ou
celui qu’il est chargé de traduire) en termes de fonctions de service
et de contraintes. Pour chacune d’elles sont définis des critères
d’appréciation et leurs niveaux. Chacun de ces niveaux doit être
assorti d’une flexibilité.
2/ Le bloc-diagramme fonctionnel (BdF) permet de visualiser la
relation fonctions/solutions dans le cas de produits mécaniques,
électriques ou électroniques. C’est une représentation schématique
qui superpose les deux conceptions d’un système et permet de
mettre en évidence :
– les interactions entre les composants et les milieux extérieurs ;
– les interactions entre les composants eux-mêmes.
3/ Le tableau d’analyse fonctionnelle (TAF), en fiabilité, sert de
trame pour la réalisation d’analyses des modes de défaillance, de
leurs effets et de leur criticité (AMDEC). C’est un tableau sur lequel
on place sur les lignes les fonctions de service du produit (princi-
pales et contraintes) et les chaînes fonctionnelles de conception
(ou fonctions techniques), et sur les colonnes les fonctions élémen-
taires de tous les composants du produit. Il permet d’examiner
l’influence de chaque chaîne fonctionnelle de conception sur
chaque fonction de service. Les impératifs en termes de sûreté de
fonctionnement des systèmes industriels complexes impliquent de
décrire précisément les fonctionnalités des systèmes ; pour cela,
Figure 1 – Organigramme des tâches d’une analyse prévisionnelle différentes méthodes d’analyse fonctionnelle sont utilisables.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 251v2 – 3

RU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

2.2 Méthode FAST


Imaginée par C.W. Bythenay [1], la méthode FAST (function
analysis system technique) est couramment employée en matière
d’analyse de la valeur. En France, le FAST est considéré comme
une étape dans les descriptions d’un système. Elle présente
l’avantage d’ordonner les fonctions suivant un ordre logique ; elle
contribue à la clarification de l’état fonctionnel du produit et à la

Q rédaction finale du CdCF.


Elle permet :
• d’ordonner les fonctions identifiées ;
• de vérifier la logique fonctionnelle ;
• d’avoir une bonne connaissance du produit ou du système
étudié ;
• de prendre conscience de l’importance relative des éléments
ou des structures vis-à-vis des fonctions qu’ils assurent ;
• de mettre en évidence des synchronisations entre les fonc-
tions indépendantes.
Figure 2 – Diagramme fonctionnel d’un FAST
À partir de la liste de fonctions identifiées par une des
méthodes d’analyse fonctionnelle, celles qui s’appliquent à
l’ensemble du produit sont répertoriées en marge du diagramme
FAST. 2.3 Méthode RELIASEP®
Le diagramme se construit de gauche à droite en plaçant à
La société européenne de propulsion (SEP) [2], maître d’œuvre
gauche la fonction principale et en se déplaçant ensuite vers la
de la propulsion du lanceur européen dans les années 1970, a
droite ou vers le bas. Les liaisons entre les blocs fonctionnels sont
développé sous l’initiative de R. Vogin une méthodologie appelée
réalisées en répondant à trois questions :
« arbre fonctionnel », afin de prendre en compte les exigences de
• Pourquoi ou dans quel but la fonction existe-elle ? sûreté de fonctionnement à toutes les étapes de la vie d’un pro-
duit, et cela à moindre coût (la SEP a été absorbée au sein du
• Comment la fonction d’ordre supérieur est-elle réalisée avec groupe SNECMA en 1997 et cette méthode n’est plus maintenue).
des fonctions d’ordre inférieur ? La SEP a mis au point une méthode empruntée à la fois aux
• Quand est-il nécessaire de disposer simultanément de plu- concepts de l’analyse de la valeur et à ceux de l’analyse et de la
sieurs fonctions ? programmation structurées en informatique (top-down program-
ming). Cette méthode présente l’ensemble de toutes les liaisons
À partir de la liste de fonctions identifiées par une des entre les fonctions, performances, contraintes et caractéristiques
méthodes d’analyse fonctionnelle, on identifie les fonctions qui du matériel à l’aide d’une structure arborescente.
s’appliquent à l’ensemble du produit et on les répertorie en marge
du diagramme FAST. RELIASEP® permet :
Le système est représenté à l’aide d’un diagramme (figure 2) • la modélisation fonctionnelle pour :
comportant trois régions délimitées par des traits interrompus
verticaux : – clarifier le besoin : fonction principale,
• la partie centrale correspond au domaine fonctionnel couvert – construire le système qui répond à ce besoin : fonctions élé-
par le système ; mentaires, choix technologiques et composants (arbre fonctionnel
et arbre matériel) ;
• dans la partie de gauche, on trouve les fonctions de services
du système ; • l’analyse des défaillances ;
• dans la partie de droite, on trouve les ressources extérieures
au système ; ressources qui, si elles n’existaient pas, ne • l’amélioration en conséquence de la conception du système.
modifieraient pas la capacité du système à satisfaire les fonc-
tions. L’analyse fonctionnelle se présente sous forme arborescente et
est régie par une trilogie : capter, transformer et transmettre les
Dans la partie centrale, on passe d’une fonction à une autre en flux d’énergie ou d’information. La décomposition prend en
se posant les questions : « Pourquoi ? », « Comment ? », compte les matériels, introduits en tant que choix technologiques
« Quand ? ». Les fonctions sont ordonnées et représentées dans qui engendrent des fonctions de conception ou de contraintes. La
des « boîtes » rectangulaires. La construction d’un diagramme première étape d’une analyse fonctionnelle passe nécessairement
représenté sur la figure 2 commence en plaçant à gauche la fonc- par l’analyse du besoin. Chaque fonction principale est décrite
tion de service principale. Il est admis que toute fonction située à (sous forme technique, physique ou logique) par un verbe et un
gauche d’une autre est de rang supérieur car elle répond à la complément. À cette fonction, on associe les performances à réa-
question « Pourquoi ? », c’est-à-dire qu’elle va dans le sens de la liser et toutes les performances représentant le besoin à satisfaire.
fonction supérieure du produit. Le graphe se construit progressi- Une fonction s’exerce dans le cadre d’une mission qui peut com-
vement sur une ligne baptisée « chemin critique » (initialement porter des phases différentes : on considère d’abord la phase prin-
appelé « chemin fondamental des fonctions »). Au-dessus ou en cipale puis les autres phases (contraintes) imposent des sous-
dessous d’une fonction, on place les fonctions qui se produisent fonctions. La description fonctionnelle se présente sous une forme
dans le temps, ou en même temps (on se pose la question arborescente de manière à hiérarchiser les fonctions et les flux
« Quand ? »). associés. La réalisation d’une fonction principale se construit à

S 8 251v2 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT

La méthode introduit les concepts suivants :


• les fonctions qui échangent et transforment les données ;
• les données manipulées par les fonctions.
La méthode SADT® met en œuvre deux représentations com-
plémentaires :
• les actigrammes, dans lesquels les fonctions transforment les


données d’entrée en données de sortie, en respectant les
contraintes imposées pour cette transformation et en utilisant
certains moyens ou supports de l’activité ;
en vecteur « poussée » « poussée » à l’étage • les datagrammes, dans lesquels les données sont générées
par des fonctions de génération, utilisées par des fonctions
d’utilisation, sous la surveillance des activités de contrôle.
SADT® définit une décomposition fonctionnelle hiérarchisée entre
les différents niveaux de détail ; la décomposition à un niveau
donné doit faire apparaître des fonctions ou des données qui sont à
leur tour décomposées (approche descendante : top-down). Pour la
validation, on doit s’assurer que les entrées d’une fonction d’un
niveau donné se retrouvent dans sa décomposition, et celle-ci ne
doit produire que les sorties de la fonction de niveau supérieur.
L’accent est porté tout d’abord sur l’analyse et la spécification du
Figure 3 – Arbre fonctionnel RELIASEP® et flux « Quoi » (ce que le système doit faire) et ensuite sur les considéra-
tions sur le « Comment » (avec quels moyens on réalise le « Quoi »).
SADT® utilise un seul type de boîte rectangulaire dont chacun des
base de sous-fonctions en répondant à la question : « Que faut-il quatre côtés possède une signification particulière (figure 4).
faire pour… ? »
Un diagramme SADT®, pour chaque niveau hiérarchique, est
Exemple constitué de trois à six boîtes pour que la représentation soit suf-
fisamment détaillée sans être trop complexe. La figure 5 repré-
La fonction principale : « fournir un vecteur “poussée” à l’étage d’un sente l’enchaînement des boîtes avec leurs relations entre les
moteur de fusée » fait appel aux sous-fonctions suivantes (figure 3) : entrées, les sorties et les contrôles. Elle donne également un
• « recevoir une énergie potentielle (ergols) » ; aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de
• « transformer ces ergols en poussée » ; niveau hiérarchique inférieur.
• « transmettre cette poussée à l’étage ».

Cet exemple fait ressortir :


• la captation d’un flux d’entrée ;
• la transformation du flux ;
• la transmission d’un flux de sortie.
Ensuite, on construit un arbre superposé à l’arbre fonctionnel,
représentant les « matériels » répondant aux fonctions. Une sous-
fonction conduit à un sous-matériel. Le mécanisme étant amorcé,
la décomposition se poursuit pour atteindre le niveau des choix
technologiques retenus. L’arborescence de la méthode RELIA-
SEP® permet de mettre en évidence toutes les liaisons fonction- Figure 4 – Boîte utilisée par SADT®
nelles entre les divers matériels et toutes les interfaces du
système étudié : fonctions, contraintes et performances, matériels
et caractéristiques correspondants.

2.4 Méthode SADT®


La méthode SADT® (structured analysis and design technique
[3] est une méthode d’analyse et de conception des systèmes
importants et complexes en facilitant la communication entre spé-
cialistes de disciplines différentes. SADT est une méthode gra-
phique établie par D.T. Ross vers 1974.
Elle fournit des outils notamment pour :
• concevoir d’une façon structurée des systèmes vastes ou
complexes ;
• communiquer des résultats de l’analyse et de la conception
dans une notation claire et précise ;
• contrôler l’exactitude, la cohérence et, de façon générale, la
qualité de manière continue et systématique par des procé- Figure 5 – Boîte utilisée par SADT® Diagramme type SADT® avec
dures particulières de critiques et d’approbations. détail

Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 251v2 – 5

RW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUQ

SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________

2.5 Méthode IDEF0 la norme IDEF0. Un verbe à l’infinitif définissant l’action et la


valeur ajoutée de la fonction ainsi que son label Aijk d’identifica-
IDEF0 est une méthode dérivée de SADT. En décembre 1993, le tion doivent être obligatoirement fournis. Pour chaque niveau de
National institute of standards and technology (NIST) rend décomposition, le formalisme d’IDEF0 utilise la notion de nœud.
publique la norme de IDEF0 dans la publication Processing stan- De nombreux logiciels sont actuellement disponibles pour
dards publication 183. construire des diagrammes suivant le standard IDEF0 (VISIO 2007
de Microsoft Office, Edraw flowchart d’Edraw, Corel iGrafx IDEF0
IDEF0 est une méthode graphique particulièrement bien adap- 2007 de Corel).


tée pour une description fonctionnelle. Elle est donc surtout utili-
sée en phase de spécification d’un système ou d’un logiciel.
La description comprend une série de planches organisées de
façon hiérarchique descendante. Chaque planche est la décompo-
2.6 Méthode APTE®
sition en sous-fonctions d’une fonction du système. La décompo-
sition est arborescente et descend au niveau souhaité par Au début des années 1960, G. Barbey, alors consultant en
l’utilisateur. IDEF0 peut être utilisée dans tous les cas où l’on sou- France au sein du cabinet KBWhite, crée la méthode APTE à partir
haite analyser et décrire un système sous son aspect fonctionnel. des principes de l’analyse de la valeur. Depuis la création en 1964
La description peut tout aussi bien porter sur les fonctions rem- du cabinet APTE, la méthode est un ensemble formalisé et cohé-
plies par un élément matériel que sur la description d’un proces- rent de concepts logiques de raisonnement et d’outils méthodolo-
sus. IDEF0 a une structure hiérarchique, grâce à laquelle même les giques. Elle devient en France une méthode pour l’optimisation
modèles les plus complexes restent clairs, étant donné que les des produits, mais aussi des procédés, des équipements et des
détails sont représentés à différents niveaux. IDEF0 est donc sou- organisations. Le cabinet-conseil APTE® [5] développe une
vent utilisé pour représenter des processus. La figure 6 donne un méthode d’analyse fonctionnelle et d’analyse de la valeur APTE®,
exemple de modèles IDEF0. Les rectangles représentent les activi- rassemblant un ensemble formalisé de concepts, de logiques de
tés. Les flèches qui viennent de gauche sont des entrées (I pour raisonnement et d’outils méthodologiques qui associe des
inputs), celles qui partent vers la droite sont des sorties (O pour approches : fonctionnelle, systémique, qualitative et économique,
outputs). Les flèches qui viennent du haut sont des commandes et interdisciplinaire et participative. APTE® est utilisé pour la concep-
contrôles (C pour command), celles qui viennent du bas sont des tion ou la reconception du produit. La méthode APTE® utilise un
mécanismes support, techniques, humains ou organisationnel (M vocabulaire sensiblement diffèrent de celui recommandé par les
pour mechanism). Ces quatre termes forment l’ICOM décrit dans normes AFNOR et européennes :

Figure 6 – Principe d’une décomposition fonctionnelle suivant IDEF0

S 8 251v2 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUR

Sûreté de fonctionnement
des systèmes industriels complexes
Étude opérationnelle
par Gilles ZWINGELSTEIN

Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé

1. Données de l’étude opérationnelle ............................................. S 8 252 – 2


1.1 Données de fiabilité ........................................................................... — 2
1.1.1 Paramètres ............................................................................... — 2
1.1.2 Estimateurs .............................................................................. — 2
1.1.3 Méthodes de calcul des estimateurs et intervalles
de confiance ............................................................................. — 2
1.1.4 Estimations des lois de probabilités ....................................... — 3
1.2 Banques de données .......................................................................... — 3
1.3 Précautions d’emploi des données de retour d’expérience.............. — 3
2. Conduite d’une étude opérationnelle ......................................... — 4
2.1 Management de la Sûreté de fonctionnement.................................. — 4
2.2 Assurance Sûreté de fonctionnement ............................................... — 4
2.3 Revue critique et audit ....................................................................... — 5
3. Conclusion........................................................................................ — 5
Pour en savoir plus.................................................................................. Doc. S 8 250v2

ans ce dossier, qui fait suite aux dossiers [S 8 250v2] et [S 8 251], nous
D examinons les aspects liés à l’étude opérationnelle de sûreté de fonction-
nement et à la conduite d’une étude prévisonnelle ou opérationnelle.
Les données de sûreté de fonctionnement sont essentielles pour toute étude
prévisionnelle et principalement quantitative. Elles sont de deux types : événe-
mentielles et fiabilistes.
Les données événementielles sont obtenues à l’aide d’études statistiques des
accidents et des expérimentations en grandeur nature. Elles concernent donc
l’aspect « macroscopique » et donnent des estimations du comportement d’un
système entier dans certaines circonstances (grand nombre d’événements
indiscernables ou non quantifiables). Elles sont surtout utiles pour l’évaluation
des risques (probabilité/gravité des conséquences) et donc de la sécurité.
Par contre, les données fiabilistes sont obtenues par des essais sur des com-
posants de base des systèmes dans des conditions données (événements dis-
cernables et quantifiables). Elles sont donc « microscopiques » et sont essen-
tielles pour les méthodes prédictives, décrites dans le dossier [S 8 251],
largement utilisées.
Dans les grandes entreprises performantes, l’utilisation de logiciels de GMAO
(gestion de maintenance assistée par ordinateur) qui incluent des modules de
collecte du retour d’expériences permet l’analyse de tous les paramètres asso-
ciés aux circonstances de l’apparition des défaillances et des temps consacrés à
la maintenance corrective ou préventive.
L’exploitation des systèmes de recueil de données de retour d’expérience sert
à évaluer les performances des systèmes opérationnels avec des indicateurs
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY

quantitatifs tels que le MTTF (Mean Time To Failure), les taux de défaillance,
les temps de réparation et les temps de bon fonctionnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. S 8 252 – 1

RY

SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

Sûreté de fonctionnement
des systèmes industriels complexes
Exemples d’applications

par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé

1. Système à deux composants identiques en redondance


active ................................................................................................. S 8 253 – 2
1.1 Présentation du système .................................................................... — 2
1.2 Utilisation des graphes de Markov .................................................... — 3
1.3 Calcul de la disponibilité asymptotique ............................................ — 3
1.4 Calcul de la fiabilité ............................................................................ — 4
1.4.1 Cas général .............................................................................. — 4
1.4.2 Cas particulier .......................................................................... — 5
1.5 Calcul de la maintenabilité................................................................. — 6
2. Système de trois onduleurs avec voteur en 2/3........................ — 6
2.1 Présentation du système .................................................................... — 6
2.2 Calcul de la disponibilité instantanée et de la disponibilité
asymptotique ...................................................................................... — 7
2.2.1 Disponibilité instantanée ......................................................... — 7
2.2.2 Disponibilité asymptotique ..................................................... — 7
2.2.3 Influence du nombre de réparateurs ...................................... — 8
2.3 Calcul de la fiabilité ............................................................................ — 8
2.4 Calcul de la maintenabilité................................................................. — 10
2.5 Conclusions sur l’utilisation des chaı̂nes de Markov ........................ — 11
3. Arbre de défaillance pour un système de détection
d’incendie ......................................................................................... — 11
3.1 Présentation du système .................................................................... — 11
3.2 Construction de trois arbres de défaillance ...................................... — 11
3.3 Arbre réduit de complexité minimale................................................ — 12
3.4 Application de la méthode MOCUS pour la recherche de coupes
minimales ........................................................................................... — 13
3.5 Calcul de la probabilité de l’évènement redouté .............................. — 14
3.6 Correspondance entre l’arbre de défaillance et le bloc diagramme
de fiabilité associé.............................................................................. — 17
3.7 Calcul des facteurs d’importance....................................................... — 17
3.8 Conclusion sur les arbres de défaillance........................................... — 17
Pour en savoir plus.................................................................................. Doc. S 8 250v2

ans ce dossier, qui fait suite aux dossiers sur la sûreté de fonctionnement
D des systèmes industriels complexes :
– [S 8 250v2] « Principaux concepts » ;
– [S 8 251] « Analyse prévisionnelle » ;
– [S 8 252] « Étude opérationnelle »,
nous examinons trois types d’applications :
– un système à deux composants identiques en redondance active ;
– un système à trois onduleurs avec voteur en 2/3 ;
p。イオエゥッョ@Z@、←」・ュ「イ・@RPPY

– un arbre de défaillance pour un système de détection d’incendie.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. S 8 253 – 1

SQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

1. Système à deux Le MTTF se calcule facilement en évaluant :



composants identiques MTTF = ∫ R (t )dt
en redondance active 0

3
et donne par intégration MTTF = = 15 000 h.


Rappels de définition La maintenabilité M(t) n’a pas de sens dans ce cas. En effet, si
La fiabilité R(t) est la probabilité que le système fonctionne l’on imagine que ce système est installé à bord d’un vaisseau spa-
sans panne sur l’intervalle de temps [0, t]. tial inhabité, il n’est pas possible d’envisager une réparation.
La maintenabilité M(t) est la probabilité que le système soit
remis en service à un instant t sachant qu’il est tombé en & Cas de composants réparables
panne à t = 0. La disponibilité A(t) d’un composant unique réparable se déduit
La disponibilité A(t) est la probabilité que le système ne soit aisément de la formulation suivante :
pas défaillant à l’instant t.
A (t + dt) = Probabilité (fonctionnement à t et pas de défaillance
sur [t + dt]) + Probabilité (panne à t et réparation à [t + dt ]).
1.1 Présentation du système
A (t + dt ) = A (t ) (1 − λdt ) + (1 − A (t )) µdt
Cet exemple a pour but d’illustrer les performances en termes
de fiabilité, disponibilité et maintenabilité d’un système com- Si dt est petit, on obtient l’équation différentielle :
posé de deux composants placés en parallèle lorsque ces com-
posants sont non réparables ou réparables. dA (t )
= µ − ( λ + µ ) A (t )
Il traite le cas d’une redondance active caractérisée par le fonc- dt
tionnement simultané d’un ensemble de deux composants mis
en parallèle remplissant les mêmes fonctions ou missions, un En supposant que la condition initiale A(0) = 1 est réalisée pour
seul de ceux-ci suffisant pour les réaliser. t = 0, il vient en intégrant :

µ λ
Le diagramme de fiabilité est du type parallèle comme le montre A (t ) = + exp ( − ( λ + µ )t )
la figure 1 et le seul état de panne est donné par les états de pan- λ+ µ λ+ µ
nes simultanés de X et de Y soit X ∩ Y ou bien noté par X • Y
En général, pour un système composé de N composants en
En effet, pour que le flux partant de l’entrée E ne puisse plus parallèle, avec autant de réparateurs disponibles qu’il y a de com-
atteindre la sortie S, il faut que les deux composants X et Y soient posants défaillants, l’indisponibilité globale s’exprime par :
défaillants (représentés par X ∩ Y ou bien noté par X • Y ).
1− A (t ) = Probabilité que tous les éléments
Pour les calculs, lors de l’hypothèse de composants réparables,
on suppose que les taux de défaillance (déf) et de réparation (rép) soient indisponible
es
sont les mêmes pour X et Y et respectivement constants et égaux à i =N
l et m. = ∏ (1 − Ai (t ))
i =1
Dans les applications numériques et les tracés de courbes avec
des logiciels spécialisés pour les calculs de R(t), A(t) et M(t) les D’où :
valeurs numériques sont identiques et égales respectivement à
i =N
λ = 0,0001 def / h et µ = 0,00005 rep / h A (t ) = 1 − ∏ (1 − Ai (t ))
i =1
(la valeur prise pour le taux de réparation n’est pas une valeur réa- Pour le système à deux éléments X et Y identiques, il vient :
liste et elle a été choisie pour obtenir des courbes à usage
pédagogique). µ λ
1 − AX (t ) = 1 − AY (t ) = 1 − − exp ( − ( λ + µ )t )
& Cas de composants non réparables λ+ µ λ+ µ

Dans ce cas, la fiabilité R(t) et la disponibilité A(t) coı̈ncident et =


λ
λ+ µ
(
1 − exp ( − ( λ + µ )t ) )
ont respectivement pour expression :
D’où :
R (t ) = A (t ) = 1 − (1 − exp ( − λt ))
2

2
⎛ λ ⎞
puisque l’on traite de deux composants en parallèle. A (t ) = 1 − ⎜
⎝ λ + µ ⎟⎠
(1 − exp (− ( λ + µ )t ))2
Le calcul de la disponibilité asymptotique A• s’obtient en éva-
X
luant l’expression précédente quand t tend vers l’infini, ce qui
E S donne :

µ2 + 2 λµ
Y A∞ =
( λ + µ )2
Figure 1 – Système redondant
L’application numérique conduit à A• = 0,55555556.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


S 8 253 – 2 est strictement interdite. – © Editions T.I.

SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES

Disponibilité A (t )
l 1 l
0,9

m 0,8
m
0 3
l l 0,7
0,6
m m
2
0,5


0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
Figure 2 – Graphe de Markov
a simulation avec logiciel
1.2 Utilisation des graphes de Markov 1

Disponibilité A (t )
L’utilisation des graphes de Markov permet d’obtenir des résul- 0,9
tats identiques et ce paragraphe illustre comment il est possible 0,8
d’obtenir les valeurs de R(t), A(t) et M(t) en faisant des calculs for-
0,7
mels ou bien en utilisant des logiciels spécialisés commerciaux en
sûreté de fonctionnement. 0,6

Pour deux blocs redondants actifs en parallèle, en notant 0 l’état 0,5


0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
normal (0 élément en panne), 1 l’état avec X en panne, 2 l’état avec Temps (× 10 000 h)
Y en panne, 3 l’état où deux éléments sont en panne et Pi(t) la pro-
b calcul théorique
babilité d’être dans l’état i, le graphe de Markov associé est repré-
senté sur la figure 2.
Figure 3 – Comparaison des courbes de A(t) théorique et simulée
Les probabilités Pi(t) des quatre états s’obtiennent avec les équa- avec le logiciel Relex
tions différentielles suivantes :
0 = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t )
dP0 (t ) 0 = + λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
=− λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) 0 = + λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt
dP1 (t ) 0 = + λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
=+ λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
dt
dP2 (t ) La résolution est celle d’un système homogène : il faut utiliser
=+ λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt obligatoirement la relation :
(
dP3 t ) P0 + P1 + P2 + P3 = 1
=+ λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
dt
Cela revient à résoudre le système :
ou
− λP0 + µP1 − λP0 + µP2 = 0
⎡ dP0 (t ) ⎤

⎥⎢ ⎥
⎡ ⎤⎡ ⎤
− 2λ µ µ 0 P0 (t ) + λP0 − µP1 − λP1 + µP3 = 0


⎢ dt ⎥
⎢ dP (t ) ⎥ + λP0 − µP2 − λP2 + µP3 = 0
⎢ 1 ⎥ λ − ( λ + µ) 0 + µ ⎥ ⎢ P1 (t ) ⎥
⎢ dt ⎥ = ⎢ ⎥⎢ P0 + P1 + P2 + P3 = 1
⎢ dP2 (t ) ⎥
− ( λ + µ) + µ ⎢P2 (t )⎥

⎢ dt ⎥ λ 0
⎥ ⎥ Tous calculs faits, il vient :
⎢ dP (t ) ⎥
⎢ 3 ⎥ 0 λ −λ − 2 µ P3 (t ) µ2
⎢⎣ dt ⎥⎦ ⎣⎢ ⎦⎣ ⎦ P0 =
( λ + µ) 2

λ 1
P1 =
En intégrant le système d’équations par la transformée de µ ( λ + µ )2
Laplace et en supposant la condition initiale P0(0) = 1 sachant que λ 1
pour un système redondant actif, la disponibilité instantanée est P2 =
µ ( λ + µ )2
donnée par :

A (t ) = P0 (t ) + P1 (t ) + P2 (t ) Soit après regroupement :


µ2 + 2 λµ
La résolution donne le même résultat que le calcul formel : A∞ =
( λ + µ )2
2
⎛ λ ⎞
A (t ) = 1 − ⎜
⎝ λ + µ ⎟⎠
(
1 − exp ( − ( λ + µ )t ) )2 La valeur est identique à la valeur obtenue avec la méthode
précédente.
Pour des systèmes beaucoup plus complexes, des logiciels spé-
1.3 Calcul de la disponibilité cialisés (cf. [Doc. S 8 250v2]) permettent avec des algorithmes
asymptotique d’intégrations numériques d’obtenir les solutions des équations
différentielles donnant les probabilités de chacun des états. La
Il est toujours important de connaı̂tre la valeur que prend la dis- figure 3 donne les comparaisons des courbes obtenues avec le cal-
ponibilité quand le temps prend une valeur proche de la fin de vie cul théorique avec celle obtenue avec un logiciel spécialisé. On
du système. Cette disponibilité asymptotique A• s’obtient en obser- constate qu’elles sont identiques (en général la précision est iden-
vant que les dérivées s’annulent quand le temps t tend vers l’infini. tique à la sixième décimale près).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. S 8 253 – 3

SS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

1 l l
1
Disponibilité A(t)

0,9
m
0 3
0,8 l l
0,7 m 2
Système réparable (2 réparateurs)
0,6


Figure 5 – Graphe de Markov associé au calcul de R(t)
0,5

0,4
1,2

Fiabilité R (t)
0,3
Système non réparable 1
0,2

0,1
0,8
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0,6

Figure 4 – Allures de la disponibilité A(t) avec et sans réparation


0,4
La figure 4 montre l’influence de la réparation sur l’allure de la
disponibilité A(t). Pour un système réparable, la valeur asympto-
0,2
tique est une constante alors que pour un système non réparé la
disponibilité A(t) tend vers 0 (dans ce cas A(t) est identique à R(t)).
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
1.4 Calcul de la fiabilité
Figure 6 – Allure de R(t) théorique pour un système réparable
1.4.1 Cas général (2 réparateurs)

En rappelant que la fiabilité R(t) est la probabilité que le système ⎧ p + ( λ + µ)


⎪P0 (p ) = 2
fonctionne sans panne sur l’intervalle de temps [0-t] (donc sans ⎪ p + p (3 λ + µ ) + 2 λ2
être réparé sur l’intervalle de temps [0-t]), il est nécessaire de tracer ⎪⎪ λ
un autre graphe de Markov où l’on interdit la réparation. Le graphe ⎨P1 (p ) = 2
de Markov associé alors à R(t) est représenté sur la figure 5. ⎪ p + p (3 λ + µ ) + 2 λ2
⎪ λ
En notant 0 l’état normal (0 élément en panne), 1 l’état avec un ⎪P2 (p ) = 2
élément en panne (X), 2 l’état avec un élément en panne (Y), ⎪⎩ p + p (3 λ + µ ) + 2 λ2
3 l’état où deux éléments sont en panne et Pi (t) la probabilité
d’être dans l’état i, les probabilités Pi (t) s’obtiennent avec les équa- La résolution inverse par la transformée de Laplace donne :
tions différentielles suivantes :
⎧ ( ) 1
⎪P0 t = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
⎧ dP0 (t ) ⎪ 1 2
⎪ dt = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) ⎪ ( ) λ
⎪ ⎨P1 t = ⎡exp (R1t ) − exp (R2t )⎤⎦
⎪ dP1 (t ) ⎪ R1 − R2 ⎣
() ()
⎪⎪ dt = + λP0 t − µP1 t − λP1 t
()
⎪ λ
⎨ ⎪P2 (t ) = ⎡exp (R1t ) − exp (R2t )⎤⎦
⎪ dP2 (t ) = + λP (t ) − µP (t ) − λP (t ) ⎩ R1 − R2 ⎣
⎪ dt 0 2 2
⎪ ()
⎪ dP3 t = + λP (t ) − λP (t ) où R1 et R2 sont racines de l’équation de l’équation du second degré :
⎪⎩ dt 1 2
p 2 + p (3 λ + µ ) + 2 λ2 = 0

La probabilité P3 se déduit de : La fiabilité R(t) est donc la somme P0(t) + P1(t) + P2(t), soit :
1
P0 (t ) + P1 (t ) + P2 (t ) = 1 R (t ) = ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
λ
+2 ⎡exp (R1t ) − exp (R2t )⎤⎦
Le calcul de la fiabilité R(t) s’obtient en partant d’une condition R1 − R2 ⎣
initiale unitaire sur P0(t) puis en calculant :
Finalement :
R (t ) = P0 (t ) + P1 (t ) + P2 (t )
1
R (t ) = ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
En prenant la transformée de Laplace p du système d’équations,
avec la condition initiale P0(0) = 0, il vient : La figure 6 montre l’allure de R(t) à partir du calcul littéral précédent.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


S 8 253 – 4 est strictement interdite. – © Editions T.I.

ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES

Dans le cas des systèmes complexes, on fait appel pour l’intégra- La résolution par la transformée de Laplace donne, si la condi-
tion des équations différentielles à des logiciels spécialisés tion est unitaire pour P0(0) = 0 :
(cf. [Doc. S 8 250v2]). La figure 7 montre la comparaison de la
courbe théorique avec celle obtenue avec le logiciel de simulation ⎪⎧pP0 (p ) − 1 = − 2 λP0 (p ) + µP1 (p )

spécialisé Relex. On peut constater que les résultats sont stricte- ⎪⎩pP1 (p ) = + 2 λP0 (p ) − µP1 (p ) − λP1 (p )
ment identiques.
Pour montrer l’influence de la réparation sur les performances Soit :
⎧ p+ µ+ λ
⎪⎪P0 (p ) = p 2 + p (3 λ + µ ) + 2 λ2
d’un système, la figure 8 montre les tracés des courbes R(t) avec


et sans réparateur. On constate logiquement qu’avec la réparation
la fiabilité est légèrement supérieure (compte tenu des valeurs ⎨ 2λ
⎪P1 (p ) = 2
numériques retenues). ⎪⎩ p + p (3 λ + µ ) + 2 λ2
À partir du calcul formel de R(t), on peut calculer facilement
MMTF : Puis après transformation de Laplace inverse, on obtient :

⎧ 1
MMTF = ∫ R (t ) dt ⎪P0 (t ) = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
0
⎪ 1 2

⎪P (t ) = 2 λ ⎡exp (R t ) − exp (R t )⎤
ce qui donne après intégration : ⎪⎩ 1 R1 − R2 ⎣ 1 2 ⎦

1 ⎛ 1 1⎞ 3 µ où R1 et R2 sont racines de l’équation du polynôme


MTTF = (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2
R2 − R1 ⎜⎝ 1 1 2⎠
p 2 + p (3 λ + µ ) + 2 λ2 = 0
L’application numérique donne MTTF = 17 500 h et l’utilisation d’un
logiciel spécialisé fournit une valeur égale à 17 500 h. La fiabilité R(t) est donc la somme P0(t) + P1(t), soit :

1.4.2 Cas particulier 1


R (t ) = ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
Si les deux blocs sont identiques, on peut simplifier le graphe de
λ
Markov en fusionnant les états 1 et 2 du schéma précédent car les +2 ⎡exp (R1t ) − exp (R2t )⎤⎦
blocs X et Y sont équivalents pour le fonctionnement d’un système R1 − R2 ⎣
en redondance active. On obtient alors le graphe de la figure 9. 1
= ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦
Les trois équations différentielles associées deviennent alors : R1 − R2 ⎣ 1

⎧ dP0 (t ) 1 ⎛ 1 1⎞ 3 µ
⎪ dt = − 2 λP0 (t ) + µP1 (t )
MTTF = (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2
R2 − R1 ⎜⎝ 1 1 2 ⎠

⎪ dP1 (t )
⎨ = + 2 λP0 (t ) − µP1 (t ) − λP1 (t )
⎪ dt 1,2
Fiabilité R (t)

⎪ dP2 (t )
⎪ = + λP1 (t )
⎩ dt
1

0,8
1
Fiabilité R (t)

0,8
0,6
0,6
0,4 Système parallèle réparable
0,2 0,4

0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
0,2
Temps (× 10 000 h) Système parallèle
non réparable
a simulation avec un logiciel
0
1 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Fiabilité R (t)

Temps (× 10 000 h)
0,8
0,6 Figure 8 – Allures de R(t) avec et sans réparateur
0,4
0,2 2l l
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0 1 2
b calcul théorique m

Figure 7 – Allures de R(t) théorique et simulée Figure 9 – Graphe de Markov à trois états

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. S 8 253 – 5

SU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRUS

SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

On obtient exactement les mêmes résultats mais seulement avec de M(t) théorique et simulée avec un logiciel dédié. On constate
trois états au lieu de quatre comme dans le cas précédent. que les deux courbes sont strictement identiques et que la mainte-
nabilité M(t) tend vers 1 quand t tend vers l’infini.

1.5 Calcul de la maintenabilité


La probabilité que le système ne soit pas réparé à l’instant t est
égale à 1 - M(t) avec M(t) la maintenabilité ; elle est aussi égale à la 2. Système de trois onduleurs
probabilité que tous les éléments N ne soient pas réparés :
avec voteur en 2/3
Q i =N
∏ (Probabilité (élément i
i =1
non réparé)) =
i =N
∏ (1 − Mi (t ))
i =1

Pour le système à deux composants X et Y, il vient, avec :


2.1 Présentation du système
MX (t ) = MY (t ) = 1 − exp ( − µt ) Un onduleur est un appareil permettant d’améliorer la qualité
de l’énergie électrique. Il se place en amont de récepteurs sen-
D’où la valeur de M(t) : sibles tels que les ordinateurs et leurs périphériques. On se
propose d’étudier les performances d’un ensemble d’ondu-
( )
M (t ) = 1 − (1 − Mx (t )) 1 − My (t ) = 1 − exp ( − 2 µt )
leurs en redondance 2/3 conformément au schéma de la
figure 12.

On peut déduire MTTR à partir des résultats précédents par le


calcul de l’intégrale : L’indisponibilité n’est plus la seule grandeur à considérer : MTTF
permet de connaı̂tre le temps moyen avant la première coupure sur
∞ ∞ l’application. On est amené à construire le graphe d’états. Les trois
1
MTTR = ∫ (1 − M (t ))dt = ∫ (1 − exp (− 2µt ))dt = 2µ onduleurs sont identiques, ce qui permet de grouper les états cor-
0 0 respondant au même nombre d’onduleurs en panne. Les taux de
défaillance et de réparation des onduleurs sont notés l et m.
Le calcul de M(t) peut également s’obtenir en utilisant un graphe
de Markov dédié comme le montre la figure 10 :
1
Maintenabilité M (t)

Dans ce cas, le graphe est construit en partant de l’état de panne


3 avec une condition initiale égale à 1 : on suppose que les blocs X 0,8
et Y sont identiques comme dans le cas précédent (§ 1.4.2) et que 0,6
l’on dispose de deux réparateurs (alors le taux de réparation est 0,4
égal à 2 m).
0,2
Sachant que le système est dans l’état de panne totale 3, les
équations décrivant les états deviennent alors : 0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
⎧ dP0 (t )
⎪ dt = − 2 λP0 (t ) + µP1 (t ) a simulation avec un logiciel

⎪ dP1 (t )
⎨ = + 2 λP0 (t ) − µP1 (t ) + 2 µP2 (t ) 1
Maintenabilité M (t)

⎪ dt 0,8
⎪ dP2 (t )
⎪ = − 2 µP2 (t ) 0,6
⎩ dt
0,4
L’étude de ce système montre que seule la dernière équation est 0,2
suffisante pour calculer P2(t). Sachant que la condition initiale est 0
égale à P2(0) = 1, on obtient : 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
P2 (t ) = exp ( − 2 µt ) b calcul théorique

D’où : Figure 11 – Courbes théorique et simulée avec logiciel dédié de M(t)

M (t ) = 1 − P2 (t ) = 1 − exp ( − 2 µt )

Pour les systèmes complexes, il faut faire appel à des logiciels Onduleur 1 Onduleur 2 Onduleur 3
spécialisés (cf. [Doc. S 8 250v2]) et la figure 11 montre les courbes

2l

0 1 2 Voteur
2/3
m 2m

Figure 10 – Graphe de Markov pour le calcul de la maintenabilité M(t) Figure 12 – Système industriel avec trois onduleurs avec vote en 2/3

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


S 8 253 – 6 est strictement interdite. – © Editions T.I.

SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

Blocs-diagrammes de fiabilité

par Jean-Pierre SIGNORET


Spécialiste en sûreté de fonctionnement

Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE puis de
l’AFNOR
Chef de projet de la norme IEC 61078 « Diagrammes de fiabilité »
Membre de TOTAL professeurs associés
64160 SEDZERE, France

1. Considérations générales sur les diagrammes de fiabilité ...... SE 4 074 - 3


2. Hypothèses principales et bases mathématiques des BDF...... — 3

3. Analogie électrique et notions de chemin de fermeture


et de coupe minimale.......................................................................... — 6
3.1 Analogie électrique.................................................................................. — 6
3.2 Chemins de fermeture............................................................................. — 6
3.3 Chemins de coupure ou coupes ............................................................. — 6
3.4 Analyse qualitative par les coupes minimales ...................................... — 7
4. Calculs probabilistes statiques ........................................................ — 8
4.1 Considérations générales sur les calculs probabilistes........................ — 8
4.2 Calcul de probabilité des structures séries et parallèles ...................... — 9
4.3 Formule de Sylvester-Poincaré............................................................... — 9
4.4 Analyse semi-quantitative et facteur d’importance de Vesley-Fussel. — 10
4.5 Traitement des grands systèmes ........................................................... — 11
4.6 Notion de système non cohérent ........................................................... — 13
5. Calculs probabilistes en fonction du temps................................. — 13
5.1 Considérations générales sur l’introduction du temps ........................ — 13
5.2 Disponibilité d’un système modélisé par BDF ...................................... — 14
5.3 Fréquence de défaillance d’un système modélisé par BDF ................. — 16
5.4 Calculs de fiabilité d’un système modélisé par BDF............................. — 18
6. Prise en compte des incertitudes.................................................... — 20
7. Prise en compte des dépendances.................................................. — 21
7.1 Considérations générales sur les dépendances.................................... — 21
7.2 Dépendances entre quelques blocs ....................................................... — 21
7.3 BDF dynamiques et réseaux de Petri pilotés par BDF .......................... — 22
8. Conclusion ............................................................................................. — 23
9. Glossaire ................................................................................................. — 24
Pour en savoir plus ........................................................................................ Doc. SE 4 074

our discuter ou s’éclaircir les idées, quel ingénieur n’a pas, un jour ou
P l’autre, représenté rapidement un système en traçant des rectangles et des
lignes pour en visualiser les composants et les relations entre lesdits
composants ? Cette approche populaire et intuitive remonte à la nuit des temps
et la littérature ne semble pas avoir retenu le nom de son inventeur. Lorsqu’elle
est utilisée pour modéliser les relations logiques existant entre les états de bon
fonctionnement des composants (appelés « blocs ») d’un système et l’état de
bon fonctionnement du système lui-même, elle prend le nom de
bloc-diagramme de fiabilité (BDF) ou de diagramme de fiabilité tout court.
Les BDF font partie de la panoplie des méthodes couramment mise en œuvre
p。イオエゥッョ@Z@ヲ←カイゥ・イ@RPQW

dans le domaine de la sûreté de fonctionnement (arbres de défaillances,

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 074 – 1

SW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________

arbres d’événements, graphes de Markov, réseaux de Petri, etc.). Tout comme


les arbres de défaillances (ADD), les BDF font partie des approches statiques
et booléennes car elles modélisent des structures logiques indépendantes du
temps. De ce fait, elles s’intéressent à des composants/systèmes à deux états
(par exemple : marche et panne, bon fonctionnement/défaillant). ADD et BDF
partagent les mêmes mathématiques sous-jacentes mais, alors que l’ADD
décrit la défaillance d’un système, le BDF, lui, décrit son bon fonctionnement.

Q Ainsi, un BDF peut toujours être traduit en ADD et réciproquement : les deux
approches sont dites duales.
Du point de vue qualitatif, les BDF sont à la base du concept fondamental
de coupe minimale : ensemble de blocs en panne nécessaires et suffisants
pour entraîner la panne du système.
Du point de vue quantitatif, les BDF permettent, essentiellement, de cal-
culer la probabilité de bon fonctionnement du système en fonction des
probabilités de bon fonctionnement des blocs lorsque celles-ci sont
constantes. Cependant, lorsque les blocs évoluent indépendamment les uns
des autres au cours du temps, il est possible de calculer la probabilité de bon
fonctionnement du système à un instant t (c’est-à-dire sa disponibilité à cet
instant t) en fonction des probabilités de bon fonctionnement des blocs à cet
instant t (c’est-à-dire des disponibilités des blocs). Il en est de même pour la
fréquence de défaillance du système à un instant t.
Paradoxalement, au vu du nom de l’approche, le calcul de la fiabilité du
système (probabilité de bon fonctionnement sur une durée [0, t]) n’est pas pos-
sible en général à partir des fiabilités de ses blocs. Cependant, dans des cas
particuliers, de bonnes approximations peuvent être obtenues.
Pendant longtemps, l’utilisation des BDF comme celle des ADD a été limitée
par l’explosion combinatoire du nombre de coupes minimales et la durée des
calculs évoluant exponentiellement avec le nombre de blocs/événements
répétés plusieurs fois dans le même BDF/ADD. Ces limitations ont sauté depuis
la mise en œuvre des diagrammes de décision binaires (DDB) qui per-
mettent de traiter très rapidement des BDF ou des ADD relatifs à des systèmes
industriels de grande taille (c’est-à-dire de plusieurs centaines de composants).
En outre, les DDB ont ouvert la voie aux calculs de probabilités condition-
nelles et de facteurs d’importance, à la propagation des incertitudes sur
les données par simulation de Monte Carlo et au traitement des systèmes
dits « non cohérents » difficiles à traiter avec les méthodes antérieures.
D’autre part, les BDF peuvent être utilisés pour combiner des processus de
Markov (processus de Markov pilotés par BDF) ou des réseaux de Petri
stochastiques (réseaux de Petri pilotés par BDF). Dans ce cas, le comporte-
ment des blocs est modélisé par processus de Markov (respectivement
réseaux de Petri) individuels et indépendants les uns des autres et la logique
de combinaison est fournie par le BDF.
Lorsque les blocs ne sont pas indépendants, les BDF peuvent être étendus
aux BDF dynamiques (BDFD), mais le traitement analytique doit alors être
abandonné au profit de la simulation de Monte Carlo. Les réseaux de Petri
pilotés par BDF peuvent être utilisés à cet effet.
Cet article se propose de décrire la symbolique graphique des BDF,
d’explorer les divers aspects évoqués ci-dessus et de donner des exemples
pédagogiques d’utilisation.

SE 4 074 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

____________________________________________________________________________________________________ BLOCS-DIAGRAMMES DE FIABILITÉ

Notations et symboles 1. Considérations générales


Symbole Unité Description sur les diagrammes
X Entité (bloc ou système) concernée
de fiabilité
États de marche, panne de l’entité X
Variable d’état de l’entité X


x
Le bloc-diagramme de fiabilité (BDF), aussi appelé
Chemin minimal de fermeture, diagramme de fiabilité, est défini de la manière suivante par la
Cfi , Cci norme internationale IEC 61078 qui lui est consacrée : représen-
chemin minimal de coupure
tation graphique logique d’un système montrant dans quelle
Chemin de coupure contenant la mesure les états de bon fonctionnement de ses sous-entités
panne de Bj (représentées par des blocs) et leurs combinaisons affectent
λX(t ) h–1 Taux de défaillance de l’entité X l’état de bon fonctionnement du système.

Taux de défaillance de Vesely de


λV,X(t ) h–1 Nota : cette définition diffère de celle donnée par le vocabulaire électrotechnique
l’entité X international IEV 192 qui parle de fiabilité au lieu d’état de bon fonctionnement.
Cette distinction est importante car, dans le cas général et au sens mathématique du
NX(t ) Nombre de défaillances de X sur [0, t] terme, le diagramme de fiabilité ne permet pas de calculer la fiabilité du système en fonc-
tion des fiabilités de ses composants, mais seulement sa disponibilité en fonction des
Intensité inconditionnelle disponibilités de ses composants. Comme il s’agit d’une source récurrente d’erreur, cela
de défaillance de l’entité X est expliqué en détail dans le cours de l’article.
w X(t) h–1
(fréquence de défaillance entre t et
t + dt) La figure 1 présente les structures de base utilisées pour repré-
senter les BDF :
fX(t ) h–1 Densité de défaillance de l’entité X
– la structure série modélise un système S1 qui fonctionne si les
Pr(.) Probabilité blocs A et B fonctionnent ;
– la structure parallèle modélise un système S2 qui fonctionne
AX(t ) Disponibilité instantanée de l’entité X si les blocs C ou D fonctionnent ;
Disponibilité asymptotique et – la structure vote majoritaire (avec r = 2 et m = 3) modélise un
disponibilité moyenne de l’entité X système S3 qui fonctionne si au moins deux blocs parmi trois
fonctionnent.
RX(t ) Fiabilité de l’entité X
Les approches par BDF et par arbres de défaillances (voir
IEC 61025, [SE 4 050]) sont des méthodes duales : alors que le BDF
modélise la bonne marche d’un système, l’arbre de défaillances
Sigles modélise comment il tombe en panne. La figure 2 donne les équi-
valences permettant de passer du BDF à l’arbre de défaillances
Acronyme Description équivalent et vice-versa. Il en résulte que les développements
mathématiques présentés dans cet article sont aussi pertinents
ADD Arbre de défaillances ; Fault tree (FT) pour les arbres de défaillances. Il en est de même pour les arbres
BDF Bloc-diagramme de fiabilité ; Reliability block d’événements qui font également partie des approches boo-
diagram (RBD) léennes.
À l’aide des structures logiques très simples ci-dessus, il est pos-
DDB Diagramme de décision binaire ; Binary decision sible, par exemple, de modéliser un système instrumenté de sécu-
diagram (BDD) rité typique comme celui illustré sur la figure 3. Trois capteurs, A,
GRIF Logiciel graphique interactif pour les calculs de B et C, mesurent la pression du réservoir et ils envoient leurs
fiabilité ; Graphical interface for reliability mesures à un automate, D, qui, lorsque deux capteurs sur les trois
forecasting indiquent un dépassement de seuil, commande aux deux vannes
de sécurité, E et F, de se fermer afin de couper l’alimentation du
MRT Temps moyen de réparation ; Mean repairing réservoir.
time. Il inclut les délais administratifs, l’attente
Il est à remarquer que la structure logique du BDF est différente
des réparateurs et le temps de réparation
de l’architecture matérielle du système modélisé. En effet, les deux
proprement dit
vannes en série du point de vue physique sont en fait redondantes
MTTR Temps moyen de restauration ; Mean time to et donc en parallèle du point de vue fonctionnel.
restore. Il inclut le délai de détection de la panne
en plus du MRT
PFDavg Probabilité de défaillance à la demande
moyenne ; Average probability of failure on
2. Hypothèses principales
demand et bases mathématiques
PFH Fréquence moyenne de défaillance ; average
failure frequency (probability of failure on des BDF
demand)
Du point de vue mathématique, un BDF est un graphe orienté
RdP Réseau de Petri ; Petri nets (PN)
acyclique, c’est-à-dire qu’il a une entrée et une sortie et ne com-
TTF Temps avant défaillance ; Time to fail porte ni boucles ni rétroactions. Il est basé sur les hypothèses fon-
damentales suivantes :
MTTF Temps moyen avant défaillance ; Mean time to
1) le système a seulement deux états (par exemple :
fail
marche/panne) ;

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 074 – 3

SY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________

Blocs C E

A B F 2/3

Q Système S1
D
S2 G S3

Structure série Structure parallèle Structure vote majoritaire r/m

Figure 1 – Principales structures logiques graphiques relatives aux BDF

S1 S2 S3
Porte OU Porte ET Porte k/m
(k = m – r + 1)
+ • 2/3
Défaillance
du bloc

A B C D E F G

Structure série Structure parallèle Structure vote majoritaire r/m

Figure 2 – Équivalence entre les structures logiques des BDF et les portes logiques des arbres de défaillances

Solveur
logique Capteurs
A de pression

D B
Capteurs Solveur Vannes
C de pression logique de sécurité
Réservoir

A E

Alimentation
B 2/3 D

E F C F

Vannes
de sécurité

Figure 3 – Modélisation par BDF d’un système instrumenté de sécurité typique

2) les blocs ont seulement deux états (par exemple : Carlo (voir IEC 62551, [SE 4 072] [10]) ou les BDF dynamiques (IEC
marche/panne) ; 61078) peuvent résoudre le problème.
3) le BDF représente la fonction logique reliant l’état de marche Selon les hypothèses n° 1 et n° 2, l’état d’une entité X (système
du système aux états de marche de ses blocs ; ou bloc) peut être caractérisé par une variable x à deux valeurs,
4) les blocs sont indépendants les uns des autres. {« X en marche », « X en panne »}. Ces deux valeurs sont complé-
mentaires car si X n’est pas en marche, c’est qu’elle est en panne
Nota : le point 4) implique, en particulier que les blocs se comportent indépendam- et réciproquement. La variable x possède donc toutes les caracté-
ment les uns des autres au cours du temps.
ristiques d’une variable booléenne (voir encadré) et si l’événement
Les deux états des blocs ou du système peuvent aussi être dési- « X en marche » est dénoté par X, alors l’événement complémen-
gnés par succès/échec, bon fonctionnement/défaillant, dispo- taire « X en panne » est dénoté par .
nible/indisponible, etc. Lorsque les hypothèses ci-dessus sont C’est pourquoi les BDF font partie des approches dites boo-
remplies, les calculs peuvent être menés par voie analytique. léennes. Ils modélisent graphiquement la fonction logique
Lorsque l’hypothèse n° 4 n’est pas tenue, les approches marko- sous-jacente reliant l’état de bon fonctionnement du système aux
viennes [SE 4 071], les réseaux de Petri et la simulation de Monte états de bon fonctionnement de ses blocs.

SE 4 074 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

____________________________________________________________________________________________________ BLOCS-DIAGRAMMES DE FIABILITÉ

Algèbre de Boole et fonctions logiques Algèbre de Boole et fonctions logiques

L’algèbre de Boole est constitué de l’ensemble Enfin, il est nécessaire de citer les lois de De Morgan qui
B = {vrai, faux} aussi noté {1, 0} ou dans l’application permettent d’inverser les formules :
qui nous concerne.
Une variable booléenne x est une variable qui prend l’une
des deux valeurs ci-dessus. Ainsi, dans cet article, l’événe-
ment X = « X en marche » est équivalent à x = 1 et l’événe-
ment = « X en panne » est équivalent à x = 0.
Avec les bases mathématiques ci-dessus, il est possible de
pratiquer toutes les manipulations mathématiques nécessaires
à la mise en œuvre des BDF ainsi, d’ailleurs, que des arbres de

L’algèbre de Boole comporte trois opérateurs de base : défaillances.
Une fonction logique est une fonction de variables boo-
– négation, NON : (NON a) est vraie si a est faux et récipro- léennes qui, elle-même, a des valeurs booléennes. Considé-
quement. Cela se note aussi par NOT a, , ¬a, ~a, – a, a′ selon rons, par exemple, la figure 1 :
les auteurs et les applications. Mais, attention, il ne s’agit pas – s1 = f (a, b) = a · b représente la structure série. En effet, si
d’un opérateur de soustraction ; on remplace a et b par leurs valeurs {1, 0} on trouve que s1 est
– conjonction, ET : (a ET b) est vrai si et seulement si a est égale à 1 si a et b sont égales à 1 et que s1 est égale à 0 dans
vrai et b est vrai, les variables a et b étant booléennes et cela toutes les autres configurations des valeurs de a et b ;
se note aussi par a AND b, a ∩ b, a · b selon les auteurs et les – s2 = g (c, d ) = c + d représente la structure parallèle. En
applications ; effet, si on remplace a et b par leurs valeurs {1, 0} on trouve
que s1 est égale à 0 si a et b sont égales à 0 et que s1 est égale
– disjonction (non exclusive), OU : (a OU b) est vrai si et à 1 dans toutes les autres configurations des valeurs de a et b.
seulement si a est vrai ou b est vrai, les variables a et b étant
Si on applique les lois de De Morgan à s1 et s2 on obtient :
booléennes. Cela se note aussi par a OR b, a ∪ b, a + b selon
les auteurs et les applications. Il est à noter qu’il existe aussi
une disjonction exclusive qui n’est vraie que si a ou b sont
vrais mais pas simultanément.
Le OU a les mêmes propriétés que l’addition de l’algèbre Cela permet d’illustrer la dualité existant entre (OU, +) et
ordinaire et le ET celles de la multiplication. C’est pourquoi, (ET, ·). C’est cette propriété qui permet de passer d’un BDF
par commodité, on les représente aussi habituellement par les (modélisant le bon état de marche du système en fonction du
signes « + » et « · ». En particulier le OU et le ET sont commu- bon état de marche des blocs) à un arbre de défaillances
tatifs, associatifs et le OU est distributif par rapport au ET et (modélisant l’état de panne du système en fonction de l’état
réciproquement : de panne de ses composants).
– commutativité :
À partir des éléments développés dans l’encadré, il est possible
de généraliser les formules logiques correspondant aux structures
séries et parallèles :
– associativité : – structure comportant n blocs A1, A2, ... An en série :
(1)
– structure comportant m blocs C1, C2, ... Cm en parallèle :

– distributivité : (2)
À partir des mêmes éléments, la formule logique représentant la
structure 2/3 se met sous la forme s3 = h (e, f, g) = e · f + e · g + g · f
où s3 est égal à 1 si au moins deux sur trois des variables e, f et g
Ce qui distingue l’algèbre de Boole de l’algèbre ordinaire, ce sont égales à 1. On remarque que dans cette formule, chacun des
sont les propriétés de base suivantes : blocs est répété deux fois. Cela pose des problèmes de calcul qui
sont explicités dans le cours de l’article.
– idempotence :
L’application des lois de De Morgan puis le développement de la
formule obtenue conduisent à :

– absorption :

a + b ⋅ a = a et a ⋅ b ⋅ a = a ⋅ b D’où :

– complémentarité :
Donc cette structure est symétrique ; elle est en panne quand au
moins deux blocs sur trois sont en panne.
La figure 4 montre la modélisation par BDF d’un petit système
– éléments neutres : de pompage et la transformation en formule logique en utilisant
les conventions ci-dessus du BDF correspondant.
Le système est formé d’une vanne V1 en série avec deux trains
– involution : redondants (fonctions en parallèle) : le train n° 1 qui comporte
deux pompes à 50 % de capacité et le train n° 2 qui comporte une
pompe à 100 % de capacité. À noter que pour perdre le train n° 1,

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 074 – 5

TQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWT

BLOCS-DIAGRAMMES DE FIABILITÉ ____________________________________________________________________________________________________

P1 (50 %) Train 1
P1 P2 V2

Train 1
P2 (50 %) V1
V2


Train 2
P3 V3
V1 P3 (100 %) V3

Train 2 s = v1 · (p3 · v3 + p1 · p2 · v2)

Figure 4 – Exemple de transformation de BDF en formule logique

il suffit de perdre l’une ou l’autre des pompes P1 ou P2 et il en


résulte que ces deux pompes en parallèle du point de vue phy- Interrupteur Interrupteur
sique sont en série du point de vue fonctionnel logique. fermé ouvert
La formule logique sous-jacente au BDF permet de représenter
l’état, s, du système en fonction des états, v1 , v2 , v3 , p1 , p2 et p3
des différents composants. La correspondance entre les liaisons
graphiques du BDF et les opérateurs « · » (ET) et « + » (OU) est
indiquée par des doubles flèches.
A A

a=1 a=0

3. Analogie électrique A = bloc A en marche A = bloc A en panne

et notions de chemin Figure 5 – Représentation des états d’un bloc sous forme
d’interrupteur
de fermeture et de coupe
minimale
Source Circuit fermé Ampoule
3.1 Analogie électrique électrique allumée

Les variables à deux états évoquées ci-dessus font penser aux P1 P2 V2


deux états d’un interrupteur électrique qui peut être fermé ou
ouvert. D’où l’idée de représenter les blocs par des interrupteurs. V1
Cela est illustré sur la figure 5 où un bloc en bon état de marche
est modélisé par un interrupteur fermé et un bloc en panne par un P3 V3
interrupteur ouvert. Le BDF représentant un système devient ainsi
un circuit électrique. Lorsque ce circuit est fermé, cela signifie que Figure 6 – BDF et analogie électrique
le système fonctionne (s = 1) et quand le circuit est ouvert qu’il est
en panne (s = 0). C’est ce qui est illustré sur la figure 6.
Plus généralement, l’état de marche S d’un système S peut être
représenté par l’union de ses chemins de fermeture :
3.2 Chemins de fermeture
L’intérêt de cette représentation est de trouver comment le sys- (3)
tème représenté par le BDF est en marche, et donc chercher les
configurations d’interrupteurs maintenant ce circuit électrique
fermé. Ces configurations sont appelées chemins de fermeture Il en résulte qu’un BDF peut être remplacé par un BDF équivalent
(tie sets) ou chemins de succès du système. où les chemins de fermeture sont mis en parallèle comme cela est
représenté sur la droite de la figure 9.
La figure 7 représente deux de ces chemins :
– le chemin Cf2 est dit « minimal » car tous les blocs en bon état
de marche sont nécessaires et suffisants pour que le système soit
en marche. Toute défaillance supplémentaire entraîne l’ouverture 3.3 Chemins de coupure ou coupes
du circuit (donc la défaillance du système) ;
– le chemin Cf1 n’est pas minimal car l’état de marche des blocs L’intérêt de cette représentation est aussi de trouver comment le
P2 ou V2 n’est pas nécessaire : que les blocs P2 ou V2 soient en système représenté par le BDF est en panne en recherchant les
marche ou en panne ne change rien à la situation. Le chemin Cf1 configurations d’interrupteurs coupant ce circuit électrique. Ces
est inclus (cf. encadré) dans le chemin Cf3 = V1 · P3 · V3 qui lui, est configurations sont appelées chemins de coupure ou, en bref,
minimal. coupes.

SE 4 074 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

TR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
beYXQT

Sécurité฀en฀cryogénie

par Éric฀ERCOLANI
Ingénieur,฀responsable฀du฀Laboratoire฀calculs฀et฀conception฀cryogéniques
Service฀des฀basses฀températures,฀Institut฀nanosciences฀et฀cryogénie,฀CEA฀Grenoble

Philippe฀GULLY
Ingénieur-chercheur
Service฀des฀basses฀températures,฀Institut฀nanosciences฀et฀cryogénie,฀CEA฀Grenoble
Jean-Marc฀PONCET
Ingénieur,฀adjoint฀au฀chef฀du฀Service฀des฀basses฀températures
Service฀des฀basses฀températures,฀Institut฀nanosciences฀et฀cryogénie,฀CEA฀Grenoble
Chantal฀MEURIS
Ingénieur-chercheur
Service฀des฀accélérateurs,฀de฀cryogénie฀et฀de฀magnétisme,฀Institut฀de฀recherche฀sur฀les฀lois
fondamentales฀de฀l’Univers,฀CEA฀Saclay
et Laurent฀MIQUET
Ingénieur฀sécurité
Institut฀nanosciences฀et฀cryogénie,฀CEA฀Grenoble

1. Sécurité฀conventionnelle฀en฀cryogénie฀et฀en฀exploitation........ BE 9 814 - 3
1.1 Stockage, manipulation, manutention .................................................... — 3
1.2 Explosion ................................................................................................... — 3
1.3 Brûlures...................................................................................................... — 4
1.4 Anoxie ........................................................................................................ — 4
2. Entrées฀de฀chaleur฀accidentelles ...................................................... — 5
2.1 Objectif ....................................................................................................... — 5
2.2 Systèmes à protéger................................................................................. — 5
2.3 Situations accidentelles et entrées de chaleur ....................................... — 5
3. Méthode฀de฀dimensionnement฀de฀l’organe฀de฀sécurité ............. — 9
3.1 Présentation............................................................................................... — 9
3.2 Définitions.................................................................................................. — 10
3.3 Débit de décharge de l’organe protégeant un réservoir ou un circuit .. — 11
3.4 Débit de décharge de l’organe protégeant une enceinte à vide ........... — 14
3.5 Enthalpie massique et pression en amont de l’organe de sécurité ...... — 14
3.6 Pression en aval de l’organe de sécurité ................................................ — 15
3.7 Section minimale de passage de l’organe de sécurité .......................... — 15
3.8 Recommandations .................................................................................... — 16
4. Conclusion............................................................................................... — 17
Pour฀en฀savoir฀plus ........................................................................................ Doc. BE 9 814

es฀dangers฀de฀la฀cryogénie฀sont฀principalement฀issus฀de฀la฀présence฀de฀fluides
L à฀l’état฀liquide฀et฀à฀basse฀température฀dans฀des฀réservoirs฀ou฀des฀tuyauteries.
Ces฀ systèmes฀ contiennent฀ une฀ quantité฀ de฀ fluide฀ qui,฀ réchauffée฀ à฀température
ambiante,฀ occupe฀ un฀ volume฀ très฀ supérieur.฀ À฀ titre฀ d’exemple฀ un฀ seul฀ litre
d’hélium฀liquide฀occupe฀environ฀780฀L฀à฀300฀K฀et฀pression฀atmosphérique.
Ces฀dangers,฀tels฀que฀l’anoxie,฀l’explosion฀et฀les฀brûlures,฀existent฀en฀exploi-
tation฀ dans฀ différentes฀ situations฀ (stockage฀ et฀ manipulation฀ de฀ fluides
cryogéniques).฀ Les฀ situations฀ accidentelles฀ qui฀ conduisent฀ à฀ des฀ entrées฀ de
chaleur฀accidentelles฀provoquent฀une฀montée฀en฀pression฀souvent฀très฀rapide
des฀ appareils฀ constituant฀ le฀ système.฀ Ces฀ systèmes฀ doivent฀ être฀ équipés฀ d’un
organe de sécurité฀(soupape,฀clapet฀ou฀disque฀de฀rupture)฀afin฀de฀limiter฀la฀sur-
p。イオエゥッョ@Z@。カイゥャ@RPQU

pression.฀ En฀ l’absence฀ d’organes฀ de฀ sécurité,฀ l’appareil฀ sous฀ pression฀ peut

Copyright © – Techniques de l’Ingénieur – Tous droits réservés BE฀9฀814฀–฀1

TS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
beYXQT

SÉCURITÉ EN CRYOGÉNIE ____________________________________________________________________________________________________________

atteindre฀des฀niveaux฀de฀pression฀considérables฀de฀plusieurs฀centaines฀de฀bars
(par฀exemple฀480฀bar฀pour฀un฀réservoir฀d’hélium฀ou฀d’azote฀à฀moitié฀rempli฀de
liquide),฀avec฀les฀conséquences฀d’explosion฀que฀l’on฀peut฀imaginer.
Il฀est฀donc฀absolument฀indispensable฀de฀prendre฀en฀compte฀la฀sécurité฀dès฀la
conception฀ de฀ tout฀ système฀ cryogénique.฀ Cet฀ article฀ présente฀ les฀ éléments฀ de
sécurité฀ dans฀ les฀ phases฀ d’exploitation,฀ mais฀ aussi฀ en฀ situations฀ accidentelles
pour฀tout฀système฀cryogénique฀mettant฀en฀œuvre฀un฀fluide฀à฀basse฀température.
Q Dans฀le฀même฀cadre,฀se฀reporter฀aux฀articles฀:
– [BE฀9฀811]฀Propriétés฀des฀matériaux฀à฀basse฀température฀;
– [BE฀9฀812]฀Transfert฀de฀chaleur฀à฀très฀basse฀température฀;
– [BE฀9฀816]฀Liquéfaction฀de฀l’hélium฀et฀réfrigération฀à฀l’hélium฀;
– [BE฀9฀817]฀Refroidissement฀à฀température฀>฀1฀K.

Notations฀et฀symboles฀ Notations฀et฀symboles฀(suite)
Symbole Unité Définition V m · s–1 Vitesse du fluide
A m2 Section minimale de passage ∆h J · kg–1 Variation d’enthalpie
de l’organe de sécurité ∆P Pa Chute de pression ou perte de charge
cP J · K–1 · kg–1 Capacité thermique massique α – Dilatation volumique à pression
à pression constante constante
G kg · s–1 · m–2 Vitesse massique du fluide φ W · m–2 Densité de flux de chaleur
(densité de flux de masse)
ρ kg · m–3 Masse volumique du fluide
h J · kg–1 Enthalpie massique du fluide
cryogénique
cryogénique
hconv W · m–2 · K–1 Coefficient de transfert de chaleur Indices

h ℓv J· kg–1 Chaleur latente de vaporisation 0 Conditions dans l’appareil pour le dimensionnement


du fluide 1 Amont immédiat de l’organe de sécurité
Kd – Coefficient de décharge 2 Aval immédiat de l’organe de sécurité
m
ɺ kg · s–1 Débit-masse de décharge aval Aval de la brèche
N % Niveau de liquide dans un réservoir breche
P Pa Pression absolue breche Brèche entre l’enceinte à vide et l’appareil
sous pression
Patm Pa Pression atmosphérique
col Col de la tuyère
Pc Pa Pression critique du fluide
cryogénique dech Ligne de décharge (tuyauterie reliant l’appareil
sous pression à l’organe de sécurité)
Pext Pa Pression absolue à l’extérieur
de l’appareil à pression dech฀int Partie de la ligne de décharge placée à l’intérieur
de l’enceinte à vide
PS Pa Pression relative maximale
admissible de l’appareil à pression dech฀ext Partie de la ligne de décharge placée à l’extérieur
de l’enceinte à vide
Pseuil Pa Pression absolue d’éclatement
d’un disque de rupture ou de début echap Échappement
d’ouverture d’une soupape H2 Hydrogène
ou d’un clapet
i Instant initial
Pt Pa Pression de tarage de l’organe
de sécurité (pression relative) ℓ Liquide
Qɺ W Puissance thermique N2 Azote
s J · K–1 · kg–1 Entropie massique du fluide Ne Néon
cryogénique res Réservoir ou circuit
S m2 Surface d’échange s Entrée de la ligne de décharge (sortie du système)
t s Temps sat Saturation
T K Température sat0 Saturation à la pression P0
Tc K Température critique du fluide
son Condition sonique
cryogénique
T Température constante
v m3 · kg–1 Volume massique du fluide
cryogénique v Vapeur

BE฀9฀814฀−฀2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
beYXQT

_____________________________________________________________________________________________________________ SÉCURITÉ EN CRYOGÉNIE

1. Sécurité฀conventionnelle฀
en฀cryogénie
Disque Limiteur de
de rupture pression
(6 bar)
et฀en฀exploitation
réglable
Indicateur
de niveau
transparent Vanne
Dès lors que des fluides cryogéniques sont présents, des règles d’évent / trop-plein


de sécurité sont à respecter. En effet, ces fluides sont considérés Manomètre
comme dangereux, qu’ils soient sous forme liquide ou gazeuse
(1 L d’hélium liquide occupe 780 L de gaz à pression et tempéra- Vanne de
ture ambiantes). Le rapport du volume de gaz évaporé et réchauffé Soupage remplissage
à température et pression ambiantes au volume de liquide est du de sécurité soutirage
même ordre de grandeur pour les autres fluides cryogéniques. (3,9 bar)
Clapet de sécurité
Un risque est la résultante du danger en fonction de son exposi- Vanne de Poignée de
tion. Le cas idéal est donc d’éliminer la source de danger ou de la pressurisation manutention
réduire à son strict minimum. Il est aussi possible de limiter l’expo-
sition du personnel, mais cela n’est pas toujours envisageable. Dans Sonde
Réservoir
ce cas, le préventeur doit mettre en place les barrières collectives de niveau
puis individuelles pour éviter toutes sortes d’accidents lors des
différentes étapes de ce qui peut être appelé « la durée de vie du
fluide », c’est-à-dire lors de son transfert, de son utilisation, de sa LN2 / 200 L Superisolant
manutention ou de la gestion de son stockage. T = 77 K
P = 1 bar abs
Aujourd’hui, il n’existe pas de réglementation française particu-
lière relative à la prévention des risques lors de l’utilisation de ces
fluides, malgré leur dangerosité. Néanmoins, quelques entreprises
ou fournisseurs proposent des formations pour sensibiliser leur
personnel aux risques liés à l’utilisation et au stockage de ces
fluides. Lors de ces formations, il est rappelé qu’un cryogéniste
doit être capable :
– de déterminer la conformité d’un ensemble cryogénique ;
– d’inventorier les risques associés à l’utilisation des fluides ; Embase à roulettes
– de prévenir ces risques par une analyse et une mise en œuvre
adéquate ;
– d’adapter les mesures de prévention et de sécurité ;
Figure฀1฀–฀Schéma฀d’un฀réservoir฀d’azote฀liquide฀de฀laboratoire
– d’avoir les bons réflexes en cas d’anomalies avérées.
En l’absence de réglementation spécifique, des règles de sécurité
exigées dans le code du travail sont appliquées. Elles portent sur : blement au déversement du fluide cryogénique sur l’opérateur,
– l’identification et la caractérisation des risques : brûlure, occasionnant des brûlures.
explosion, anoxie... ; Lors de la manutention avec un outillage, il est préférable d’arri-
– l’évaluation du risque d’anoxie ; mer les stockages ou les appareils sur ces matériels. Les réservoirs
– le port des équipements de protection individuelle (EPI) ; cryogéniques doivent être transportés seuls dans les ascenseurs.
– les procédures de mise en œuvre ; Concernant le stockage des fluides cryogéniques, l’utilisation des
– le transport ; récipients à double paroi dans laquelle un vide inférieur à environ
– la manutention ; 10–4 mbar est réalisé, est recommandée. Cela permet d’éviter les
phénomènes de convection et de conduction gazeuse au sein de la
– les contrôles périodiques ;
double paroi qui pourraient réchauffer le fluide et réduire son auto-
– la formation du personnel. nomie. Cette précaution permet d’éviter la formation de givre sur
la paroi extérieure pouvant conduire à du ruissellement et à
Pour ce faire, les utilisateurs s’appuient sur les directives l’extrême entraîner des brûlures par contact.
européennes 97/23/CE, 89/392/CE, 91/368/CE et 2008/68/CE,
les normes françaises NF EN 13458 et NF EN 1251, et une
disposition nationale, l’arrêté du 21 septembre 1978 (cf. 1.2 Explosion
[doc. BE 9 814]).
L’un des principaux risques à considérer dans toute situation est
celui de l’explosion. C’est le risque principal. Pour réduire ce risque,
les réservoirs à double paroi doivent satisfaire les exigences
1.1 Stockage,฀manipulation,฀manutention de l’article 2 de l’arrêté du 21 septembre 1978 du journal officiel.
Cet article cite :
Les fluides cryogéniques sont considérés comme « matières – au § 2 : « Le récipient intérieur doit être garanti contre un excès
dangereuses » en termes de réglementation du transport. Les de pression par une soupape฀de฀sûreté฀au฀moins. Celle-ci doit lais-
recommandations de l’ADR (european฀ Agreement฀ concerning฀ the ser le gaz s’écouler dès que la pression atteint la pression maxi-
international฀ carriage฀ of฀ Dangerous฀ goods฀ by฀ Road) relatives au male en service et doit suffire à empêcher la pression de dépasser
transport sur route sont préconisées (directive européenne cette limite de plus de 10 % » ;
2008/68/CE). L’identification de réservoirs cryogéniques se fait par – au § 3 : « L’enveloppe extérieure de l’enceinte sous vide doit
l’intermédiaire du pictogramme représenté sur la figure 3a. porter un dispositif de sécurité limitant à 0,5 bar la pression effec-
Lors de toute manipulation de réservoirs cryogéniques tive dans cette enceinte à la suite d’une fuite éventuelle du
(figure 1), il est recommandé de pousser le réservoir, plutôt que de récipient intérieur », soit 0,5 bar au-dessus de la pression atmos-
le tirer, afin d’éviter son renversement. Celui-ci conduirait inévita- phérique dans la plupart des cas.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés BE฀9฀814฀–฀3

TU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
beYXQT

SÉCURITÉ EN CRYOGÉNIE ____________________________________________________________________________________________________________

a réservoir฀ b équipements฀de฀protection฀ c risque฀


de฀fluide฀ individuelle d’anoxie

Q cryogénique

Figure฀3฀–฀Pictogrammes฀utilisés฀pour฀la฀sécurité฀en฀cryogénie

Les pictogrammes relatifs à ces protections sont représentés sur


la figure 3b.
Les mains ne doivent jamais être plongées dans des fluides
cryogéniques, même munies de gants. En cas de nécessité, les
postes de travail doivent être aménagés et équipés des outils
nécessaires (panières, pinces isolantes...). Le contact entre la peau
et une pièce froide peut conduire à un collage.

1.4 Anoxie
Le rejet direct à l’atmosphère d’un fluide cryogénique peut dimi-
nuer le taux volumique d’oxygène dans l’air (21 % en situation nor-
Figure฀2฀–฀Photographie฀d’un฀réservoir฀de฀fluide฀cryogénique male) et conduire à un risque d’anoxie. Cette réduction du taux
à฀col฀ouvert d’oxygène provoque différents symptômes sur l’homme pouvant
aller jusqu’à la perte de connaissance et même la mort. Aussi, tou-
jours à cause du rapport entre le volume occupé par le liquide et celui
Cet arrêté est aussi applicable à toutes les canalisations ou cir- occupé par le gaz à température ambiante, le taux d’oxygène peut
cuits dans lesquels une circulation de fluide cryogénique est pré- baisser très rapidement, en particulier dans les milieux confinés.
vue et où le fluide peut se trouver emprisonné. En particulier, dans
le cas de circuits cryogéniques équipés de vannes de segmenta- Le Canada et les États-Unis donnent des tableaux des effets sur
tion, chaque segment doit être individuellement protégé. l’homme en fonction du taux d’oxygène. Il n’existe pas d’équiva-
lent en Europe. Les valeurs qui suivent sont donc données à titre
Pour les réservoirs à col ouvert (figure 2) qui sont nécessaires par indicatif, en se basant sur des retours d’expériences d’accident ou
exemple pour des transferts par gravité dans les cryoconservateurs, d’incident et des procédures dans certaines entreprises.
l’organe de sécurité prévu pour l’enceinte intérieure peut être l’ori-
fice d’entrée, si et seulement si le réservoir est utilisé avec son bou- Les différents seuils฀de฀taux฀volumiques฀d’oxygène฀dans฀l’air sont
chon d’origine (col lisse et non étanche). L’orifice d’entrée est les suivants :
suffisamment large pour ne pas s’obstruer par formation d’un gla- – 21 % : taux normal ;
çon due à la solidification de la vapeur d’eau présente dans l’air. – taux inférieur à 19 % (seuil 1) : le local ou le bâtiment qui doit
Concernant les réservoirs pour des transferts sous pression être muni d’un détecteur d’anoxie (oxygénomètre) passe en situa-
(figure 1), l’application stricte de l’arrêté du 21 septembre 1978 tion d’alerte-situation limite. Il n’y a pas de risque pour l’individu,
doit également être respectée. mais des mesures de précautions sont à mettre en place (consigne
de sécurité à tenir en cas d’alarme, recherche de fuite, aération des
À noter que la pressurisation de ces réservoirs doit s’effectuer à locaux...). Ce seuil est le seuil de réglage des détecteurs à mettre
l’aide du même gaz que celui contenu et liquéfié dans le réservoir, en place ;
afin d’éviter une solidification pouvant entraîner une surpression – taux inférieur à 17 % (seuil 2) : la situation est dégradée avec
accidentelle par bouchage. L’autopressurisation existant sur des débuts d’effets physiologiques : fatigue, maux de tête, nau-
certains réservoirs reste un procédé réduisant ce risque. sées, vomissement. Ce niveau d’oxygène interdit la présence de
personnel dans ces locaux ;
1.3 Brûlures – taux inférieur à 10 % : la situation devient potentiellement
létale et entraîne la perte de conscience et l’arrêt respiratoire.
La température des fluides cryogéniques peut entraîner, en cas Une étude, s’appuyant sur des calculs prenant en compte les
de mauvaises utilisations, des brûlures thermiques froides dites dimensions du local, son taux de renouvellement d’air neuf (venti-
cryogéniques. Il existe deux sortes de brûlures, celles par projec- lation naturelle ou mécanique), les quantités stockées et le débit de
tion et celles par contact : fuite, est nécessaire lorsqu’il y a présence de fluides cryogéniques
– les brûlures par projection sont dues, soit à des renversements dans un local. Ces calculs peuvent amener à installer des détec-
de liquide, soit à des éclaboussures lors de trempe d’objets dans teurs d’anoxie (oxygénomètres) sur lesquels il est recommandé
l’azote par exemple ; d’asservir les seuils 1 et 2 à des reports sonores ou visuels (en
– les brûlures par contact se produisent lors du toucher d’un fonction de l’ambiance de travail) à l’intérieur des locaux
objet refroidi à basse฀température. concernés (pour indiquer le risque d’anoxie aux personnes dans le
local) mais aussi à l’extérieur de ces mêmes locaux (pour éviter
Pour s’affranchir de ce danger, le port des équipements de pro-
l’entrée d’autres personnes lors d’incidents).
tection individuelle est obligatoire :
– lunettes de sécurité (ou écran facial) pour éviter les projections En cas de risque d’anoxie avéré, seules les personnes équipées
éventuelles dans les yeux ; d’appareil respiratoire isolant peuvent pénétrer dans ces locaux.
– gants (en cuir) et vêtements couvrants ; Une attention particulière doit être apportée pour toutes les
– chaussures fermées. zones en sous-sol, fosses ou fonds de réservoir, car la masse

BE฀9฀814฀–฀4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

TV
Sécurité des systèmes industriels
(Réf. Internet 42830)

1– Sureté de fonctionnement des systèmes industriels R


2– Sécurité des machines Réf. Internet page

Intégration de la sécurité à la conception des machines SE2075 49

Équipements de travail  : sécurité des systèmes programmés S8270 53

3– Méthodes de maintenance

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

TW

TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPWU

Intégration de la sécurité
à la conception des machines


par Philippe LUBINEAU
Responsable ligne de produit Sécurité et Environnement CETIM

1. Rappel sur le contexte réglementaire ................................................ SE 2 075 - 2


1.1 D’où vient la directive ?............................................................................... — 2
1.2 Qu’est-ce qu’une machine ?........................................................................ — 2
1.3 Comment apposer le marquage CE ? ........................................................ — 3
1.4 La normalisation et la présomption de conformité .................................. — 3
2. La documentation .................................................................................... — 4
2.1 La notice d’instructions ............................................................................... — 4
2.2 Le dossier technique.................................................................................... — 4
3. Exigences essentielles de sécurité : mode d’emploi ..................... — 4
3.1 L’analyse des risques................................................................................... — 5
3.2 Le traitement des risques............................................................................ — 6
3.3 Synthèse des exigences essentielles de sécurité ..................................... — 6
Pour en savoir plus ........................................................................................... Doc. SE 2 075

n France, la sécurité des machines a fait depuis longtemps l’objet de diffé-


E rentes réglementations. On peut noter, pour mémoire, les décrets de juillet
1980, qui réglementaient la conception de la plupart des machines-outils. Dans
le cadre de la construction européenne, une harmonisation des différentes
réglementations nationales en vigueur s’est opérée pour aboutir à la rédaction
de la directive « Machines » en 1989.
Cet article à pour objectif de présenter les conditions de mise en œuvre de
la directive « Machines » qui réglemente la sécurité des machines neuves.
Cette directive européenne fixe des objectifs de portée générale, mais ne fait
état d’aucune solution technique, ni de données chiffrées, et en outre s’applique
à des matériels très divers. La directive « Machines » constitue une forme
d’actualisation et de généralisation de l’ancienne réglementation française. Elle
reprend notamment le concept clé d’intégration de la sécurité dès la conception.
Les normes de sécurité constituent des spécifications techniques qui précisent
ces objectifs. Ce sont des outils utiles mais qui restent d’application volontaire.
Le constructeur a donc le choix de la stratégie de prévention à adopter.
Cette liberté dans le choix des moyens à mettre en œuvre peut paraître
inconfortable et être la source d’interprétations diverses concernant la confor-
mité d’un matériel. Néanmoins, c’est une souplesse nécessaire qui permet à
chaque constructeur de déterminer la solution technique la mieux adaptée à son
contexte technico-économique. Un catalogue de solutions précises n’aurait pu
tenir compte de la diversité des situations industrielles réelles, ni du progrès
technique.
Appliquée avec discernement, comme le réclame la directive, la sécurité doit
rester une démarche de bon sens. Elle doit s’intégrer dans le processus de
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPT

conception. Les meilleures solutions de sécurité sont celles qui se fondent, qui
s’intègrent dans la machine en se faisant oublier.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 2 075 − 1

TY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPWU

INTÉGRATION DE LA SÉCURITÉ À LA CONCEPTION DES MACHINES ______________________________________________________________________________

1. Rappel sur le contexte etc., réunis de façon solidaire en vue d’une application définie,
notamment pour la transformation, le traitement, le déplacement
réglementaire et le conditionnement d’un matériau. »
On peut noter quatre points essentiels qui caractérisent une
machine au sens réglementaire :
1.1 D’où vient la directive ? • Une machine est un ensemble de pièces : schématiquement, la
directive (sauf cas particuliers cités au paragraphe « autres pro-
Dès les origines de la Communauté européenne, l’article 100 du duits concernés ») ne s’intéresse pas aux composants ou aux
traité de Rome prévoyait l’adoption de directives visant à rap- sous-ensembles, mais aux équipements.
procher les législations des États membres quant aux aspects ayant • Les pièces doivent être liées entre elles : pour les machines
une incidence directe sur la libre circulation des marchandises. vendues en « kit » la notice devra préciser dans sa notice les ins-
tructions de montage.
Ce système conduisit, dans un premier temps, à un certain nombre

R de directives très spécifiques qui décrivaient, pour un nombre de • Une des pièces doit être mobile : c’est là certainement la carac-
matériels limités, des exigences techniques très détaillées (structure téristique essentielle d’une machine. Les structures mécaniques,
de protection contre les chutes ou le retournement, chariots auto- qui ne présentent aucune pièce en mouvement, sont donc exclues
moteurs, marquage des câbles et chaînes...). Leur application se (échafaudage, rayonnages...).
heurta rapidement à différents obstacles, notamment la nécessité de • Une machine est conçue en vue d’une application définie : ceci
multiplier les textes pour couvrir différents matériels, et le manque implique qu’une fois installés, les équipements concernés doivent
de souplesse des exigences techniques très précises, pour prendre être aptes à assurer leur fonction. La différence est parfois ténue.
en compte l’évolution rapide du progrès technique. La Communauté Ainsi un moteur électrique seul n’a pas d’application définie. Il faut
européenne, relevant ces difficultés, proposa une « nouvelle l’intégrer avec d’autres composants (compresseur, génératrice de
approche ». Désormais, les directives s’adressent à des gammes de courant...). En revanche, un moteur de hors-bord est prêt à l’emploi
produits beaucoup plus larges. Elles fixent uniquement des exigen- car il suffit pour l’utilisateur final de l’assembler sur le bateau.
ces essentielles, c’est-à-dire des objectifs, et non plus des spécifica-
tions détaillées. Les produits mis sur le marché doivent les respecter, En résumé, tout équipement présentant un mécanisme (élé-
et bénéficient de ce fait de la libre circulation. ment mobile) et qui a une application définie est susceptible
La directive « Machines » s’applique aux machines neuves mises d’être une machine au sens de la directive, sans distinction de
sur le marché européen. Par machine neuve, il faut comprendre les son utilisateur final (usage professionnel ou non professionnel).
machines mises pour la première fois sur le marché européen. Son Le champ d’application est donc beaucoup plus large que ce que
but est d’assurer un haut niveau de sécurité à ces machines et de l’on peut entendre par machine dans le vocabulaire courant
permettre leur libre circulation. La directive « Machines » est en fait (tours, fraiseuses, presses...).
la somme de quatre directives (directive de base 89/392/CEE modi- Un ensemble de machines associées de manière solidaire
fiée par les trois directives 91/368/CEE, 93/44/CEE et 93/68/CEE). Tous dans leur fonctionnement est considéré comme une machine.
ces textes ont été compilés sous le numéro 98/37/CE. Cette directive
est devenue d’application obligatoire en janvier 1995, après une Exemples de machines : tour, fraiseuse, pelle hydraulique,
période transitoire de deux ans. moissonneuse-batteuse, rampe ajustable de chargement, éolienne,
Elle a été transposée en droit français et le Code du travail a été transpalette motorisé... Tous ces équipements possèdent au moins un
modifié en conséquence. En résumé, le constructeur de machines élément mobile (broche, bras articulé, dispositif de coupe, bande trans-
retrouvera les même exigences de la directive dans le Code du travail. porteuse, pales...) et une application définie (usinage par enlèvement de
Il convient, enfin, de garder présent à l’esprit que cette directive est copeaux, opération de terrassement, récolte de céréales, manutention,
prise pour permettre l’élaboration d’un marché unique. Par consé- transformation de l’énergie du vent pour une application donnée...).
quent, les exigences imposées par un État pour l’utilisation d’une
machine ou d’un composant de sécurité ne peuvent pas impliquer de ■ Les exclusions
modifications sur les produits par rapport à la directive « Machines ». La directive exclut les machines mues directement par la force
La directive « Machines » (et donc le Code du travail) renvoie à humaine (massicot manuel, transpalette non motorisé), sauf s’il
la normalisation le soin de fournir aux industriels les spécifications s’agit d’un appareil de levage (palan à bras). Mais attention, une
techniques dont ils ont besoin. L’application de ces normes reste machine qui utilise l’énergie humaine accumulée (ressort, gravité,
facultative, mais leur respect donne une présomption de conformité pression) lui reste soumise. La maîtrise du mouvement par l’opé-
à la directive. rateur peut constituer un critère pertinent : est-ce que le mouvement
s’arrête si l’opérateur stoppe son action ?
Pour la France, elle constitue une forme d’actualisation et de
généralisation de la réglementation antérieure (les décrets de juillet ■ Les matériels électriques
1980) par : Une machine présentant des risques d’origine principalement élec-
— l’extension du champ d’application ; trique est couverte exclusivement par la directive « Basse tension »
— le recours systématique à la normalisation ; (73/23/CEE modifiée). Il y a quelques années, la question du cumul
— le développement de la procédure de contrôle préalable ; d’application des directives « Machines » et « Basse tension » était
— le renforcement des obligations formelles par l’élaboration relativement controversée dans la mesure où les risques électriques
d’un dossier technique ; sont traités par les deux textes. Aujourd’hui cette problématique est
— la prise en compte de nouvelles exigences de sécurité. dépassée, car en pratique un équipement répondant aux exigences
Son effet le plus important réside dans la prise en compte des essentielles de nature électrique de la directive « Machines » répond
risques liés à la maintenance et à la mise en œuvre des installa- également aux exigences essentielles de la directive « Basse
tions automatisées. tension ». D’autre part, le fait qu’une machine soit soumise exclusi-
vement à la directive « Basse tension » ne dispense pas, bien sûr, de
traiter les risques d’origine non électrique éventuellement présents.
1.2 Qu’est-ce qu’une machine ? L’origine de cette distinction est la volonté de ne pas remettre en
cause les acquis de la directive « Basse tension », qui autorise la
Selon la directive, est une machine, « un ensemble de pièces ou libre circulation et garantit un haut niveau de sécurité de toute une
d’organes liés entre eux dont au moins un est mobile et, le cas catégorie de matériels, incluant des machines, depuis le milieu des
échéant, d’actionneurs, de circuits de commande et de puissance, années 1970.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 2 075 − 2 © Techniques de l’Ingénieur

UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPWU

______________________________________________________________________________ INTÉGRATION DE LA SÉCURITÉ À LA CONCEPTION DES MACHINES

■ Les autres produits concernés un organisme notifié (et un seul) pour son type de machine, mais
La directive s’applique aussi aux « équipements interchangea- pas obligatoirement dans son pays.
bles », tels les accessoires assemblés par l’opérateur à une machine Ce que l’on nomme « examen CE de type » regroupe en fait trois
pour en modifier la fonction (par exemple un dispositif de levage procédures parmi lesquelles le constructeur peut choisir, selon
monté sur un tracteur), même s’ils ne comprennent pas leur propre qu’il a respecté ou non les normes harmonisées ad hoc :
source d’énergie. Elle concerne aussi les « composants de sécurité »
mis sur le marché isolément pour assurer une fonction de sécurité, — premier cas : l’organisme se borne à accuser réception du
et dont la défaillance mettrait en cause la santé et la sécurité des dossier sans l’examiner ;
personnes (par exemple des barrages immatériels, des boîtiers de — second cas : l’organisme vérifie si les normes ont été correc-
commande bimanuelle). tement appliquées, et fournit au constructeur une attestation d’adé-
quation du dossier technique ;
La directive « Machines » réglemente également quelques
composants qui ne peuvent évidemment prétendre répondre à la — troisième cas : si les normes harmonisées n’ont pas été res-


définition générale d’une machine, ni même d’un équipement inter- pectées, l’organisme procède à un examen CE de type ; il examine
changeable ou d’un composant de sécurité. Il s’agit des accessoires un modèle de la machine et le dossier technique, et fournit au
de levage, des accessoires d’élingage, ainsi que des arbres à cardan constructeur une attestation CE de type. Les machines concernées
et de leurs protecteurs. sont listées à l’annexe IV de la directive (machines à bois, presses...).
Seules les machines répondant aux définitions liées dans cette
■ Le cas des sous-ensembles annexe sont visées.
Un équipement qui ne peut pas fonctionner de manière indé- En France, les principales sociétés de contrôle techniques sont
pendante, et qui est destiné à être intégré dans un ensemble plus également des organismes notifiés (Socotec, Norisko...) de même
complexe, n’est pas visé par la directive. Son fabricant reste soumis que différents organismes (INRS, Ineris, Cetim...).
à l’obligation générale de sécurité et d’information, mais ces pro-
duits n’ont pas à porter le marquage CE au titre de la directive ■ Les ensembles complexes
« Machines » (d’autres directives peuvent néanmoins s’appliquer à
ce sous-ensemble) et doivent être accompagnés d’une déclaration Les fabricants de machines et leurs donneurs d’ordres peuvent
d’incorporation précisant explicitement « que le sous-ensemble être amenés à intervenir dans le cadre de projets de conception et
désigné ne pourra être mis en service avant que la machine dans de fabrication d’ensembles automatisés complexes. Au titre de la
laquelle il sera incorporé ne soit déclarée conforme aux dispositions directive « Machines », « est également considéré comme
de la directive Machines ». « machine » un ensemble de machines qui, afin de concourir à un
même résultat, sont disposées et commandées de manière à être
solidaires dans leur fonctionnement ». Sauf cas particulier, ces
ensembles complexes sont donc soumis à la directive « Machines ».
1.3 Comment apposer le marquage CE ? Généralement, ces projets peuvent mettre en relation plusieurs
partenaires : les fournisseurs des divers équipements, le donneur
C’est le fabricant de la machine, ou son mandataire établi dans d’ordre, des sociétés d’ingénierie.
la Communauté, qui est responsable de la procédure de certifica-
tion. Le marquage CE n’est en aucun cas un label délivré par une Il est important pour le bon déroulement du projet de déterminer
autorité spécifique ou une instance agréée. Le fabricant appose le rapidement qui est le maître d’œuvre de la sécurité, c’est-à-dire
marquage CE sur la machine à l’endroit qu’il souhaite, sous réserve celui qui sera le fabricant au sens réglementaire. En effet, cela peut
que ce marquage soit visible. Généralement, ce marquage est être une société d’ingénierie, un des fournisseurs d’équipements
apposé sur la plaque constructeur. Il doit respecter la caligraphie ou l’utilisateur final lui-même. Ce maître d’œuvre de la sécurité
suivante avec une taille minimale de 5 mm : sera alors responsable du respect de la procédure de certification
relative à l’ensemble. Généralement, un ensemble complexe est
soumis à la procédure d’autocertifcation. Il peut cependant intégrer
des machines elles-mêmes soumises à l’examen CE de type.
Le « fabricant » est celui qui assume la responsabilité de la Il est clair que le maître d’œuvre de la sécurité doit maîtriser la
conception et de la fabrication d’un produit visé par la directive en totalité du projet. Il est très important aussi qu’il se préoccupe de
vue de sa mise sur le marché communautaire en son nom ; à défaut, la sécurité dès la définition des commandes, car il est générale-
toute personne qui met la machine sur le marché prend toute la res- ment difficile de résoudre ces questions après coup. D’autre part,
ponsabilité de la conformité. un ensemble complexe peut intégrer des machines qui seront
L’autocertification est la procédure qui s’applique dans le cas conformes à la directive, et marquées CE par les fournisseurs, mais
général. L’examen CE de type est le cas particulier. également des sous-ensembles qui eux, en revanche, ne sont pas
par définition conformes à la directive. C’est pourquoi il lui est for-
■ L’autocertification tement conseillé de fixer à ses fournisseurs, via les contrats, la
communication des informations qui lui sont indispensables pour
Pour pouvoir procéder à l’apposition du marquage CE, le évaluer les risques, satisfaire aux exigences essentielles de santé
constructeur doit avoir : et de sécurité et constituer sa propre documentation technique.
— conçu et construit sa machine en respectant les exigences
essentielles de sécurité incluant la rédaction de la notice d’instruc-
tions ; 1.4 La normalisation et la présomption
— élaboré le dossier technique ;
— établi la déclaration CE de conformité.
de conformité
Aucune obligation de recourir à une tierce partie n’est imposée. En matière de sécurité des machines, la directive, avec son renvoi
aux normes, donne à la normalisation une place décisive comme
■ L’examen CE de type facteur d’harmonisation technique. Au niveau européen, les orga-
Comme pour l’autocertification, le constructeur doit respecter les nismes de normalisation sont le CEN et le Cenelec. En France, la
exigences essentielles de sécurité et élaborer une documentation normalisation est du ressort de l’Afnor dont dépendent des bureaux
technique mais, avant de pouvoir signer sa déclaration de confor- de normalisation comme l’UNM (Union de normalisation de la
mité, il doit faire appel à un organisme notifié. Le fabricant choisit mécanique).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 2 075 − 3

UQ

UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP

Équipements de travail :
sécurité des systèmes programmés

par Philippe CHARPENTIER


Docteur-ingénieur
Chef du laboratoire Sûreté des systèmes automatisés, Institut national de recherche
et de sécurité (INRS)
et Joseph CICCOTELLI
Docteur ès sciences
Adjoint au chef du département Ingénierie des équipements de travail, INRS

1. Sécurité intégrée à la conception des machines........................ S 8 270 - 2


1.1 Notion de machine ...................................................................................... — 2
1.2 Principe de sécurité intégrée ...................................................................... — 2
1.3 Caractéristiques du dispositif normatif...................................................... — 3
2. Notions fondamentales et principes généraux
de conception sûre .................................................................................. — 5
2.1 De l’entité dangereuse à l’accident : approche normative
du processus accidentel.............................................................................. — 5
2.2 Processus d’appréciation des risques........................................................ — 5
2.3 Évaluation et réduction du risque .............................................................. — 6
3. Prescriptions applicables à la sécurité des systèmes
de commande de machines................................................................... — 9
3.1 Généralités ................................................................................................... — 9
3.2 Prescription selon la norme EN 954-1/ISO 13849-1 .................................. — 9
3.3 Prescription selon la norme CEI 61508 ...................................................... — 13
3.4 Prescription selon la norme CEI 62061 ...................................................... — 15
4. Conclusion ................................................................................................. — 16
Pour en savoir plus ........................................................................................... Doc. S 8 270

e document s’appuie largement sur l’état de la normalisation qui désor-


C mais couvre en grande partie le domaine de la sécurité des systèmes
programmés dans les équipements de travail, et au sein de laquelle les points
de vue, méthodes et outils sont discutés et partagés.
On rappelle tout d’abord les principales caractéristiques de l’approche
normative mise en place dans le cadre de la sécurité intégrée à la conception
d’une machine. Les normes applicables à la sécurité des systèmes de
commande des machines sont ensuite décrites : la norme EN 954-1 dédiée aux
parties relatives à la sécurité des systèmes de commande de machines, la norme
CEI 61508, qui traite de la sécurité fonctionnelle des systèmes de commande à
technologies électriques, électroniques, électroniques programmables et la
norme CEI 62061, déclinaison de la norme CEI 61508 pour la sécurité fonction-
nelle des systèmes de commande de machines. Les évolutions à venir de ces
référentiels sont exposées.
Le dossier se conclut sur une proposition argumentée de l’INRS pour la
détermination du référentiel à utiliser, en fonction des choix de conception,
pour la réalisation des fonctions de sécurité d’une machine.
p。イオエゥッョ@Z@ェオゥョ@RPPV

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 270 − 1

US
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP

ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS __________________________________________________________________________

1. Sécurité intégrée
à la conception Signalisation, Organes de service
des machines affichage,
avertissements
Appareils de
commande

Parallèlement à l’évolution du progrès technique et de l’indus- Système


trialisation, la prévention des risques professionnels [1] [2] s’est de Mémorisation et traitement
considérablement développée tout au long du XXe siècle [3]. La commande logique ou analogique des informations
normalisation associée à ce domaine relève d’un programme
intitulé « Hygiène et sécurité au travail » ; celui-ci couvre un large


champ puisqu’il intéresse la quasi-totalité des équipements utilisés Capteurs
au travail dans les diverses branches professionnelles de la vie Dispositifs de
économique. De fait, les travaux normatifs font appel à des protection
Préactionneurs
domaines scientifiques et techniques multiples – sciences pour (contacteurs, distributeurs,
l’ingénieur, sciences humaines et sociales, sciences de la vie. Nous variateurs de vitesse...)
limitons ici notre propos au domaine technique des machines et
systèmes de production automatisés.
Protecteurs
Actionneurs
Les notions fondamentales, les principes généraux et les métho- (moteurs, vérins)
dologies découlant du concept de « sécurité intégrée » ont fait Partie
l’objet depuis les années 1980 de multiples débats, réflexions et opérative
études. Ces travaux, issus d’un large consensus européen, ont
abouti à l’adoption de nombreux textes qui non seulement ne Éléments de transmission
peuvent être ignorés, mais qui doivent avantageusement guider Éléments de travail
les développements des concepteurs.

Nous rappelons ici ces notions et principes généraux de pré-


Interface opérateur-machine
vention dans leur contexte normatif.

Figure 1 – Représentation schématique d’une machine


(d’après EN ISO 12100-1)
1.1 Notion de machine

Selon son métier, sa formation de base, son expérience, le terme 1.2 Principe de sécurité intégrée
« machine » n’a pas le même sens pour chaque individu (ou
groupe d’individus). Sa définition « normalisée » est donnée dans
le texte de la directive 98/37/CE, dite directive « Machines ». Il est 1.2.1 Genèse
repris par la norme EN ISO 12100-1 où une machine est définie
comme étant « un ensemble de pièces ou d’organes liés entre eux C’est au début des années 1980 que le principe d’intégration de
dont au moins un est mobile et, le cas échéant, d’actionneurs, de la sécurité à la conception des machines fut formellement édicté –
circuits de commande et de puissance, etc., réunis de façon soli- dans des dispositions législatives nationales (loi 76-1106 du
daire en vue d’une application définie, notamment pour la trans- 6 décembre 1976 et décrets 80-542, 543 et 544 du 15 juillet 1980 [4])
formation, le traitement, le déplacement et le conditionnement – et prit réellement place en France. Auparavant, les situations
d’un matériau ». jugées dangereuses étaient plutôt corrigées chez (et par) l’uti-
lisateur après réception de l’équipement. Pour limiter les risques
Un « ensemble de machines » qui, afin de concourir à un même d’accidents graves constatés sur des machines considérées comme
résultat, sont disposées et commandées de manière à être soli- extrêmement dangereuses, les autorités instaurèrent pour les
daires dans leur fonctionnement, est également considéré comme concepteurs et fabricants l’obligation de rendre celles-ci conformes
étant une machine. C’est par exemple le cas d’une ligne à certaines règles de sécurité, avant même leur mise sur le marché.
d’imprimerie. Le principe de sécurité intégrée était né ; tout en imaginant les
solutions techniques permettant à l’équipement d’assurer sa
La représentation schématique générale d’une machine laisse fonction première, il était demandé au concepteur de se soucier
apparaître de nombreux flux d’informations et trois parties prin- des risques inhérents à sa future utilisation. S’il paraît simple à
cipales que sont la partie commande, la partie opérative et l’inter- énoncer et compréhensible pour tout un chacun, on verra plus loin
face opérateur-machine (figure 1). qu’un tel objectif n’est pas sans influencer le métier même du
concepteur et s’inscrit dans une problématique plus large d’ingé-
On remarque que cette définition renvoie à la fois à une vue nierie intégrée.
physique ou technologique de la machine (elle est faite de pièces,
d’actionneurs...), à une vue fonctionnelle (elle transforme, traite, À la fin des années 1980, ce principe de sécurité intégrée
déplace...) et à des éléments structurels (elle comprend une partie largement éprouvé en France pendant une dizaine d’années sur
commande pour « commander », opérative pour « opérer »). certaines catégories de machines (presses, machines à bois) est
étendu et constitue le fondement de la législation européenne en
La composante humaine qui n’est pas explicitement représentée matière de conception des machines ; une directive européenne
sur la figure 1 intervient dans les éléments d’interface ; la machine, dite directive « Machines » est adoptée en 1989, elle est suivie de
dans sa vue exclusivement technique, comprend des parties modifications et d’amendements, intégrés et regroupés depuis
« interface opérateur-machine » représentant à différents niveaux 1998 dans un seul et unique texte : la directive européenne
(organes de commande, capteurs...) les interactions possibles 98/37/CE codifiée (transposée en droit national dans chacun des
entre l’Homme et la machine. pays de l’Union européenne).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 270 − 2 ©Techniques de l’Ingénieur

UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP

__________________________________________________________________________ ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS

La directive Machines entre dans le cadre des principes de la mobiles automatiques pour la protection des machines). La défi-
« Nouvelle Approche » en matière d’harmonisation technique et de nition qui en est donnée est plus large puisqu’il est question de
normalisation adoptée en 1985. Ce principe, peu connu des acteurs « composant mis sur le marché dans le but d’assurer, par son
concernés, mérite d’être rappelé. Les directives Nouvelle Approche utilisation, une fonction de sécurité, et dont la défaillance ou le
constituent en effet un élément fondamental de la libre circulation mauvais fonctionnement met en cause la sécurité ou la santé des
des produits au sein de l’Union européenne. Élaborées dans le personnes exposées ».
cadre du processus de codécision entre la CE et le Parlement
Dans son annexe I, la directive Machines décline les principes
européen, elles sont obligatoirement transposées par les États
d’intégration de la sécurité et stipule notamment que :
membres dans leur droit national. Elles permettent donc un
rapprochement et une harmonisation entre ces États. Elles ont « Les machines doivent par construction être aptes à assurer leur
pour objectifs de faciliter les échanges intracommunautaires et de fonction, à être réglées, entretenues sans que les personnes soient
renforcer le principe de reconnaissance mutuelle. Toutes les entre- exposées à un risque lorsque ces opérations sont effectuées dans
prises qui souhaitent mettre en service ou échanger des produits les conditions prévues par le fabricant.
en Europe sont donc tenues de respecter ces directives.
Les directives Nouvelle Approche ont nécessité un travail
conséquent d’harmonisation des textes législatifs et réglementai-
Les mesures prises doivent avoir pour objectif de supprimer les
risques d’accidents durant la durée d’existence prévisible de la
machine, y compris les phases de montage et de démontage,

res. La rédaction de normes européennes (CEN et CENELEC) et nor- même dans le cas où les risques d’accidents résultent de situations
mes internationales (ISO et CEI) a été entreprise, guidée par les anormales prévisibles ».
considérations suivantes :
CEN : Comité européen de normalisation (pour les aspects à dominante mécanique)
Elle définit des exigences essentielles de sécurité et de santé
CENELEC : Comité européen de normalisation électrotechnique relatives à la conception et à la construction des machines et des
ISO : Organisation internationale de normalisation (pour les aspects à dominante composants de sécurité, qui portent sur les commandes et sur les
mécanique) mesures de protection à prendre contre les risques mécaniques,
CEI : Commission électrotechnique internationale
mais aussi tous les autres risques (explosion, bruit, vibrations,
— les directives contiennent des exigences essentielles ; dans le rayonnements extérieurs...). Elle exige du fabricant qu’il effectue
cas de la directive Machines, des « exigences très générales appli- une analyse des risques afin de rechercher ceux qui s’appliquent à
cables à de nombreuses catégories de machines » ; sa machine ; il doit ensuite concevoir et construire la machine en
— des normes harmonisées établissent des dispositions tech- prenant en compte son analyse.
niques permettant de concevoir et de fabriquer des équipements
conformes aux exigences (« les normes harmonisées servent de Pour les systèmes de commande, sujet traité ici, la directive
guide pour l’application des directives européennes et de référence définit les exigences essentielles suivantes :
pour la conception des produits »). Ces dispositions techniques ne « Les systèmes de commande doivent être conçus et construits
sont pas obligatoires, « elles sont une aide au fabricant mais pour être sûrs et fiables, de manière à éviter toute situation
celui-ci peut choisir tout autre moyen de mise en œuvre pour dangereuse. Ils doivent notamment être conçus et construits de
assurer la conformité » ; manière à résister aux contraintes normales de service et aux
— un équipement conforme aux dispositions d’une norme influences extérieures, et à ce qu’il ne se produise pas de situations
harmonisée est présumé conforme aux exigences réglementaires dangereuses en cas d’erreur de logique dans les manœuvres
qui lui sont applicables, pour autant que ces exigences soient (directive 98/37/CE, annexe I, paragraphe 1.2.1. : Sécurité et fiabilité
couvertes par le champ d’application de cette norme. des systèmes de commande).
L’énoncé d’exigences essentielles de santé et de sécurité à satis- Un défaut affectant la logique du circuit de commande ou une
faire dans les directives montre clairement l’objectif (en termes défaillance ou une détérioration du circuit de commande, ne doit
d’obligation de résultat) fixé au concepteur. Dans la Nouvelle pas créer de situations dangereuses (directive 98/37/CE, annexe I,
Approche, la réglementation prend appui sur la normalisation qui paragraphe 1.2.7. : Défaillance du circuit de commande) ».
de fait occupe une place importante dans l’atteinte de cet objectif.
La conception des machines, systèmes et dispositifs de pro-
Comme le soulignait M. Van Gheluwe, administrateur principal à tection doit donc se préoccuper non seulement de leur aptitude
la Commission des communautés européennes – DG III, reconnu fonctionnelle à assurer la sécurité, mais encore de leur compor-
comme un des principaux fondateurs de la directive Machines, tement en environnement industriel (mécano-climatique et élec-
dans un séminaire sur les nouvelles règles techniques organisé en trique) et en présence de défauts de composants.
1993 par le Centre technique des industries mécaniques
(Cetim) [5] : « ... la Directive énonce les objectifs sans donner les
moyens de les atteindre...... pas de défaitisme, il y a des solutions,
mais il faut les trouver... ». 1.3 Caractéristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer à
La directive Machines stipule des obligations de résultats ; les
trouver ces solutions. Il s’appuie sur un vaste programme, sans
normes européennes qui lui viennent en appui sont développées
précédent en matière de normalisation technique, non encore
par consensus entre toutes les parties intéressées pour aider les
achevé à ce jour.
différents acteurs (concepteurs, utilisateurs, préventeurs) à
atteindre les objectifs visés.
1.2.2 Directive Machines
La directive Machines 98/37/CE s’applique aux machines telles 1.3.1 Définition d’une norme
que définies au paragraphe 1.1. Elle s’applique également aux
composants de sécurité lorsqu’ils sont mis isolément sur le Une norme est « un document établi par consensus et approuvé
marché. par un organisme reconnu qui fournit, pour des usages communs
et répétés, des règles, des lignes directrices ou des caractéris-
Il est important de noter que le terme de composant de sécurité
tiques, pour des activités ou leurs résultats, garantissant un niveau
ne caractérise pas uniquement les composants listés à l’annexe IV
d’ordre optimal dans un contexte donné » (EN 45020).
de la directive (dispositifs électrosensibles conçus pour la détection
des personnes, notamment barrages immatériels, tapis sensibles, Les dispositions contenues dans une norme peuvent prendre la
détecteurs électromagnétiques ; blocs logiques assurant des forme d’un énoncé, d’une instruction, d’une recommandation ou
fonctions de sécurité pour commandes bimanuelles ; protecteurs d’une exigence ; elles indiquent des prescriptions.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
©Techniques de l’Ingénieur S 8 270 − 3

UU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
sXRWP

ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS __________________________________________________________________________

1.3.2 Classification des normes


Tableau 1 – Exemples de normes représentatives
Les normes relatives à la conception des machines présentent des types A, B1, B2 et C
une architecture originale reposant sur des degrés d’imbrication.
Elles sont classées selon trois types (EN 414) : Type Norme représentative
— normes de type A : elles précisent les notions fondamentales,
les principes de conception et les aspects généraux valables pour EN ISO 12100-1 – Sécurité des machines : Notions
tous les types de machines ; A fondamentales, principes généraux de conception
— normes de type B : – Partie 1 : terminologie de base, méthodologie.
• les normes de type B1 traitent d’un « aspect particulier de la EN 954-1 (ISO 13849-1) – Sécurité des machines :
sécurité » (par exemple, distances de sécurité, température super- Parties des systèmes de commande relatives à la
B1 sécurité. Partie 1 : principes généraux de
ficielle, bruit). Elles définissent les principes de base du sujet de

R sécurité traité et comment ces principes peuvent être appliqués


aux normes de type C,
• les normes de type B2 traitent d’un «type de dispositif
B
conception.

CEI 61496-1 – Sécurité des machines – Équi-


B2 pements de protection électrosensibles – Partie 1 :
conditionnant la sécurité » (par exemple, commandes bimanuel- prescriptions générales et essais.
les, dispositifs de verrouillage, dispositifs sensibles à la pression,
protecteurs) valable pour une large gamme de machines. Elles EN 693 – Machines-outils – Sécurité – Presses
donnent les prescriptions de performance pour la conception et la C hydrauliques.
fabrication du moyen de protection considéré ;
— normes de type C : elles indiquent des prescriptions de
sécurité détaillées s’appliquant à une machine particulière ou à un
groupe de machines. Elles traitent de tous les phénomènes
dangereux significatifs concernant la machine considérée, en
s’appuyant notamment sur les normes de type B pertinentes. EN ISO 12100
Principes généraux EN 294
Dans le but de fixer les idées, le tableau 1 met en regard de ces EN 349
de conception
différents types une norme « machine » caractéristique. EN 547
EN 999 EN 61496-1/2/3/4
EN 982
EN 614 EN 983 EN 811
Remarques : Principes EN 1760-1/2/3
ergonomiques
■ Certaines normes, développées initialement dans un de conception EN 954-1
contexte européen comme la norme EN 954-1, ont été reprises Parties des
au niveau international de l’ISO pour devenir ISO 13849-1. Nous systèmes de
utilisons ici les références initiales, en donnant la correspon- commande relatives
dance en cas de reprise par l’ISO. à la sécurité
EN 574
■ On note que certaines normes ont été développées dans le
EN 418 EN 1010
cadre du CEN (EN 954-1/ISO 13849-1), mais aussi dans le cadre EN 953
du Cenelec /CEI lorsqu’il s’agissait de prendre en compte des Machines d'impression
ISO TR et de transformation du
aspects électriques ou électroniques. C’est le cas par exemple 11688-1 papier
de la norme CEI 61496, développée initialement dans le cadre du ISO EN 1088
7960 EN 1050
Cenelec, puis reconnue et harmonisée dans le contexte de la
directive Machines. EN 60204 Principes pour
Équipement électrique l'appréciation
des machines des risques
La représentation « planétaire » [6] du dispositif normatif (figure 2)
donne un aperçu de l’interrelation entre normes ; faire graviter des
normes « produit » de type C comme EN 1010 (« Machines d’impres- Figure 2 – Représentation « planétaire » du dispositif normatif
sion et de transformation du papier ») autour de normes de type A et (non exhaustive)
B plus génériques illustre le fait que ces dernières exercent une cer-
taine influence en propageant les principes et concepts de base sur
lesquels doivent s’appuyer les normes de type C.
Ces travaux de normalisation sont menés au sein de comités
techniques (TC) comprenant des groupes de travail composés des
acteurs rappelés sur la figure 3. « Préventeurs » :
Constructeurs/fabricants : - organismes de prévention ;
Pour mieux visualiser les différents champs techniques et généralement les concepteurs - autorités publiques
disciplines couverts par la normalisation machines, on peut éga- des produits objets de la nationales ;
norme - organismes de contrôle
lement utiliser une représentation en matrice (figure 4) faisant technique.
apparaître les notions de « norme horizontale » et de « norme
verticale » :
— les normes horizontales (de type A ou B) traitant d’aspects Utilisateurs :
communs applicables à presque toutes les machines comme représentants des salariés,
l’ergonomie, le bruit... ; consommateurs,
employeurs...
— les normes verticales (de type C) déterminant les dispositions
spécifiques d’une catégorie de machines en faisant référence aux
dispositions des normes horizontales, évitant ainsi la duplication
du travail réalisé et donnant une certaine cohérence à l’ensemble
des normes. (0) Figure 3 – Acteurs des comités techniques

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
S 8 270 − 4 ©Techniques de l’Ingénieur

UV
Sécurité des systèmes industriels
(Réf. Internet 42830)

1– Sureté de fonctionnement des systèmes industriels

2– Sécurité des machines



3– Méthodes de maintenance Réf. Internet page

Introduction aux méthodes de maintenance basées sur la iabilité SE1649 59

Méthodes de maintenance basées sur la iabilité et sur les risques SE1650 61

Méthode de maintenance basée sur la iabilité de Nowlan et Heap SE1655 67

Méthode de maintenance basée sur la iabilité RCM2™ de John Moubray SE1660 71

Méthode de maintenance basée sur la iabilité de la SAE SE1665 75

Méthode de maintenance basée sur la iabilité de la CEI SE1667 79

Méthode de maintenance basée sur la iabilité de la MSG 3 SE1669 83

Méthode AP913 de maintenance basée sur la iabilité des centrales nucléaires SE1671 89
américaines
Méthode de maintenance basée sur la iabilité inversée PMO2000® SE1675 95

Méthode de maintenance basée sur les risques et la iabilité CWA-RBIM SE1677 99

Méthodes d'analyse des causes racines des défaillances SE1679 103

Signalement, analyse et correction de défaillances SE1681 109

Méthode de maintenance basée sur la iabilité « Streamlined » de l'EPRI SE1673 115

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

UW

UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVTY

Introduction aux méthodes


de maintenance basées
sur la fiabilité

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)


Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origine ..................................................................................................... SE 1 649 - 2


1.1 Préambule................................................................................................. — 2
1.2 Méthode RCM originale de Nowlan et Heap ......................................... — 2
2. Principe commun des méthodes conformes
à la RCM de N&H .................................................................................. — 3
2.1 Étapes standard d’une analyse de RCM de type N&H.......................... — 3
2.2 Inventaire des méthodes et normes conformes
à la démarche de N&H............................................................................. — 3
2.2.1 Norme MSG-3 ................................................................................. — 3
2.2.2 Méthode RCM2................................................................................ — 3
2.2.3 Norme SAE JA1012 ........................................................................ — 4
2.2.4 Norme CEI I 603003......................................................................... — 4
2.2.5 AP 913 .............................................................................................. — 5
2.2.6 CWA-RBIM 15740 ............................................................................ — 6
2.2.7Streamlined RCM (SCRM) — 6
2.3 Comparaison des méthodes de RCM..................................................... — 6
3. Conclusion.............................................................................................. — 6
4. Glossaire ................................................................................................. — 6
Pour en savoir plus ....................................................................................... Doc. SE 1 649

es différentes méthodes les plus utilisées pour mettre en œuvre les


L concepts de la maintenance basée sur la fiabilité (MBF) qui ont vu le jour
depuis les années 1970 dans différents secteurs industriels sont présentées.
De nombreuses stratégies de maintenance ont été développées pour pré-
venir et corriger les conséquences des défaillances des matériels afin
d’optimiser la productivité des installations industrielles et de diminuer les
risques relatifs à la sécurité des personnes et à l’environnement, et les pertes
économiques.
L’origine du concept de maintenance basée sur la fiabilité a été introduit
pour la maintenance aéronautique dans les années 1970 sous l’acronyme MBF
ou RCM (Reliability-Centered Maintenance) et fait l’objet du contenu de la pre-
mière section. De nombreuses variantes et adaptations du concept initial ayant
vu le jour en dehors de ce secteur, la deuxième section est dédiée à la descrip-
tion des étapes considérées comme indispensables pour être conformes à la
démarche initiale de la RCM de Nowlan et Heap. Elle fournit également les
caractéristiques des méthodes et normes reconnues de RCM (MSG-3, RCM2,
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQW

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 649 – 1

UY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVTY

INTRODUCTION AUX MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ________________________________________________________________

SAE JA1012, CEI 60300, AP 913, CWA-RBIM, « Streamlined RCM »), en souli-
gnant leur conformité par rapport à la démarche originale, ainsi qu’une grille
comparative de leurs propriétés. En conclusion, des recommandations sont
fournies pour guider l’utilisateur à choisir la méthode la plus appropriée ainsi
qu’une prospective sur les nouveaux développements.

1. Origine Principales définitions spécifiques


à la méthode RCM de N&H

S 1.1 Préambule
Les premières réglementations relatives à la sécurité des vols
Niveau de fiabilité inhérente : valeur de la fiabilité d’un
élément ou d’un équipement qui est atteignable grâce à un
programme de maintenance programmée efficace.
commerciaux ont vu le jour aux États-Unis dans les années 1930 ; Défaillance fonctionnelle : incapacité d’un élément d’un
elles imposaient à cette époque des inspections et des intervalles équipement à remplir les performances spécifiées.
de temps fixes pour les éléments d’un aéronef. Vers la fin des
Défaillance potentielle : condition physique identifiable
années 1940 et au vu du retour d’expérience, ces pratiques ont
qui indique qu’une défaillance est imminente.
évolué avec l’introduction de la fiabilité des équipements pour
fixer la nature des tâches de maintenance et leurs intervalles de Défaillance critique : défaillance impliquant la perte d’une
réalisation. Avec l’apparition de nouveaux aéronefs gros porteurs fonction ou d’un dommage qui pourrait avoir un effet défavo-
tels que le Boeing 747, des programmes de maintenance préven- rable direct sur la sécurité opérationnelle.
tive ont été développés en 1968 par l’ATA (Air Transport Fonction évidente : fonction dont la défaillance est évi-
Association ) sous le nom de MSG (747 Maintenance Steering dente pour l’équipe d’exploitation dans le cadre de ses activi-
Group ). Ces programmes visaient à établir un programme efficace tés normales.
de maintenance préventive programmée avant la mise en service Fonction cachée : fonction dont la défaillance n’est pas
de nouveaux avions et à modifier le programme initial de mainte- évidente pour l’équipe d’exploitation dans le cadre de ses acti-
nance en se basant sur les données de fiabilité en provenance du vités normales.
retour d’expérience réel.
Diagramme de décision : représentation graphique du
Les procédures initiales MSG-1 et MSG-2 ayant fait l’objet de processus de décision dans laquelle les réponses à des
nombreuses critiques relatives à leurs performances, Nowlan et séquences ordonnées « oui/non » conduisent à l’identification
Heap (l’acronyme N&H sera utilisé dans la suite de cet article) ont des tâches de la maintenance la plus adaptée.
alors rédigé un rapport [1] définissant les principaux concepts de
la méthode RCM de référence, toujours valables de nos jours.
lance potentielle conduit à la défaillance franche comme décrit sur
la figure 1 à l’aide de l’intervalle P-F.
1.2 Méthode RCM originale de Nowlan Les procédures d’évaluation des conséquences des défaillances
et Heap et de détermination des tâches de maintenance sont facilitées par
l’utilisation d’un arbre de décision. Il se base sur un ensemble
Les motivations qui ont conduit N&H à élaborer la procédure de ordonné de priorités avec des questions qui sont explicitées à
maintenance RCM résultent de leurs appréciations sur les quatre chaque niveau de l’arbre pour définir les informations requises
objectifs qu’un programme de maintenance doit atteindre : pour prendre une décision. Le cas de l’arbre de décision pour une
– assurer la réalisation des niveaux inhérents de sécurité et de défaillance évidente est représenté sur la figure 2.
fiabilité des équipements ;
– rétablir la sécurité et la fiabilité à leurs niveaux inhérents de Les résultats de l’analyse RCM conduisent à un programme ini-
sécurité et de fiabilité des équipements ; tial de maintenance préventive programmée qui inclut toutes les
– obtenir les informations nécessaires pour améliorer la concep- tâches de maintenance préventive nécessaires pour assurer la
tion des ensembles dont la fiabilité inhérente s’est révélée sécurité et les performances économiques, mais uniquement si
insuffisante ; elles sont capables d’atteindre ces objectifs. Dans le cas où il n’est
– accomplir ces objectifs à un coût minimum, incluant les coûts pas possible d’identifier des tâches applicables et efficaces, il est
de maintenance et des défaillances résiduelles. proposé de retenir la tâche la plus conservatoire. Ultérieurement,
dans le cadre d’un programme évolutif durant le cycle de vie et au
Les principes de la RCM de N&H découlent d’un examen rigou- vu des résultats du retour d’expérience, ces tâches pourront être
reux des réponses aux questions suivantes relatives aux défail- éventuellement modifiées. Les tâches et leurs intervalles
lances fonctionnelles : dépendent de l’analyse des courbes des taux de défaillance qui ont
– Comment une défaillance se produit-elle ? été classées en plusieurs catégories par N&H à partir du retour
– Quelles en sont les conséquences ? d’expérience des matériels de la flotte d’aéronefs de la compagnie
– Quel bénéfice peut apporter un programme de maintenance United Airlines, comme illustré sur la figure 3.
préventive ? La méthode de N&H est considérée par les spécialistes de la
La détermination des instants de réalisation des tâches de main- maintenance comme étant la méthode de référence pour la RCM.
tenance repose dans la méthode de N&H sur la surveillance de La section 2 donne le canevas des méthodes développées depuis
l’évolution des paramètres pour déterminer l’instant où une défail- 1978 dans différents secteurs et qui respectent cette démarche.

SE 1 649 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

Méthodes de maintenance basées


sur la fiabilité et sur les risques
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique
et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et principes des politiques de maintenance basées SE 1 650 - 2



sur la fiabilité et les risques...............................................................
2. Terminologie........................................................................................... — 5
3. Méthode MSG-3 utilisée en aéronautique...................................... — 7
4. Méthode RCM2™ développée par John Moubray ........................ — 9
5. Méthode SAE (Society of Automotive Engineers)....................... — 12
6. Méthode MBF développée par la CEI ............................................... — 16
7. Méthode AP-913 développée par l’INPO ........................................ — 19
8. Méthode « Streamlined RCM » de l’EPRI ....................................... — 22
9. Méthode PMO (Plant Maintenance Optimisation) ....................... — 24
10. Méthodes RBI, RBM et RIMAP ........................................................... — 25
11. Bilan comparatif .................................................................................... — 27
12. Conclusion .............................................................................................. — 28
13. Glossaire – Définitions......................................................................... — 28
14. Sigles, notations et symboles ........................................................... — 28
Pour en savoir plus ......................................................................................... Doc. SE 1 650

et article présente les principes et caractéristiques des méthodes les plus


C utilisées pour mettre en œuvre les concepts de la maintenance basée sur
la fiabilité et sur les risques dans les différents secteurs industriels.
En effet, pour toutes les entreprises, la maintenance des équipements, dont
les objectifs sont de prévenir ou de corriger les défaillances des matériels pour
optimiser la productivité des amortissements, représente un enjeu stratégique
et économique. Dans ce contexte, de nombreuses stratégies ont été dévelop-
pées pour établir le programme de maintenance le plus approprié à un secteur
d’activités donné. En particulier, on privilégie de plus en plus dans la majorité
des secteurs industriels celles reposant sur la fiabilité opérationnelle des équi-
pements ou visant à réduire les risques induits par les conséquences des
défaillances techniques.
Ainsi, dans les années 1960, le concept de maintenance basée sur la fiabilité
a été introduit sous l’acronyme MBF ou RCM (Reliability-Centered Mainte-
nance) pour la maintenance aéronautique. Par la suite, de nombreuses
variantes et adaptations du concept initial ont vu le jour en dehors de ce
secteur.
En parallèle, suite aux catastrophes majeures survenues dans les secteurs
pétroliers et chimiques, des méthodes de maintenance ont été mises au point
p。イオエゥッョ@Z@ュ。ゥ@RPQU

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 650 – 1

VQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________

pour minimiser les risques liés aux conséquences des défaillances. Ainsi, les
techniques d’inspection basée sur les risques (RBI : Risk-Based Inspection), les
méthodes de maintenance basée sur les risques (RBM : Risk-Based Mainte-
nance) et les méthodes d’inspection et de maintenance basées sur les risques
(RBIM : Risk-Based Inspection and Maintenance) ont vu le jour lors de ces trois
dernières décennies.
Dans la première section de cet article, un bref historique sur l’origine et les
évolutions successives de ces méthodes est proposé. Les principes généraux
des politiques de maintenance basée sur la fiabilité et sur les risques sont
détaillés. La contribution des deux pères fondateurs de la MBF, Nowlan et
Heap, en 1978, fera notamment l’objet d’un développement particulier. Ces
politiques spécifiques faisant appel à des notions particulières, la deuxième
section fournira la terminologie et les définitions rattachées. Pour les
méthodes de MBF, les méthodes et les normes seront présentées dans un
ordre chronologique correspondant à leur mise au point. Ainsi, la troisième

S section décrira la norme MSG-3 utilisée dans le milieu aéronautique et souli-


gnera que les autres méthodes développées par la suite utilisent dans leur
grande majorité ses principes fondamentaux. La quatrième section sera
consacrée à la méthode RCM2 développée par John Moubray à partir de 1983
et qui correspond à une transposition et une adaptation des concepts de la
MSG-3 à tous les autres secteurs d’activités industrielles. La cinquième section
décrira la norme JA1011 et la norme JA1012 développées en 2001 par la SAE
(Society of Automotive Engineers). La compatibilité de la RCM2 avec ces
normes y sera soulignée. La sixième section détaillera la norme IEC 60300
développée par le Comité électrotechnique international en 2009 pour les équi-
pements et les structures des procédés industriels. La septième section sera
consacrée à la description de la méthodologie AP-913 développée en 2001 par
l’INPO (Institute of Nuclear Power Operations) aux États-Unis pour les cen-
trales nucléaires. La particularité de l’AP-913 est d’intégrer toutes les activités
liées à la fiabilité d’un équipement dans le cadre d’un processus unique effi-
cace et performant. Compte tenu de la complexité et des coûts d’implantation
des méthodes précédentes, des simplifications de la méthode RCM originale
ont été élaborées. Ainsi, la huitième section sera consacrée aux différentes
méthodes connues sous le nom « Streamlined RCM » ou MBF allégée. Les
étapes majeures de la MBF qui ont été modifiées ou supprimées y feront
l’objet de descriptions. La neuvième section présentera la méthode PMO (Plant
Maintenance Optimisation) développée par Turner en 2000 et qualifiée par cer-
tains spécialistes de « reversed RCM » ou méthode « MBF inversée ». Elle
débute par l’analyse des tâches existantes de maintenance pour identifier les
défaillances des équipements et procéder ensuite à leur optimisation. Pour les
méthodes d’inspection et de maintenance basées sur les risques, le contenu
des normes américaines API, ainsi que le projet RIMAP feront l’objet de la
dixième section. Une grille comparative des performances fera l’objet de la
section onze. En conclusion, des recommandations seront fournies pour guider
l’utilisateur à choisir la méthode la plus appropriée, ainsi qu’une prospective
sur les nouveaux développements.

à le maintenir ou à le rétablir dans un état dans lequel il peut


1. Origines et principes accomplir la fonction requise ». Elle définit également les objectifs
des politiques de de maintenance comme étant « les buts fixés et acceptés pour les
activités de maintenance ». À partir de ces définitions générales,
maintenance basées des politiques de maintenance ont été élaborées dans les secteurs
industriels pour atteindre des objectifs précis. Ainsi, la mainte-
sur la fiabilité et les risques nance basée sur la fiabilité, notée MBF dans cet article, a pour
objectif de maintenir le niveau de fiabilité intrinsèque (définie à la
conception) des équipements. Les politiques d’inspection basée
1.1 Préambule sur les risques ou RBI (Risk-Based Inspection), de maintenance
La norme européenne EN-13306 [1] définit la maintenance basée sur les risques ou RBM (Risk-Based Maintenance) et d’ins-
comme « l’ensemble de toutes les actions techniques, administra- pection et de maintenance basées sur les risques ou RBIM
tives et de management durant le cycle de vie d’un bien, destinées (Risk-Based Inspection and Maintenance) visent à assurer un

SE 1 650 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

_________________________________________________________________ MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES

niveau de risque jugé acceptable suite à la défaillance des équi- 1.2.2 Principes de base de la MBF
pements. Cette section fournit les descriptions sur les origines et
les principes de ces deux catégories de politique de maintenance. Très souvent et de façon paradoxale, de nombreuses méthodes
ont été développées en se revendiquant de la MBF et n’utilisent à
Nota : dans cet article, les acronymes situés à la section 14 seront retenus compte
aucun moment les notions élémentaires de la fiabilité ! La MBF
tenu de leurs origines et de leur usage universel. définie par Nowlan et Heap fait appel à la notion de fiabilité inhé-
rente qu’ils ont définie comme étant « le niveau de fiabilité atteint
par un matériel quand il fait l’objet d’un programme de mainte-
nance préventive adéquat ». Cette fiabilité inhérente résulte éga-
1.2 Origines et principes de base lement de la conception initiale, des conditions de fabrication et
de la MBF des spécifications d’exploitation. Quand le matériel est mis en ser-
vice, il fait l’objet de dégradations et de défaillances qui réduisent
alors sa fiabilité réelle appelée « fiabilité opérationnelle ». Si cette
1.2.1 Origines de la MBF fiabilité opérationnelle, mesurée à partir d’un retour d’expérience,
devient inférieure à la fiabilité inhérente désirée, il appartient de
prendre des mesures correctives pour modifier le contenu des
Pour comprendre les origines de la MBF, il est important de tâches programme de maintenance initial et revenir à un niveau de
connaître l’évolution de la maintenance aéronautique. Les fiabilité acceptable. La MBF vise à établir un programme de main-


premières compagnies aériennes commerciales ont vu le jour aux tenance préventive qui garantit une fiabilité opérationnelle proche
États-Unis vers les années 1930. Les organismes chargés de la de la fiabilité inhérente. Il est important de noter qu’aucun pro-
sécurité des vols commerciaux, dont le département américain du gramme de maintenance ne peut conduire à un niveau de fiabilité
commerce, ont imposé que des inspections et des révisions soient opérationnelle supérieur à celui de la fiabilité inhérente, hormis le
réalisées à intervalles de temps fixes pour les avions, les moteurs, cas des actions de reconception. Les définitions et la terminologie
les instruments et les équipements. Ces pratiques ont évolué vers spécifique à la MBF feront l’objet de la section 2. La figure 1 illus-
1947 avec l’apparition de l’entretien « suivant état », ainsi que la tre le principe de base de la MBF.
collecte des données de fiabilité pour mettre en œuvre la méthode
statistique de l’actuariat. L’apparition des avions commerciaux Sur la figure 1, la courbe 1 représente l’allure de fiabilité inhé-
propulsés par des réacteurs et l’impossibilité de maîtriser la fiabi- rente nominale. À la mise en service, la valeur de la fiabilité est
lité de certains équipements ont conduit les constructeurs et égale à 1 et décroît ensuite en raison du vieillissement des maté-
exploitants d’avion commerciaux à développer de nouveaux riels choisis à la conception. Cette courbe est calculée lors de la
concepts de maintenance. En 1967, il est apparu évident de conception avec les données théoriques du constructeur. L’utilisa-
consolider les connaissances accumulées et de développer des teur du matériel définit la courbe 2 qui fixe le seuil de fiabilité tolé-
techniques de maintenance afin de pouvoir : rable. La fiabilité opérationnelle mesurée avec la méthode
statistique d’exploitation du retour d’expérience est évaluée de
– établir un programme efficace de maintenance programmée façon continue afin de vérifier si le seuil de tolérance n’est pas
avant la mise en service de nouveaux types d’avions ; atteint avec le programme initial de maintenance. Comme
l’indique la figure 1, en raison des défaillances des composants et
– modifier le programme initial de maintenance des avions exis-
de l’inadéquation de certaines tâches de maintenance, le seuil est
tants en se basant sur les données de fiabilité en provenance du
atteint à l’instant t0 et il devient nécessaire de procéder à une révi-
retour d’expérience réel.
sion des tâches initiales de maintenance pour restaurer la perte de
fiabilité ∆R. Après cette restauration, la fiabilité opérationnelle se
La mise en service du Boeing 747 a conduit à mettre en place un
met de nouveau à décroître pour atteindre le seuil tolérable à l’ins-
groupe de travail appelé MSG (Maintenance Steering Group) pour
tant t1 ; il convient alors de réviser une nouvelle fois le contenu du
élaborer une méthode de maintenance. Ainsi, la MSG-1 [2] a vu le
programme de maintenance. Ce processus s’appelle le pro-
jour en 1968 sous le nom de « 47 Maintenance Steering Group :
gramme « vivant » et la procédure d’amélioration continue ensuite
Maintenance Evaluation and Program Development ». La MSG-1
de façon similaire. Le premier principe fondamental de la MBF est
utilise des arbres logiques pour définir les tâches de maintenance
d’identifier les matériels critiques. Les matériels sont déclarés
programmée ayant une efficacité potentielle sur la maîtrise de la
critiques si les conséquences des défaillances ont un impact sur la
fiabilité opérationnelle. La FAA a été impressionnée par les résul-
sécurité, la disponibilité opérationnelle et sur les coûts. Le second
tats obtenus avec la MSG-1 pour le Boeing 747 et a demandé
principe fondamental consiste à ne retenir que des tâches de main-
qu’une nouvelle version soit développée pour les autres aéronefs.
tenance préventive applicables, efficaces et économiques pour des
Ainsi, la version MSG-2 [3] a vu le jour en 1970 pour définir des
matériels critiques. Le troisième principe de base consiste à appli-
schémas logiques visant à développer un programme de mainte-
quer des arbres logiques de décision pour sélectionner les tâches
nance efficace et économique. Ensuite, le département de la
de maintenance préventive en fonction du mode de découverte de
défense américain a demandé en 1978 à Stanley Nowlan et
la défaillance (évident ou caché). Pour chaque mode de décou-
Howard Heap [4], responsables de la maintenance des avions de la
verte, un arbre logique de sélection des tâches est proposé en
Compagnie United Airlines, de définir une méthode appelée
fonction des conséquences des modes dominants de défaillance
« Reliability-Centered Maintenance – RCM » pour une maintenance
(sécurité, disponibilité opérationnelle et coûts). Enfin, pour vérifier
efficace des aéronefs civils et militaires. Suivant ses concepteurs,
l’adéquation du programme de maintenance concernant le respect
la méthode MBF repose sur une méthode logique pour développer
de la fiabilité inhérente, les données relatives aux défaillances et à
un programme de maintenance programmée. L’objectif de la MBF
leurs conséquences sont collectées pour évaluer la fiabilité opéra-
est clairement d’assurer un niveau de fiabilité opérationnelle des
tionnelle. La figure 2 présente les différentes étapes de la MBF. Le
équipements s’approchant le plus possible de la fiabilité inhérente,
point central est la valeur de la fiabilité inhérente qui dépend des
définie lors de leur conception. Chaque tâche de maintenance pro-
informations fournies par le constructeur. Quand le programme
grammée est définie par un raisonnement identifiable et explicite.
initial de MBF a été établi, le retour d’expérience est collecté et
Suite à ce rapport, la version MSG-3 [5] a vu le jour avec ses
traité pour évaluer la fiabilité opérationnelle. Si la fiabilité opéra-
logiques de décision et fait toujours l’objet de révisons successives
tionnelle devient inférieure à la fiabliité inhérente, le programme
pour s’adapter aux nouvelles technologies (systèmes numériques
initial doit être révisé.
embarqués, composites...). De nombreuses normes et guides de
recommandations ont vu le jour en parallèle dans tous les secteurs
industriels, et cet article décrira les principes des principales
méthodes dérivées de la MBF développée par Nowlan et Heap.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 650 – 3

VS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________

Fiabilités inhérente et opérationnelle

1
∆R
Fiabilité inhérente nominale
∆R (courbe no 1)
t0
t1
∆R

t2
∆R
∆R

t3


Courbes de la fiabilité
opérationnelle Seuil de fiabilité tolérable t4
après actions (courbe no 2)
de la MBF

0
Temps
∆R Restauration de la fiabilité opérationnelle au niveau de la fiabilité
inhérente par la MBF

Figure 1 – Fiabilité inhérente

Maintien
du programme actuel
de maintenance basée
sur la fiabilité
Collecte
Programme
du retour NON
de maintenance Fiabilité
d’expérience
initial basée opérationnelle
et calculs + Seuil
sur la fiabilité
de fiabilité inacceptable
– atteint ?
Fiabilité
inhérente OUI

Révision
Conception, fabrication, du programme
conditions d’exploitation, de maintenance
programmes d’entretien basée sur la fiabilité
(constructeur)

Figure 2 – Principales étapes de la MBF

1.3 Origines et principes de base risques a vu le jour en 1993 à l’initiative d’un consortium de
21 compagnies pétrolières et pétrochimiques qui souhaitaient dis-
de la maintenance basée poser d’une méthodologie appelée « Risk-Based Inspection » (RBI)
sur les risques pour des applications dans le raffinage et la pétrochimie. Les
normes de l’API (American Petroleum Institute) ont été rédigées,
dont notamment l’API 580 [6] et l’API 581 [7], et définissent les éta-
1.3.1 Origines de la maintenance basée pes de la méthode d’inspection RBI. Elles ont uniquement pour
sur les risques champ d’application le maintien de l’intégrité mécanique d’équipe-
ments sous pression et ont pour objectifs de minimiser le risque
Les concepts liés à l’inspection et la maintenance basée sur les de perte de confinement dû à une dégradation. Cette méthode a
risques sont des concepts introduits au début des années 1990, le des finalités différentes de celles de la méthode HAZOP [SE 4 030]
risque étant défini par la probabilité d’occurrence de la défaillance et de la MBF, mais a comme point commun de comprendre les
et de la gravité de ses conséquences. L’inspection basée sur les mécanismes de défaillance pour contribuer à améliorer la fiabilité

SE 1 650 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

_________________________________________________________________ MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES

Matrice de risques
F
R
Évaluation du risque R É INACCEPTABLE
Q
U
E
N
C
Évaluation de la E
ACCEPTABLE
conséquence G F
des défaillances GRAVITÉ G

Programmes Proposition
Collecte de Calcul de plans
Classement d’inspection
données et du risque d’atténuation
du risque (RBI) et de
d’informations R=F×G des risques
Évaluation de la maintenance
probabilité (RBM et RIMAP)
(fréquence) F
d’occurrence Retour
de la défaillance d’expérience
et réévaluation

Figure 3 – Principales étapes de la RBI et RBM

opérationnelle des équipements. L’ASME (§ 11) [8] fournit les • Fiabilité opérationnelle : la fiabilité opérationnelle est celle
conditions requises pour maintenir l’intégrité de l’enveloppe des obtenue en évaluant les performances d’un équipement à partir du
composants sous pression des chaudières nucléaires. Par la suite, retour d’expérience avec des outils statistiques appropriés.
une adaptation des concepts de la RBI ont vu le jour dans les
• Taux de défaillance : le taux de défaillance d’un équipement à
autres secteurs industriels pour la maintenance sous le nom de
l’instant t représente la densité de probabilité de défaillance d’un
« maintenance basée sur les risques » (RBM). En Europe, l’initia-
équipement. La figure 4 illustre les courbes les plus caractéris-
tive RIMAP (Risk Based Inspection and MAintenance Procedures
tiques du comportement de la majorité des équipements
for European Industry) a été lancée en 2001 par la Communauté
industriels.
européenne.
La connaissance de ces courbes est vitale pour sélectionner le
contenu et les intervalles associés aux tâches de maintenance
1.3.2 Principes de la maintenance basée dans la procédure de MBF.
sur les risques
• Fonctions : une fonction représente la raison d’être d’un équi-
La méthodologie utilisée dans les concepts de l’inspection et de la pement défini avec ses spécifications techniques (durée, caracté-
maintenance basée sur les risques est représentée sur la figure 3. Le ristiques de performance, etc.). À noter qu’un équipement peut
point central de la méthode est l’évaluation du risque défini comme remplir plusieurs fonctions.
le produit des valeurs affectées dans des échelles de cotation de la
fréquence d’occurrence des défaillances et de la gravité de leurs • Défaillance fonctionnelle : la défaillance est l’altération ou la
conséquences. Ces valeurs sont calculées à partir de la collecte des cessation d’un équipement à accomplir sa (ou ses) fonction(s)
données de retour d’expérience et de leur exploitation. Si le niveau requise(s) avec les performances requises dans les spécifications
de risque est classé comme inacceptable, les programme d’inspec- techniques.
tion et de maintenance sont établis, ainsi que des propositions de • Défaillance potentielle : une défaillance potentielle est une
plans d’atténuation des conséquences des risques. Une fois ces dis- condition physique mesurable qui indique que la survenue d’une
positions mises en place, le niveau de risque est évalué pour modi- défaillance fonctionnelle est imminente. La figure 5 illustre ce
fier les programmes d’inspection et de maintenance. concept fondamental. Tout équipement est soumis, pendant sa
durée de vie, à des contraintes qui induisent la détérioration de ses
caractéristiques. À partir de la mise en service, le paramètre mesu-
rable de la condition physique de la caractéristique de la fonction
2. Terminologie va lentement perdre de sa valeur. Tout en restant dans la zone
verte normale, ce paramètre à partir du point D commence à se
dégrader pour atteindre le seuil de la défaillance potentielle au
La terminologie dans le cadre de la MBF et sur les risques a fait
point DP. Progressivement, on atteint le point DF qui caractérise la
l’objet de développements spécifiques depuis la mise au point des
défaillance et l’équipement est considéré comme en état de panne.
concepts décrits à la section 1. La section 2 présente les principaux
termes associés à ces concepts de maintenance en ordonnant Dans la MBF, l’intervalle de temps entre DP et DF appelée en
leurs descriptions en fonction de leur ordre d’apparition dans les anglais « the P-F interval (Potential Failure interval) » est vital pour
démarches MBF et RBIM. déterminer les tâches de maintenance et surveiller l’évolution vers
la défaillance.
• Fonction évidente : une fonction est évidente si les paramètres
2.1 Termes principaux utilisés associés aux défaillances sont évidents pour l’équipe d’exploita-
tion dans le cadre de ses activités normales.
• Fiabilité inhérente : la fiabilité inhérente, également appelée
« fiabilité intrinsèque », est la fiabilité d’un équipement défini à la • fonction cachée : une fonction est cachée si les paramètres
conception, dans des conditions de fabrication et d’exploitation et associés ne sont pas accessibles à l’équipe d’exploitation dans le
de maintenance prédéfini donnée. cadre de ses activités normales.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 650 – 5

VU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUP

MÉTHODES DE MAINTENANCE BASÉES SUR LA FIABILITÉ ET SUR LES RISQUES ________________________________________________________________

Courbe en baignoire :
1) période de jeunesse : décroissant
2) période maturité : constant
A
3) période de vieillissement : croissant

Une date
de limite
de vie sûre
peut être Taux de défaillance constant suivi d’un taux
définie B croissante lié à l’usure
Taux de défaillance

Taux de défaillance croissant linéaire


C


sans période d’usure marquée

Taux de défaillance au début de vie


D
suivie d’un taux constant

Pas de date
de limite
de vie sûre Taux de défaillance constant
E

Taux de défaillance décroissant pendant


la période de jeunesse suivie d’un taux
F constant ou légèrement croissant
Source : Nowlan et Heap

Figure 4 – Allure des principales courbes de défaillance des équipements

D : départ de la dégradation

DP : franchissement
Paramètre mesurable de la condition

D
de la zone d’état :
Valeur nominale
défaillance potentielle
∆T intervalle
entre tâches
ZONE NORMALE DP de maintenance
SEUIL
physique

préventive

∆T ∆T
ZONE DE DÉFAILLANCE POTENTIELLE
∆T ∆T
SEUIL
DF
ZONE DE DÉFAILLANCE FONCTIONNELLE

Temps

Figure 5 – Zones de défaillance potentielle et fonctionnelle

• Conséquences avec impact sur la sécurité et l’environnement : • Conséquences économiques : en aéronautique, effets de la
en aéronautique, impacts directs des défaillances fonctionnelles défaillance fonctionnelle qui n’empêche pas l’exploitation de l’équi-
sur la sécurité des équipements et des personnes. Par extension, pement, mais qui ne sont pas souhaitables sur le plan économique.
impacts directs sur l’environnement. Par extension, tout impact financier résultant de la défaillance.
• Conséquences opérationnelles : conséquences qui gênent • Équipements critiques : équipements dont les défaillances
l’accomplissement des missions prévues et qui induisent des coûts fonctionnelles ont des conséquences sur la sécurité, les conditions
d’exploitation supplémentaires. opérationnelles et les coûts.

SE 1 650 – 6 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUU

Méthode de maintenance basée


sur la fiabilité de Nowlan et Heap

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et principes ............................................................................ SE 1 655 - 2
1.1 Origines de la maintenance basée sur la fiabilité ................................. — 2
1.2 Paradoxe du concept « entretien à temps limite » suivant Nowlan et
Heap .......................................................................................................... — 3
2. Terminologie et définitions................................................................ — 4
2.1 Définitions relatives aux conséquences des défaillances .................... — 4
2.2 Définitions relatives aux tâches de maintenance.................................. — 4
3. Étapes du développement du programme de maintenance
RCM........................................................................................................... — 4
3.1 Préambule ................................................................................................ — 4
3.2 Principes de base ..................................................................................... — 5
3.3 Caractéristiques des défaillances ........................................................... — 5
3.4 Les quatre tâches de base de maintenance et leurs caractéristiques
d’applicabilité et d’efficacité ................................................................... — 6
3.5 Développement du programme initial................................................... — 7
4. Exemple d’application à un ensemble de freinage ...................... — 10
4.1 Description du système de freinage....................................................... — 10
4.2 Fonctions et défaillances fonctionnelles du système de freinage ....... — 10
4.3 Synthèse de l’étude du système de freinage ........................................ — 12
5. Conclusion .............................................................................................. — 13
6. Glossaire .................................................................................................. — 14
Pour en savoir plus ......................................................................................... Doc. SE 1 655

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle, présente les origines, les principes et
caractéristiques de la première méthode de maintenance basée sur la fiabilité
(MBF) ou RCM (Reliability-Centered maintenance) qui a été mise au point en
1978, à la demande du DoD (Department of Defense) américain par deux
responsables de la maintenance aéronautique de la compagnie United
Airlines : Stanley Nowlan et Howard Heap. En effet, dans le secteur aéronau-
tique commercial, la première exigence en matière d’entretien des avions fut
édictée dans les années 1930 et exigeait que « les instruments et accessoires
soient révisés à intervalles adéquats pour garantir leur fonctionnement correct
à tout instant ». Ce concept appelé « entretien à temps limite » (Hard Time) a
été la méthode de référence jusque dans les années 1960. Avec l’arrivée du
premier avion gros porteur, le Boeing 747, les autorités américaines ont déve-
loppé des normes de maintenance MSG-1 et MSG-2 qui introduisaient de
nouveaux concepts de tâches de maintenance, vérification de l’état, sur-
veillance du comportement. Le retour d’expérience ayant fait ressortir les
p。イオエゥッョ@Z@ュ。ゥ@RPQU

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 655 – 1

VW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUU

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE NOWLAN ET HEAP __________________________________________________________________

difficultés d’application et d’interprétation des tâches de maintenance, le DOD


a commandité en 1978 une étude à Nowlan et Heap pour mettre au point une
méthode de maintenance se préoccupant principalement des conséquences
des défaillances et non plus des tâches de maintenance préconisées par la
MSG-1 et la MSG-2.
Le retour d’expérience lié à l’utilisation de la maintenance basée sur le temps
(Hard Time Concept), sur la flotte de leur compagnie, a conduit Nowlan et
Heap à faire ressortir le paradoxe de cette pratique. En effet, ils ont découvert
que très peu d’éléments (11 %) d’un avion possédaient une durée de vie sûre
et que la mise au rebut programmée ne présentait aucun intérêt. Pour ne pas
trahir la démarche de Nowlan et Heap, l’article s’est calqué sur les grands cha-
pitres de leur rapport et respecte scrupuleusement leurs concepts et leur
terminologie.
La première section est consacrée à leurs réflexions sur la maintenance et à
la description de ce paradoxe qui les ont conduits à définir la maintenance
S basée sur la fiabilité.
Les principales définitions utiles pour la compréhension de méthode RCM de
Nowlan et Heap, notée par la suite RCM-N&H, ont été extraites et traduites de
leur glossaire et font l’objet de la seconde section. La troisième section fournit
les principaux éléments contenus dans leur rapport pour définir un pro-
gramme de maintenance basé sur la fiabilité : les principes de base, la
classification des défaillances, les quatre tâches de base de maintenance, la
procédure d’élaboration du programme initial de maintenance et l’utilisation
du retour d’expérience pour identifier les points faibles du programme initial et
lui apporter des améliorations. Afin d’illustrer le déroulement de leur méthode
RCM, le cas de deux fonctions critiques d’un ensemble de freinage hydraulique
d’un train d’atterrissage principal d’un avion est traité. Il permet de
comprendre le processus de sélection des tâches de maintenance applicables
et efficaces. La dernière section est consacrée à une analyse de leur méthode
et souligne l’importance de leurs travaux qui sont à l’origine des méthodes de
maintenance basée sur la fiabilité actuellement en vigueur.

1. Origines et principes La mise en service du Boeing 747, pour lequel il n’existait pas de
politique de maintenance adaptée à un avion gros porteur, a
conduit à mettre en place un groupe de travail appelé MSG (Main-
tenance Steering Group) regroupant le constructeur Boeing, les
1.1 Origines de la maintenance basée compagnies aériennes et l’agence de certification américaine ATA
(Air Transport Association) pour élaborer une méthode de mainte-
sur la fiabilité nance. Ainsi la MSG-1 [1] a vu le jour en 1968 sous le nom de
« 747 Maintenance Steering Group : Maintenance Evaluation and
Vers les années 1930, les organismes chargés de la sécurité des Program Development ».
vols commerciaux, dont le département américain du Commerce,
ont commencé à imposer que des inspections et des révisions Le groupe de travail MSG-1 avait pour objectifs assignés et prio-
soient réalisées à des intervalles de temps fixes pour les avions, ritaires de sélectionner les tâches potentielles de maintenance et
moteurs, équipements et structures. de les évaluer pour identifier ce qui peut être mis en œuvre pour
protéger la sécurité opérationnelle ou les fonctions cachées essen-
Ces pratiques ont évolué vers 1947 avec l’apparition de l’entre- tielles.
tien suivant état et la collecte des données de fiabilité pour mettre
en œuvre la méthode statistique de l’actuariat. Ensuite, l’apparition La MSG-1 est basée sur des méthodes d’entretien préventif et
des avions commerciaux à réaction et l’impossibilité de maîtriser curatif et utilise une logique de décision pour assurer la maîtrise
la fiabilité de certains équipements ont conduit les constructeurs et de la fiabilité opérationnelle.
exploitants d’avions à développer de nouveaux concepts de main- Pour l’entretien préventif, deux modes ont été définis :
tenance. En 1967, il est apparu évident qu’il fallait consolider les 1. entretien à temps limite (Hard Time-HT) qui définit un inter-
connaissances accumulées et développer des techniques de main- valle de temps maximum fixé à l’issue duquel un élément doit être
tenance afin de pouvoir : révisé ou réformé ;
– établir un programme efficace de maintenance programmée 2. entretien suivant la vérification de l’état (On condition-OC).
avant la mise en service de nouveaux avions ; Les tâches consistent à inspecter, à des intervalles de temps maxi-
– modifier le programme initial de maintenance des avions exis- mum fixés, les éléments concernés.
tants en se basant sur les données de fiabilité en provenance du Pour l’entretien correctif, une tâche de surveillance du
retour d’expérience réel. comportement est préconisée (Condition monitoring-CM).

SE 1 655 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

VX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVUU

__________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE NOWLAN ET HEAP

Par la suite, le document MSG-2 [2] a été élaboré pour dévelop- mination de la valeur de l’âge limite nécessaire pour assurer un
per un programme de maintenance programmée efficace et éco- fonctionnement fiable. Initialement dans le cas d’un avion, il était
nomique, et adapté aux nouveaux avions. Des difficultés ayant été communément admis que tous les problèmes de fiabilité étaient
rencontrées pour l’application de la MSG-2 pour l’interprétation directement liés à la sécurité operationnelle. Grace à l’accumula-
des procédures de maintenance Hard-time, On-Condition, tion du retour d’expérience, il a été constaté que de nombreuses
Condition Monitoring, le département américain de la Défense catégories de défaillances ne pouvaient pas être évitées quel que
(DOD) a demandé à Nowlan et Heap, responsables de la mainte- soit le volume des activités de maintenance. Par conséquent, pour
nance chez United Airlines, de mettre au point une méthode de la majorité des avions, les fonctions essentielles sont réalisées par
maintenance structurée. Cela a conduit au tout premier document des systèmes redondants.
publié en 1978 sur la RCM : Reliability-Centered Maintenance [3].
Dans ce rapport, Nowlan et Heap ont fait ressortir le paradoxe du 2) Des recherches basées sur des méthodes statistiques de
concept de l’entretien à temps limite et les ont conduit à dévelop- l’actuariat appliquées aux données du retour d’expérience ont mis
per le RCM. en évidence que l’entretien à temps limite était inefficace pour
contrôler le taux de défaillance en dépit de son coût élevé. Cela
s’explique, contrairement aux attentes, par le fait que la probabilité
1.2 Paradoxe du concept « entretien de défaillance n’augmente pas en réalité au cours du temps. De ce
à temps limite » suivant Nowlan fait, une politique de maintenance basée uniquement sur des
considérations de durée de vie maximale, n’a que très peu d’effet,
et Heap
Les considérations sur la maintenance et le paradoxe du concept
« entretien à temps limite » présentés dans cette section sont
voire aucun, sur le taux de défaillance. Cela constitue selon leurs
auteurs le paradoxe de l’entretien à temps limite. Pour étayer leur
thèse, ils ont réalisé des études sur l’ensemble des données du

retour d’expérience des équipements de la flotte des avions de
extraites de leur rapport et font l’objet de deux constats. leur compagnie. Celles-ci ont permis d’identifier six allures des
1) L’organisation de la maintenance a toujours reposé sur courbes de probabilité conditionnelle de défaillance comme le
l’hypothèse qu’il existe une relation fondamentale de cause à effet montre la figure 1.
entre la mise en œuvre de la maintenance programmée et la fiabi-
lité opérationnelle. Cette hypothèse repose sur la notion intuitive L’analyse de ces courbes montre que 89 % des composants
qui consiste à considérer que si une pièce mécanique s’use, la fia- complexes analysés ne possèdent pas de période d’usure. Par
bilité de n’importe quel équipement est directement liée à son âge. conséquent, le concept d’entretien à temps limite ne peut pas
Par conséquent, en suivant cette logique, plus un équipement est s’appliquer. Seulement 6 % des composants (A et B) possèdent
fréquemment révisé, plus sa probabilité de défaillance diminue. une période d’usure identifiable et correspondent à des
Suivant cette hypothèse, le problème majeur réside dans la déter- composants simples (pneus, plaquettes de freins).

11 %
possèdent Courbe en baignoire :
4% 1) période de jeunesse : décroissant
une date de
limite de vie A 2) période maturité : constant
sûre 3) période de vieillissement : croissant
2%

Taux de défaillance constant suivi d’un taux


B croissant lié à l’usure
Probabilité conditionnelle de défaillance

5%

Taux de défaillance croissant linéaire


C
ne possédant pas une période d’usure identifiable
89 %
ne possèdent
7%
pas d’une date de limite
de vie sûre Taux de défaillance croissant au début de vie
D
suivie d’un taux constant

14 %

Taux de défaillance constant


E
(loi exponentielle)

68 %
Taux de défaillance décroissant pendant
la période de jeunesse suivie d’un taux
F
constant ou légèrement croissant

Source : Nowlan et Heap

Figure 1 – Allures des courbes des probabilités de défaillance

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 655 – 3

VY

WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVP

Méthode de maintenance basée


sur la fiabilité RCM2™
de John Moubray

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informati-
que et d’hydraulique et des télécommunications


de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et principes ............................................................................ SE 1 660 - 2


1.1 Origines de la maintenance basée sur la fiabilité RCM2 ....................... — 2
1.2 Définition et principes de la méthode RCM2 .......................................... — 2
2. Terminologie et définitions ................................................................ — 3
2.1 Définitions relatives aux conséquences des défaillances...................... — 3
2.2 Définitions relatives aux tâches de maintenance ................................... — 3
2.3 Définitions relatives aux AMDE (analyse des modes
de défaillance et de leurs effets) suivant la RCM2 ................................. — 4
3. Méthode RCM2™ développée par John Moubray ........................ — 5
3.1 Principe de la RCM2.................................................................................. — 5
4. Exemple d’application à un convoyeur à chaînes d’une chaîne
de palettisation ...................................................................................... — 10
4.1 Description de la chaîne de palettisation ................................................ — 10
4.2 Fonctions et défaillances fonctionnelles du convoyeur......................... — 11
4.3 Sélection des tâches de maintenance pour le convoyeur ..................... — 11
4.4 Synthèse de l’étude de la ligne de palettisation..................................... — 12
5. Conclusion............................................................................................... — 13
6. Glossaire .................................................................................................. — 13
Pour en savoir plus ........................................................................................ Doc. SE 1 660

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle, présente les origines, les principes et
caractéristiques de la méthode de maintenance basée sur la fiabilité
RCM2/RCMII. Cette méthode a été mise au point par John Moubray sur les
bases de la première méthode RCM (Reliability-Centered Maintenance)
développée par Stanley Nowlan et Howard Heap en 1978 dans le secteur aéro-
nautique. Après la parution de cette méthode, John Moubray a collaboré avec
Stanley Nowlan pour adapter la démarche initiale à tous les secteurs indus-
triels. La RCM2 est définie par John Moubray comme une procédure destinée
à déterminer ce qui doit être fait pour s’assurer que tout bien physique
continue à réaliser ce que l’utilisateur désire dans son contexte opérationnel
actuel. La première section présente les origines de sa démarche qui se veut
p。イオエゥッョ@Z@ウ・ーエ・ュ「イ・@RPQU

très pragmatique. Les principales définitions utiles pour la compréhension de


méthode RCM2 ont été extraites et traduites à partir de l’ouvrage RCMII publié
par John Moubray et constituent le contenu de la deuxième section. Elle

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 660 – 1

WQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVP

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ RCM2™ DE JOHN MOUBRAY ____________________________________________________________

souligne les différences notoires entre les définitions utilisées par la RCM2 et
celles préconisées dans des normes internationales en particulier pour les
AMDE (analyse des modes de défaillance et de leurs effets). Les raisons évo-
quées par John Moubray pour utiliser des définitions spécifiques pour la RCM2
reposent sur sa volonté délibérée d’utiliser des termes du langage commun
aisément compréhensibles par les praticiens de la maintenance. La troisième
section reprend les sept questions fondamentales auxquelles il faut répondre
pour obtenir le plan initial de maintenance RCM2. Ces questions feront l’objet
de paragraphes spécifiques et concerneront : les fonctions, les modes, les
causes et les conséquences des défaillances. Pour déterminer les tâches de
maintenance, les autres questions portent sur l’importance des conséquences
des défaillances, la possibilité de prédire ou de prévenir les défaillances avec la
maintenance proactive et ce qui peut être mis en œuvre dans le cas où aucune
tâche de maintenance proactive ne peut être utilisée. Afin d’illustrer le déroule-
ment d’une étude de maintenance basée sur la fiabilité de type RCM2, le cas


d’un système de palettisation comportant des convoyeurs à chaînes et
implanté dans une usine de fabrication de cartons alimentaires sera traité. La
première partie de l’étude présente le tableau d’AMDE spécifique à la RCM2
pour identifier les fonctions, les défaillances fonctionnelles, les modes et les
conséquences pour le convoyeur à chaînes. Ensuite, à l’aide de l’arbre logique
de décision de la RCM2, les tâches de maintenance sont présentées pour les
six modes de défaillance de la première fonction et pour les deux modes de
défaillance associés à la deuxième fonction. Les intervalles entre tâches de
maintenance sont également proposés.
Comme le retour d’expérience sur les implantations de la RCM2 montre
qu’elle est utilisée par des milliers d’utilisateurs dans plus de cinquante pays,
la dernière section est consacrée à une analyse de la méthode et souligne
l’importance de la RCM2. En effet, elle sert aujourd’hui de base à de nom-
breuses normes et recommandations sur les méthodes de maintenance basées
sur la fiabilité aujourd’hui en vigueur. Des recommandations seront également
fournies pour le lecteur souhaitant implanter la RCM2, ainsi que sur les adapta-
tions en cours.

par l’acronyme N&H dans la suite de cet article) et la RCM2 seront


1. Origines et principes rappelées compte tenu de la genèse de la RCM2.

1.1 Origines de la maintenance basée 1.2 Définition et principes de la méthode


sur la fiabilité RCM2 RCM2
En 1978, Nowlan et Heap, à la demande du département amé-
ricain de la Défense, ont rédigé un rapport intitulé RCM Reliability Le contenu méthodologique se calque sur la démarche originelle
Centered Maintenance [1] qui introduit pour la première fois ce de N&H dans cet article en l’enrichissant avec l’apport d’outils de
nouveau concept de stratégie de maintenance. Leur méthode la sûreté de fonctionnement tels que les AMDE et l’utilisation des
concerne principalement le secteur de l’aviation commerciale civile calculs statistiques sur les données du retour d’expérience. La
compte tenu de leurs compétences dans la maintenance de la RCM2 est définie par John Moubray comme : « une procédure des-
flotte des avions de la compagnie United Airlines. Après la dispari- tinée à déterminer ce qui doit être fait pour s’assurer que tout bien
tion de Howard Heap, peu après la parution de ce rapport essen- physique continue à réaliser ce que l’utilisateur désire dans son
tiel, Stanley Nowlan entreprit des études pour enrichir sa méthode contexte opérationnel actuel ».
RCM. En 1983, il commença sa collaboration avec John Moubray
pour adapter la méthode RCM originelle à l’industrie. Leurs tra- Cette définition fait ressortir la volonté de John Moubray d’utiliser
vaux ont donné le jour à la méthode de maintenance basée sur la des termes du langage commun pour être compris par toutes les
fiabilité appelée RCM2. John Moubray créa ensuite sa société Ala- personnes souhaitant appliquer la RCM2 indépendamment de leur
don Limited en 1986 et Aladon LLC aux États-Unis pour proposer qualification.
des services et de la formation avec la RCM2. Leur collaboration se La RCM2 fait appel à des définitions anglo-saxonnes souvent
poursuivit jusqu’à la disparition de Stanley Nowlan en 1995. La difficiles à retranscrire en français. Elles feront l’objet de transposition
RCM2 définit les procédures de maintenance pour satisfaire des dans la langue française lors de leur introduction dans cet article.
objectifs en termes de risque (sécurité et environnement), de qua-
lité, de contrôle, de coûts, du service client, etc. Dans cet article, de Les principes de la RCM2 reposent sur deux étapes fondamentales
nombreuses comparaisons entre la RCM de Nowlan et Heap (noté pour établir le plan initial de maintenance.

SE 1 660 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVP

_____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ RCM2™ DE JOHN MOUBRAY

– La première étape préconise l’utilisation d’un tableau AMDE • Fonction évidente : une fonction est évidente si sa défaillance,
(analyse des modes de défaillance et de leurs effets) spécifique à lorsqu’elle se produit éventuellement ou inévitablement, devient
la RCM2. Il permet de recenser les fonctions, les défaillances fonc- évidente à l’équipe de conduite dans les conditions normales
tionnelles, les modes de défaillance et leurs effets. d’exploitation.
– La seconde étape consiste dans un premier temps à classer les • Fonction cachée : une fonction est cachée quand sa
défaillances en deux catégories (évidentes et cachées). Ensuite, défaillance se produit et ne deviendra pas évidente à l’équipe de
suivant ces réponses, les tâches de maintenance proactive sont conduite dans les conditions normales d’exploitation.
sélectionnées en fonction des conséquences des défaillances grâce
à l’utilisation d’un arbre de décision. Cet arbre logique envisage le • Diagramme de décision : représentation graphique du proces-
cas où aucune tâche proactive n’a été identifiée. La RCM2 propose sus de décision dans laquelle les réponses à des séquences ordon-
un tableau spécifique qui récapitule toutes les questions posées et nées de réponses oui/non conduisent à l’identification de la tâche
également les tâches de maintenance avec leur périodicité. de maintenance la plus adaptée.
Dans son ouvrage RCMII, John Moubray consacre neuf chapitres
pour aider le lecteur à répondre aux sept questions fondamentales 2.1 Définitions relatives
de la RCM2 :
– Question 1 : quelles sont les fonctions de l’équipement et leurs
aux conséquences des défaillances
spécifications de performance associées dans son contexte • Conséquences sur la sécurité : un mode de défaillance a des


opérationnel ? conséquences sur la sécurité s’il induit la perte de la fonction ou
– Question 2 : de quelles façons le bien ou le système cesse-t-il d’autres dommages qui pourraient blesser ou tuer des personnes.
d’accomplir ses fonctions ?
• Conséquences environnementales : un mode de défaillance a
– Question 3 : quelles sont les causes de chaque défaillance
des conséquences environnementales s’il induit la perte de la fonc-
fonctionnelle ?
tion ou d’autres dommages qui pourraient entraîner une violation
– Question 4 : quelles sont les conséquences de chaque
des règles environnementales ou de la réglementation.
défaillance ?
– Question 5 : quelle est l’importance des conséquences de cha- • Conséquences opérationnelles : un mode de défaillance a des
que défaillance ? conséquences opérationnelles s’il a un effet direct défavorable sur
– Question 6 : que peut-il-être fait pour prédire ou prévenir cha- les capacités opérationnelles.
que défaillance ? • Conséquences non opérationnelles : un mode évident de
– Question 7 : que peut-il-être fait si une tâche de maintenance défaillance appartient à cette catégorie si son effet n’a pas de
proactive n’existe pas ? conséquence sur la sécurité et la production et induit seulement
Les réponses à ces questions seront traitées ultérieurement en des coûts de réparation.
détail et feront l’objet de la section 3. • Conséquences d’une défaillance cachée : une défaillance
cachée n’a pas d’effet direct mais elle expose l’exploitant à des
défaillances multiples qui ont des conséquences importantes et
souvent catastrophiques.
2. Terminologie
et définitions 2.2 Définitions relatives aux tâches
de maintenance
Cette fonction présente les traductions des principaux termes et
les définitions utilisées par John MOUBRAY dans son ouvrage Les définitions des tâches de maintenance retenues par John
RCMII-Reliability Centered Maintenance [2]. Les termes techniques Moubray reprennent pour la majorité d’entre elles celle utilisée par
anglais ont été utilisés avec leurs acronymes. Il est indispensable N&H dans leur rapport sur la RCM. En revanche, d’autres définitions
de noter que depuis cette date, des définitions complémentaires et ont vu leurs contenus fortement modifiés, d’une part pour utiliser
nouvelles font l’objet de normes nationales ou internationales, en un langage plus pragmatique, et d’autre part pour prendre en
particulier la norme européenne NF EN 13306 [3]. Pour des défi- compte l’évolution des techniques de la maintenance préventive.
nitions liées aux méthodes RCM, le lecteur trouvera dans [4], • Tâches proactives : elles correspondent à des tâches de main-
[MT 9 310], [SE 1 650] et [SE 1 655] d’autres informations tenance qui sont réalisées avant l’occurrence de la défaillance dans
complémentaires. le but de prévenir. Elles sont également appelées tâches de main-
tenance préventives ou prévisonnelles (predictives en anglais).
§ Définitions générales Elles incluent la maintenance conditionnelle, la remise en état pro-
• Fonction : ce que le possesseur ou utilisateur d’une installa- grammée et la mise au rebut programmée. Ces tâches proactives
tion physique ou d’un système veut qu’il réalise. La définition de maintenance dépendent du comportement des équipements
d’une fonction inclut un verbe, un objet et un niveau spécifié de pendant leur durée de vie et nécessitent la connaissance des lois
performance. de probabiblité conditionnelle de défaillance. La figure 1 repré-
• Capacité initiale : elle représente ce que l’installation physique sente les allures les plus classiques relevées sur les équipements
ou l’équipement peut réaliser en termes de performance de sa (ou industriels.
ses) fonction(s). Elle dépend uniquement de sa conception et de sa La courbe A est la courbe en baignoire. Elle est caractérisée par
fabrication. Elle est appelée fiabilité inhérente dans la RCM2. une période de jeunesse avec une allure décroissante, une période
• Contexte opérationnel : les conditions dans lesquelles il est de maturité avec un taux constant et une période de vieillissement
prévu que l’installation physique ou le système fonctionne. où le taux de défaillance devient croissant. La courbe B possède
un taux de défaillance constant suivi d’un taux croissant lié à
• Défaillance : la défaillance est définie comme l’incapacité de l’usure. La courbe C a un taux de défaillance croissant linéaire ne
toute installation ou système de réaliser ce que son utilisateur veut possédant pas une période d’usure identifiable. La courbe D a un
qu’il réalise. taux de défaillance croissant au début de vie suivi d’un taux
• Défaillance fonctionnelle : la défaillance fonctionnelle est défi- constant. La courbe E à un taux de défaillance constant (loi expo-
nie comme l’incapacité de toute installation ou système de réaliser nentielle) et la courbe F se caractérise par un taux de défaillance
sa (ou ses) fonction(s) à des niveaux de performance qui soient décroissant pendant la période de jeunesse suivie d’un taux
acceptables par l’utilisateur. constant ou légèrement croissant.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 660 – 3

WS

WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVU

Méthode de maintenance basée


sur la fiabilité de la SAE

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique
et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et principes ............................................................................ SE 1 665 - 3
1.1 Origines des publications de la SAE sur la RCM .................................... — 3
1.2 Principes et critères de la méthode RCM de la SAE............................... — 3
2. Terminologie et définitions ................................................................ — 3
2.1 Préambule.................................................................................................. — 3
2.2 Recommandations et remarques ............................................................ — 6
3. Principes directeurs de la méthode RCM de la SAE.................... — 6
3.1 Principes directeurs généraux ................................................................. — 7
3.2 Principes directeurs particuliers relatifs au contenu des tâches
et de leur procédure de sélection ............................................................ — 8
4. Exemple d’application à système de freinage
hydraulique d’un véhicule automobile ............................................ — 11
4.1 Description du système de freinage d’un véhicule automobile............ — 11
4.2 Fonctions et défaillances fonctionnelles du système de freinage ........ — 12
4.3 Sélection des tâches de maintenance du système de freinage ............ — 12
4.4 Synthèse de l’étude sur le système de freinage hydraulique ............... — 16
5. Conclusion............................................................................................... — 16
6. Glossaire .................................................................................................. — 16
Pour en savoir plus ........................................................................................ Doc. SE 1 665

et article, qui s’adresse à des lecteurs ayant des connaissances de base sur
C la maintenance industrielle, présente le contenu méthodologique des
documents élaborés par la SAE (Society of Automotive Engineers) pour servir
de guide pour l’élaboration et pour l’évaluation d’une méthode de mainte-
nance basée sur la fiabilité (RCM) qui respecte strictement les principes
originaux définis par Nowlan et Heap en 1978 et noté dans cet article
RCM-N&H. Suivant la SAE, certaines méthodes ne respectaient pas les
principes fondamentaux de la RCM et d’autres se révélaient contreproductives
ou mêmes dangereuses. Dans cet article, les deux documents JA 1011 et JA
1012 sont analysés et commentés. Le document JA 1011 présente les critères
minima à respecter pour qu’une politique de maintenance soit conforme à la
RCM-N&H. Le guide JA 1012 présente la méthodologie à suivre et les exi-
gences requises pour se prévaloir de la RCM-N&H.
La première section présente les origines de la démarche qui résulte de la
volonté de la SAE de mettre à la disposition des différents secteurs industriels
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQU

des documents de référence sur la RCM en fédérant les efforts entrepris par
plusieurs organismes américains faisant référence dans le domaine de la RCM.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 665 – 1

WU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVU

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE ___________________________________________________________________________

Les principales définitions indispensables pour la définition des critères


d’évaluation d’une politique de RCM sont extraites et traduites des documents
JA 1011 et JA 1012 et constituent le contenu de la deuxième section. Une
attention particulière a été portée pour retranscrire le plus fidèlement possible
les informations essentielles contenues dans ces deux documents. La SAE pré-
conisant l’utilisation de sept questions pour obtenir le plan initial de
maintenance RCM-N&H, la seconde section sera dédiée aux cinq questions
relatives aux définitions sur les fonctions, les modes, les causes et les
conséquences des défaillances. Compte tenu des différences significatives
d’interprétation entre les définitions de la SAE et celles des normes internatio-
nales pour les AMDE (analyse des modes de défaillance et de leurs effets), une
comparaison est fournie au lecteur pour lever toute ambiguïté. Dans la mesure
où ces deux documents peuvent être considérés comme des supports d’un
audit de maintenance RCM-N&H, les formes verbales qui sont contenues dans
ces textes sont également explicitées. Ensuite, la troisième section sera


consacrée aux deux questions restantes et dont les réponses sont l’objet de
principes généraux et particuliers pour déterminer et sélectionner les tâches de
maintenance. Les principes généraux concernent l’utilisation des courbes de
probabilité conditionnelle des défaillances, les notions de tâches technique-
ment faisables, qui en valent la peine et qui sont efficaces au plan économique,
les notions de défaillance évidentes et cachées et leurs conséquences sur la
sécurité, l’environnement et l’exploitation. Les principes particuliers sont rela-
tifs aux libellés et contenus des tâches, à leur procédure de sélection et au
programme évolutif. Pour les tâches proactives, l’interprétation de la courbe de
dégradation qui permet de surveiller le comportement de l’équipement entre la
défaillance potentielle et la défaillance fonctionnelle fait l’objet d’un dévelop-
pement complet. Le cas des tâches programmées de mise au rebut, de remise
en état et de recherche de défaillances cachées est également analysé. En
l’absence de tâches programmées techniquement faisables et qui en valent la
peine, des solutions alternatives sont proposées : reconception, modification
des conditions d’exploitation et fonctionnement jusqu’à défaillance. Pour la
sélection des tâches, une approche rigoureuse basée sur les AMDE est tout
d’abord présentée suivie d’une approche pragmatique à base de diagrammes
et d’arbres de décision. Le programme initial de maintenance étant intrinsè-
quement sujet à des imprécisions, les principes de la procédure de révision
sont ensuite détaillés.
Pour illustrer le déroulement d’une étude de maintenance basée sur la fiabi-
lité conforme à la SAE, le cas d’un système de freinage hydraulique d’un
véhicule automobile est traité. Un tableau AMDE présente le cas de deux fonc-
tions avec leurs défaillances, les modes de défaillance et leurs effets. Ensuite,
les diagrammes de sélection des tâches sont présentés pour deux modes de
défaillance avec les tâches et leur fréquence.
Actuellement, les critères et la méthodologie définie dans les documents JA
1011 et JA 1012 servent de base à l’élaboration de normes sectorielles qui
garantissent que la démarche suivie est conforme à celle de Nowlan et Heap.
Les documents JA 1011 et JA 1012 ne proposent pas une procédure de réalisa-
tion d’un programme de maintenance RCM-N&H, mais les exigences qu’il doit
satisfaire pour revendiquer cette appellation. Il est important cependant de
souligner qu’ils ont été très largement inspirés de la méthode de John Mou-
bray. La comparaison des trois méthodes : Nowlan et Heap, RCM2 et SAE
diffèrent principalement par des terminologies différentes, mais sont très sem-
blables dans leurs principes.

SE 1 665 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVU

____________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE

1. Origines et principes 1.2.1 Définition de la RCM suivant la SAE


La définition de la RCM suivant la SAE est : « une procédure spé-
cifique utilisée pour identifier les politiques de maintenance qui
1.1 Origines des publications doivent être mises en œuvre pour gérer les modes de défaillance
de la SAE sur la RCM qui pourraient induire des défaillances fonctionnelles de tout bien
Au début des années 1990, le département américain de la physique dans un contexte opérationnel défini ». Cette définition
Défense (DOD) prend l’initiative d’éliminer l’utilisation de normes diffère de celle de Nowlan et Heap : « la RCM fait référence à un
militaires lors de l’acquisition de nouveaux équipements et de faire programme de maintenance programmée destiné à obtenir les
appel uniquement à des normes civiles. Parmi celles-ci figure la capacités inhérentes de fiabilité d’un équipement » [3].
MIL-STD-2173 [1] qui décrit la méthode RCM utilisée par la NAVAIR
(Naval Air Systems Command). Pour développer une nouvelle
norme civile, la SAE (Society of Automotive Engineers ) est alors 1.2.2 Sept questions fondamentales
sollicitée pour diriger un groupe de travail chargé d’élaborer une d’une procédure RCM conforme à la SAE
norme sur la RCM. Après de nombreuses discussions, le groupe de
travail s’oriente vers la définition d’un ensemble de critères permet- Lors de l’audit d’un programme de maintenance se revendi-
tant de s’assurer qu’une politique de maintenance est conforme aux quant de la RCM-N&H, la SAE impose que sept questions spécifi-
principes originaux de la RCM définis par Nowlan et Heap. ques soient posées séquentiellement et que chaque réponse soit
Nota : la méthode originale de Nowlan et Heap possédant plusieurs appellations dans
la littérature : « vraie RCM », « RCM originale », « RCM authentique », le terme
« RCM-N&H » est utilisé dans cet article.
fournie et argumentée.
Ces sept questions sont les suivantes :

1. Quelles sont les fonctions et leurs spécifications de perfor-
Pour conforter le caractère industriel du contenu des documents, mances associées de l’équipement dans son contexte opérationnel
le groupe de travail sollicite en 1997 la participation de John (fonctions) ?
Moubray, concepteur de la RCM2. Grâce à cette nouvelle dynami- 2. De quelles façons le bien ou le système cesse-t-il d’accomplir
que, le premier document SAE JA 1011 Evaluation Criteria for ses fonctions (défaillance fonctionnelle) ?
Reliability-Centered Maintenance (RCM) Processes voit le jour en
3. Quelles sont les causes de chaque défaillance fonctionnelle
1999 [2]. Les concepts et le vocabulaire utilisés pour établir ce
(modes de défaillance) ?
document reposent sur trois publications qui sont considérées
comme les références de la RCM : 4. Que se passe-t-il quand une défaillance se produit (effets de
la défaillance) ?
– 1. le rapport de Nowlan et Heap de 1978 : Reliability-Centered
Maintenance [3] ; 5. Quelle est l’importance des conséquences de chaque
– 2. la norme MIL-STD-2173 Reliability-Centered Maintenance défaillance (conséquences des défaillances) ?
Requirements of Naval Aircraft, Weapons Systems and Support 6. Que peut-il être fait pour prédire ou prévenir chaque
Equipment et celle qui lui a succédé : Management Manual défaillance (tâches proactives et intervalle entre tâches) ?
00-25-403 Guidelines for the Naval Aviation Reliability-Centered 7. Que peut-il être fait si une tâche de maintenance proactive
Maintenance Process [4] ; n’existe pas (tâches alternatives ou par défaut) ?
– 3. l’ouvrage Reliability-Centered Maintenance RCM2 de John
Moubray [5].
Il a été suivi de la publication du document SAE JA 1012 : A Remarque
Guide to the Reliability-Centered Maintenance (RCM) Standard [6]
qui complète et clarifie certains points de la JA 1011. On peut
Ces sept questions utilisées sont strictement identiques à
considérer que ces deux documents servent de base pour entre-
celles posées dans la méthode RCM2 de John Moubray.
prendre un audit d’une politique de maintenance RCM-N&H.

Remarque Toutes les réponses doivent obligatoirement être explicitées et


renseignées afin qu’elles soient accessibles et acceptables pour un
En raison de la présence de John Moubray dans le groupe exploitant ou un utilisateur. Les questions 1 à 5 précisent les défi-
de travail de la SAE, certains observateurs ont considéré que nitions et les termes utilisés par la JA 1011 et la JA 1012 pour
les documents JA 1011 et JA 1012 étaient développés à partir assurer les critères de la méthode RCM-N&H. Elles seront dévelop-
de sa méthode RCM2. Face à ces détracteurs, les rédacteurs pées en détail dans la section 2. Les questions 6 à 7 concernent les
de ces documents insistent sur le fait que la majorité du critères associés à la gestion des défaillances, ainsi qu’à la sélec-
contenu de la JA 1011 avait été définie avant l’arrivée de John tion des tâches de maintenance et feront l’objet de la section 3.
Moubray en 1997 et certifient qu’ils ont respecté les principes
originaux de la RCM-N&H. Cependant, une lecture attentive de
l’ouvrage RCM2 de John Moubray et du guide JA 1012 fait
ressortir que la grande majorité des figures et des exemples 2. Terminologie et définitions
contenus dans la JA 1012 sont des reproductions intégrales de
celles de l’ouvrage RCM2 de John Moubray.
2.1 Préambule
Cette section présente les traductions des principaux termes et
1.2 Principes et critères de la méthode les définitions utilisées relatives aux cinq premières questions. Il
RCM de la SAE est important de noter que depuis cette date, des définitions
complémentaires et nouvelles font l’objet de normes nationales ou
Les documents JA 1011 et JA 1012 ont été rédigés pour fournir internationales, et en particulier la norme européenne
aux acteurs de la maintenance des critères à respecter pour s’assu- NF EN 13306 [7]. Pour des définitions liées aux méthodes RCM, le
rer qu’ils appliquent une procédure RCM conforme à celle de la lecteur trouvera dans [8], [MT 9 310], [SE 1 650], [SE 1 655] et
méthode originale RCM-N&H. [SE 1 660] d’autres informations complémentaires.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 665 – 3

WW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVU

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA SAE ___________________________________________________________________________

Suivant cette définition, cela implique qu’une fois le bien mis en


Dans le domaine de la normalisation, des formes verbales service, il doit être capable de fournir plus que le niveau minimal
pour exprimer des dispositions font l’objet de normes interna- de performance souhaité par l’utilisateur. Cependant, comme un
tionales dont l’ISO/IEC Directives, Part 2-Rules for the structure équipement a des performances qui se dégradent au cours du
and drafting of International Standards [9]. Ainsi la forme ver- temps, la SAE définit la notion de capacité initiale qui dépend de la
bale « shall » qui est traduite par « doit » sert à formuler une conception. Celle-ci étant supérieure à ce que souhaite l’utilisateur,
exigence. Une exigence ou « requirement » est définie par on dispose alors d’une marge avant la dégradation.
l’expression, dans le contenu d’un document, formulant les cri-
tères à respecter afin de prétendre à la conformité avec le La figure 1 illustre la relation entre la capacité initiale et le
document, et avec lesquels aucun écart n’est permis. Le lecteur niveau souhaité de performance. Cela permet de définir la perfor-
trouvera dans ces normes le sens des formes verbales mance de deux manières :
« must », « should », « may » et leurs équivalences françaises. 1. la performance souhaitée (ce que l’utilisateur veut que le bien
réalise) ;
Les documents JA 1011 et JA 1012 ont été rédigés avec la forme 2. la capacité intrinsèque (built-in capability ).
verbale « shall ». En conséquence, les éléments définis dans les Dans le cas de la pompe, pour être capable de garantir qu’elle
sections 2 et 3 et leurs paragraphes respectifs devront être réalise ce que l’utilisateur souhaite avec une marge prédéfinie de
considérés comme des exigences en dépit de leurs formulations dégradation, le concepteur du système de transfert devra choisir
volontairement simplifiées pour ne pas alourdir leur lecture.


une pompe avec une capacité initiale supérieure à 800 L (par
exemple de 1 000 L/min).
2.1.1 Immobilisation matérielle
La notion d’immobilisation matérielle, « physical asset » en 2.1.3 Défaillances fonctionnelles
anglais, est un terme qui correspond à un bien enregistré en
comptabilité. Un bien correspond à tout élément, composant, Les réponses à la question n˚ 2 : « de quelles façons le bien ou le
mécanisme, sous-système, unité fonctionelle, équipement ou sys- système cesse-t-il d’accomplir ses fonctions (défaillance
tème qui peut être considéré individuellement. Dans une analyse fonctionnelle) ? » permettent d’établir une distinction entre la
RCM, leurs limites physiques doivent être formellement définies. défaillance d’un équipement et la défaillance fonctionnelle. Un
Ensuite, une décomposition hiérarchique fonctionnelle et/ou maté- équipement est défaillant s’il est incapable de réaliser ce que
rielle à plusieurs niveaux doit être construite pour identifier les l’utilisateur lui demande d’accomplir. Dans ce cas, sa performance
fonctions, les défaillances, les modes de défaillance et leurs effets. se situera dans la zone rouge de la figure 1. Comme cet état de
défaillance global peut être la conséquence de la perte d‘une ou de
2.1.2 Fonctions plusieurs fonctions, il est préférable d’employer le terme de
La question 1 : « quelles sont les fonctions et leurs spécifications défaillance fonctionnelle. La défaillance fonctionnelle est définie
de performances associées de l’équipement dans son contexte comme l’incapacité de toute installation ou système de réaliser sa
opérationnel (fonctions) ? » impose que les éléments suivants (ou ses) fonction(s) à ses niveaux souhaités de performance. Deux
soient détaillés : catégories de défaillances fonctionnelles sont à distinguer :
défaillance fonctionnelle totale et défaillance fonctionnelle par-
– le contexte opérationnel ; tielle. La défaillance fonctionnelle induit la perte totale de la fonc-
– les fonctions primaires et secondaires ; tion totale, tandis que la défaillance partielle induit une
– la formulation des fonctions ; dégradation des performances de l’équipement. Pour garantir une
– les critères de performance. exhaustivité des études, toutes les défaillances fonctionnelles tota-
les et partielles doivent être recensées et documentées. La
2.1.2.1 Contexte opérationnel défaillance potentielle est une condition physique mesurable qui
Le contexte opérationnel explicite comment et où un équipe- indique que la défaillance est sur le point de se produire.
ment est utilisé, ainsi qu’une description succincte de ses critères
de performance.

2.1.2.2 Fonctions primaires et secondaires


CAPACITÉ INITIALE
Les recommandations de la SAE imposent que la liste de toutes
(ce que peut accomplir l’équipement)
les fonctions d’un équipement soit établie en les classant en deux
catégories : les fonctions principales et les fonctions secondaires.
Les fonctions principales représentent la (ou les) raison(s) d’être de
l’acquisition de l’équipement. Les fonctions secondaires ne sont
pas en général liées aux fonctions principales (excepté le cas des Marge avant dégradation
PERFORMANCE

fonctions de protection). Elles doivent être recensées car leurs per-


tes peuvent conduire à des conséquences plus sérieuses que celles
des fonctions principales.

2.1.2.3 Formulation des fonctions


La description d’une fonction est réalisée à l’aide d’un verbe à
l’infinitif, d’un objet et d’un critère de performance (quantifié cha-
que fois que cela est possible). Ainsi, une pompe transférant de PERFORMANCE
l’eau d’un réservoir X vers un réservoir Y sera formulée par : pom- DÉSIRÉE
per de l’eau du réservoir X vers le réservoir Y avec un débit jamais (ce que l’utilisateur spécifie)
inférieur à 800 L/min.

2.1.2.4 Critères de performances


Les critères de performances figurant dans la définition de la fonc-
tion correspondent au niveau de performance souhaité par le posses-
seur ou l’utilisateur de l’équipement dans son contexte opérationnel. Figure 1 – Capacité initiale et performance désirée

SE 1 665 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVW

Méthode de maintenance basée


sur la fiabilité de la CEI

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique
et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et principes ............................................................................ SE 1 667 - 2



2. Cinq étapes de la méthode MBF de la CEI ..................................... — 3

3. Exemple d’application à un système de production


d’air comprimé de quatre agroalimentaire .................................... — 11
4. Conclusion............................................................................................... — 16
5. Glossaire .................................................................................................. — 18
Pour en savoir plus ........................................................................................ Doc. SE 1 667

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle, présente les principes de la méthodologie
définie dans la norme 60300-3-11(2009) de la Commission électrotechnique
internationale pour établir une politique de maintenance basée sur la fiabilité
(MBF), notée dans cet article par l’acronyme MBF-CEI. La première section pré-
sente les origines de la démarche, initialement conforme à la politique définie
par la norme ATA-MSG-3 dans le domaine aéronautique et qui a été ensuite
entièrement modifiée pour être applicable à tous les secteurs de l’industrie. La
volonté de la CEI dans cette norme MBF est de fournir un cadre méthodolo-
gique, des recommandations et des méthodes d’analyse tout en laissant à un
utilisateur potentiel plusieurs alternatives sans lui imposer des exigences for-
melles. La MBF-CEI est définie « comme une méthode pour identifier et
sélectionner efficacement des politiques de gestion des défaillances à mettre
en œuvre pour atteindre réellement et efficacement la sécurité, la disponibilité
et un fonctionnement à l’optimum économique requis ».
Les termes utilisés par cette norme seront définis dans chaque section en fonc-
tion des besoins, sachant que la CEI a publié plusieurs normes sur la
terminologie à mettre en œuvre pour la sûreté de fonctionnement et sur les
Amdec. Ensuite, les formes verbales utilisées feront l’objet de commentaires
pour aider le lecteur à faire la distinction entre les éléments à caractère obliga-
toire et ceux faisant l’objet de recommandations.
La procédure globale préconisée par la CEI pour établir le programme de
maintenance MBF comprend cinq étapes et fait l’objet de la seconde section.
La première étape concerne les éléments nécessaires à rassembler avant
d’entreprendre le développement du programme de maintenance MBF : objec-
tifs recherchés, contenu de l’analyse, recensement des informations sur le
système, définition des conditions de fonctionnement de l’entité, qualification
et formation de personnes chargées des études et planification. Elle se
concrétise par la rédaction d’un plan d’analyse et du contexte de fonctionne-
p。イオエゥッョ@Z@、←」・ュ「イ・@RPQU

ment. La deuxième étape est consacrée à l’analyse des défaillances


fonctionnelles. Elle fait appel au recueil et à l’exploitation du retour d’expé-
rience, aux méthodes de décomposition fonctionnelle, à l’inventaire des

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 667 – 1

WY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVW

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI ____________________________________________________________________________

fonctions de l’entité et à l’utilisation et la rédaction des Amdec (analyse des


modes de défaillance de leurs effets et de leur criticité). Compte tenu du fait
que les notions de sévérité et de criticité sont importantes à maîtriser pour
l’identification des modes dominants de défaillance, les méthodes d’évaluation
sont également détaillées. La troisième étape est dédiée aux exigences rela-
tives à la sélection des tâches de maintenance. Elle prend en compte les
conséquences des défaillances, le choix d’une politique de gestion la plus
appropriée et la plus efficace et la détermination de l’intervalle entre tâches.
Des références aux outils analytiques disponibles pour la détermination des
intervalles entre tâches de maintenance seront également présentées à l’aide
de données statistiques issues du retour d’expérience. La quatrième étape
indique la procédure de mise en œuvre des tâches pour élaborer le pro-
gramme de maintenance : détails sur les contenus, hiérarchisation,
rationalisation des intervalles entre tâches et effet du vieillissement. La der-
nière étape donne les lignes directrices pour l’amélioration continue du
programme MBF en utilisant les données d’exploitation : contrôle de l’efficacité
S de la maintenance, contrôle des objectifs de sécurité opérationnels et écono-
miques et évaluation de l’effet du vieillissement. Compte tenu du fait qu’à
l’origine, la première version de la norme MBF-CEI puisait ses racines dans le
domaine aéronautique suivant la norme ATA-MSG-3 qui décrit séparément le
cas des systèmes et des structures, la deuxième section présentera l’adapta-
tion de la démarche MBF-CEI au cas des structures.
Le cas d’un système de production et de distribution d’air comprimé de très
haute qualité pour des applications agroalimentaires illustrera la méthode
d’élaboration d’un programme de maintenance MBF conforme à la norme CEI
dans la troisième section. Il traitera deux fonctions dont les défaillances ont
des conséquences sur la sécurité et sur la production. Le contenu des tâches
de maintenance obtenu à l’aide du diagramme de sélection sera présenté, ainsi
que les justifications sur les intervalles entre tâches.
Finalement, la quatrième section proposera en conclusion une évaluation du
contenu méthodologique de la norme CEI 60300-3-11 en mettant en exergue
les similarités avec les méthodes MBF de Nowlan et Heap, de la RCM2, de la
MSG-3 de la NAVAIR 00-25-403 et de la SAE JA 1012. Un ensemble de recom-
mandations sera proposé au lecteur pour l’assister dans le choix de la
méthodologie.

1. Origines et principes (SAE JA1012 [3] [SE 1 665], NAVAIR 00-25-403 [4], RCM2 [5],
[SE 1 660]). C’est la raison qui a conduit la CEI à élaborer une
seconde version 60300-3-11 en 2009 [6], s’inspirant de ces docu-
ments et ne suivant plus les recommandations de la norme
1.1 Origine de la publication de la norme MSG-3. La méthode MBF-CEI peut être appliquée à tous types
CEI 60300-3-11 sur la MBF d’équipements et de systèmes constitués d’équipements et de
structures.
La première édition de la norme CEI 60300-3-11 [1] de 1999 était Cette version de la norme, objet de cet article, a été entièrement
basée sur la méthodologie de la norme ATA-MSG-3 [2]. Cette der- remaniée en proposant une procédure révisée de la MBF et une
nière définit les exigences pour le développement du programme méthode pour le processus d’analyse. Elle définit la MBF comme
initial de maintenance programmé pour les systèmes et la struc- « un processus décisionnel destiné à identifier des exigences effi-
ture d’un aéronef. La première édition de la norme 60300-3-11 caces en matière de maintenance préventive ou des actions de
tente d’expliquer l’essentiel des principes pour tous les secteurs gestion applicables pour des équipements, en fonction des
industriels et de présenter leur utilisation en appliquant la métho- conséquences opérationnelles et économiques, ainsi que des
dologie MSG-3. Elle est définie comme « une méthode destinée à conséquences sur la sécurité liées à chaque défaillance identifiable
établir un programme de maintenance préventive qui permettra et à chaque mécanisme de dégradation responsable de ces
d’atteindre réellement et efficacement les niveaux requis de sécu- défaillances ». La norme CEI 60300-3-11 fait partie d’un ensemble
rité et de disponibilité des équipements et des structures afin de quinze normes de la rubrique CEI 60300 spécifiques à la sûreté
d’aboutir à une amélioration globale de la sécurité, de la disponibi- de fonctionnement. Elle fournit des lignes directrices permettant
lité, et des aspects économiques de l’exploitation ». l’élaboration d’une politique de gestion des défaillances pour des
De nouveaux documents de référence sur la MBF, valables pour équipements et des structures, fondée sur une analyse de mainte-
tous les systèmes industriels, ont vu le jour après les années 2000 nance basée sur la fiabilité (MBF).

SE 1 667 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVW

____________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI

Cette partie n° 11 sert de guide d’application et est un prolonge- La procédure élaborée par la CEI reprend les bases conceptuelles
ment des normes CEI 60300-3-10 [7], CEI 60300-3-12 [8] et des méthodes de Nowlan et Heap, de la norme SAE JA1012 et de la
CEI 60300-3-14 [9]. Les activités de maintenance recommandées norme NAVAIR. La figure 2 représente la procédure générale de la
dans ces trois normes et se rapportant à la maintenance préven- MBF de la NAVAIR élaborée en 2005. Elle propose quatre étapes
tive peuvent être mises en œuvre en utilisant la présente norme. dont les contenus sont très proches des cinq étapes de la MBF-CEI.
La norme CEI 60300-3-11 préconise l’utilisation de la norme
CEI 60050-192 [10] (remplace la norme CEI 60050-191 annulée en
2015) pour les termes et les définitions. En conséquence, les
termes relatifs à la maintenance définis par la norme 2. Cinq étapes de la méthode
NF EN-13306 [11] ne seront pas utilisés. Le site interactif de la CEI
http://www.electropedia.org/ fournit gratuitement les définitions et MBF de la CEI
termes de la norme CEI 60050-192. La prochaine date de révision
de la norme est prévue en 2018.
2.1 Préambule
Contrairement aux normes JA1012 et NAVAIR qui contiennent
Remarque
des exigences formelles et obligatoires pour élaborer les pro-
grammes de MBF conformes à ceux définis par Nowlan et Heap, la
La majorité des normes CEI ont des correspondances norme MBF-CEI présente des lignes directrices et des recomman-


européennes NF EN. Ensuite, par souci d’homogénéité les dations concernant les activités de maintenance pour élaborer une
références de la CEI seront uniquement mentionnées. politique de gestion des défaillances pour des équipements et des
structures. Les sections qui suivent reprennent en détail les élé-
ments représentés sur le diagramme de la figure 1.
1.2 Définition, objectifs et principes Les normes rédigées par la CEI devant satisfaire les formes ver-
bales suivant la directive ISO/CEI – Partie 2 – Règles de structure et
de la méthode MBF-CEI de rédaction des normes internationales de 2011 [13], un rappel
sommaire des lignes directrices est fourni pour aider le lecteur à
1.2.1 Définition de la MBF suivant la CEI lever toute ambiguïté dans l’interprétation de cette norme. Ainsi,
La norme CEI 603003-3-11 définit la maintenance basée sur la une exigence est définie par une « expression dans le contenu d’un
fiabilité MBF comme une « méthode pour identifier et sélectionner document formulant les critères à respecter afin de prétendre à la
des politiques de gestion des défaillances à mettre en œuvre pour conformité avec le document, et avec lesquels aucun écart n’est
atteindre réellement et efficacement la sécurité, la disponibilité et permis », le verbe « doit » est d’un usage obligatoire ; en revanche,
un fonctionnement à l’optimum économique requis ». pour une recommandation, le terme « il convient » est à utiliser.

Bien que cette norme fasse référence aux travaux des fonda- Nota : la norme MBF-CEI énumère dans sa rédaction une liste d’exigences, mais
utilise le terme « il convient » applicable aux recommandations, ce qui peut sembler
teurs de la MBF Nowlan et Heap, cette définition diffère sensible- contradictoire avec ce document normatif sur la rédaction des normes. Le secrétariat du
ment de celle de ses concepteurs : « la MBF fait référence à un groupe TC56 de la CEI contacté sur ce point reconnaît qu’il y a des erreurs dans les
programme de maintenance programmée destiné à obtenir les formes verbales utilisées et que cela peut entraîner des confusions.
capacités inhérentes de fiabilité d’un équipement » [12] [SE 1 655].

2.2 Étape n° 1 : début et planification


1.2.2 Objectifs de la MBF-CEI de la MBF-CEI
Les objectifs de la MBF-CEI sont de développer pour un programme Cette étape est indispensable pour élaborer le plan d’analyse
demaintenancepréventiveefficaceayantpourbutsprincipaux : prenant en compte les objectifs recherchés, les limites et le
– de maintenir les fonctions de l’entité avec le niveau de sûreté de contenu de l’étude, la description de l’entité avec ses limites phy-
fonctionnement requis dans un contexte donné de fonctionnement ; siques et son contexte de fonctionnement. Elle permet de définir
les connaissances à rassembler et les compétences du groupe de
– d’utiliser les informations du retour d’expérience pour amélio-
travail. Elle doit s’inscrire dans une politique de planification glo-
rer la conception des entités si cela s’avère nécessaire ;
bale de la gestion de la maintenance et des défaillances propres à
– d’atteindre ces objectifs avec un coût optimal pendant la durée chaque culture d’entreprise.
du cycle de vie ;
– de faire évoluer le programme initial de maintenance en révisant
2.2.1 Détermination des limites et des objectifs
le contenu du programme initial, en modifiant les conditions
d’exploitation et en adaptant les qualifications des personnels.
de l’analyse
Le programme de maintenance MBF-CEI est applicable aussi L’une des premières considérations à prendre en compte pour
bien à des entités nouvelles qu’en exploitation (systèmes et struc- entreprendre une analyse MBF est d’identifier comment elle s’inté-
tures). grera dans la stratégie de l’entreprise en matière de sécurité, de
coûts d’exploitation et de maintenance, de coûts commerciaux, et
éventuellement du contexte réglementaire lié à l’environnement
1.2.3 Principes de la MBF-CEI et/ou aux risques industriels. En particulier, il est important de dis-
socier le cas d’une entité nouvelle ayant potentiellement des fai-
Le processus global de la MBF-CEI est représenté sur le schéma blesses de conception de celui où l’entité fait l’objet d’un
de la figure 1 ; il comporte cinq étapes qui seront détaillées dans la programme de maintenance que l’on souhaite optimiser. Ces
section 2 : limites étant connues, il appartient de définir en plus des objectifs
décrits à la section 1.2.2 :
1. début et planification ;
2. analyse des défaillances fonctionnelles ; 1. d’établir des tâches de maintenance optimale ;
2. d’identifier les domaines où la conception initiale peut être
3. sélection des tâches ; améliorée ;
4. mise en œuvre ; 3. d’évaluer les performances d’un programme déjà existant ;
5. amélioration continue. 4. d’évaluer les apports des outils de la sûreté de fonctionnement.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 667 – 3

XQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVW

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA CEI ____________________________________________________________________________

1. DÉBUT ET PLANIFICATION RÉSULTATS


a) Détermination des limites et des objectifs de l’analyse
b) Détermination du contenu de l’analyse
c) Identification des connaissances et de l’expérience spécialisée Plan d’analyse et
disponibles, des responsabilités, et de toutes les exigences contexte de
de formation fonctionnement
d) Élaboration d’un contexte de fonctionnement pour l’(les) entité(s)

2. ANALYSE DES DÉFAILLANCES


FONCTIONNELLES
a) Recueil et analyse de toutes les données d’exploitation et
des données d’essai disponibles
b) Décomposition fonctionnelle AMDE/AMDEC
c) Identification des fonctions, des défaillances fonctionnelles,

S des modes de défaillance, de leurs effets et de leur criticité

3. SÉLECTION DES TÂCHES


a) Évaluation des conséquences des défaillances
Exigences de
b) Choix de la politique de gestion des défaillances la plus appropriée
maintenance
et la plus efficace
c) Détermination de l’intervalle entre tâches

4. MISE EN ŒUVRE
a) Identification des détails des tâches de maintenance
b) Hiérarchisation et mise en œuvre d’autres actions Programme de
c) Rationalisation des intervalles entre tâches maintenance
d) Déclenchement de l’évaluation de l’effet du vieillissement

5. AMÉLIORATION CONTINUE
a) Contrôle de l’efficacité de la maintenance
Données
b) Contrôle des objectifs de sécurité, opérationnels et économiques
d’exploitation
c) Évaluation de l’effet du vieillissement

Figure 1 – Processus général de la MBF-CEI

2.2.2 Détermination du contenu de l’analyse informations techniques relatives à l’entité, et d’autre part les
compétences des personnels chargés de la réalisation et de la mise
Il est important de rappeler qu’initialement, la finalité de la MBF en place sur l’entité du programme de maintenance préventive.
était de définir un programme de maintenance initial sur des enti-
tés mises pour la première fois en service. Par conséquent, l’entité
■ Identification de connaissances techniques
ne bénéficiait d’aucun programme de maintenance et il était Parmi les éléments techniques indispensables à rassembler figurent
nécessaire de définir entièrement le contenu de l’analyse MBF. notamment la connaissance :
Ultérieurement, la MBF a été appliquée à des entités dotées d’un – des composants de l’entité à analyser et leur conception ;
programme de maintenance devant être rendu plus efficace. Le
– des procédures d’exploitation et de maintenance ;
contenu de l’analyse doit permettre une sélection des entités et de
hiérarchiser leur importance en fonction des conséquences des – des défaillances, de leurs effets et de leurs causes ;
défaillances. L’intérêt de cette sélection est de restreindre le – des environnements opérationnels réglementaires ;
contenu des analyses aux seules entités jugées critiques, – du retour d’expérience sur les défaillances.
conformément aux critères propres à chaque entreprise. L’analyse
inclut le cas des structures appartenant aux équipements et qui ■ Identification des compétences techniques
sont soumis à des charges statiques ou dynamiques. La réalisation d’une analyse MBF se réalisant obligatoirement
dans le cadre d’un groupe de travail, il est indispensable de réunir
des compétences ou d’organiser, si cela s’avère nécessaire, des
2.2.3 Identification des connaissances sessions de formation des personnels portant sur :
et des compétences exigées
– la connaissance et la pratique de la méthode MBF ;
Afin d’obtenir un programme de maintenance MBF qui soit réelle- – le management de projet ;
ment efficace et qui apporte des gains significatifs de productivité, – les techniques de maintenance préventive et leurs outils ;
des prérequis sont indispensables pour garantir la meilleure exhaus- – les coûts des défaillances ;
tivité possible de l’analyse MBF. Cela concerne d’une part toutes les – les coûts des techniques de maintenance.

SE 1 667 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVY

Méthode de maintenance basée


sur la fiabilité de la MSG-3

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique
et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur


Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et évolutions de la méthode MSG-3 ............................... SE 1 669 - 3


2. Objectifs et organisation du développement du programme
de maintenance MSG-3 ....................................................................... — 3
3. Développement de la maintenance programmée MSG-3 .......... — 5
4. Procédure d’analyse pour les systèmes/moyens
de propulsion ......................................................................................... — 6
5. Procédure d’analyse pour les structures de l’avion ................... — 9
6. Procédure d’analyse de zone (Zonal Analysis Procedure) ........ — 11
7. Procédure d’analyse pour les systèmes de protection contre
la foudre et les champs rayonnés à haute intensité (L/HIRF) ... — 13
8. Exemple d’application au système d’extinction d’incendie
d’un réacteur d’avion........................................................................... — 14
9. Conclusion .............................................................................................. — 20
10. Glossaire.................................................................................................. — 21
Pour en savoir plus ........................................................................................ Doc. SE 1 669

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle, présente le contenu de la norme MSG-3
de l’ATA (Air Transport Association of America) applicable à la maintenance
programmée des aéronefs. Cette norme et ses révisions est en vigueur depuis
1968 dans la réglementation américaine. Depuis 2003, l’Agence européenne de
la sécurité aérienne (AESA) joue un rôle similaire pour l’Europe. Cet article est
dédié uniquement aux aspects techniques liés aux programmes de mainte-
nance. Les aspects organisationnels et réglementaires liés aux problèmes de
certification américains ou européens sont brièvement décrits.
La première section présente les origines et les évolutions de la démarche de
maintenance qui a vu le jour lors de la mise en service du premier avion gros
porteur, le Boeing 747, et qui a donné lieu au premier document intitulé MSG-1
rédigé par un groupe de travail appelé « Maintenance Steering Group ». Le
retour d’expérience a conduit ensuite à rédiger la norme MSG-2. Puis les
travaux menés par Nowlan et Heap sur la RCM (Reliability-Centered Mainte-
nance) et les difficultés rencontrées pour appliquer la MSG-2 ont conduit l’ATA
à mettre au point une troisième version MSG-3 en 1980. Cette norme a fait
l’objet de onze révisions pour prendre en compte les nouvelles technologies :
p。イオエゥッョ@Z@ヲ←カイゥ・イ@RPQV

la dernière en date a été publiée en 2013.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 669 – 1

XS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVY

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3 _________________________________________________________________________

La deuxième section présente les objectifs et les principes du développement


du programme de maintenance MSG-3 qui est destiné à fournir une assistance
aux autorités réglementaires pour développer un programme initial de tâches
de maintenance programmée et de leurs intervalles pour de nouveaux aéro-
nefs et leurs moyens de propulsion. Comme mentionné dès 1978 par Nowlan
et Heap, la finalité majeure de la MSG-3 est de maintenir les niveaux inhérents
de sécurité et la fiabilité d’un aéronef. Elle décrit ensuite succinctement l’orga-
nisation définie par la FAA (Federal Aviation Administration) dans la circulaire
d’information AC 121-22C permettant d’élaborer les programmes de mainte-
nance programmée : le Maintenance Review Board (MRB). La validation du
contenu des programmes de maintenance élaborés par les groupes de travail
du MRB dépend des autorités réglementaires.
La troisième section décrit l’approche et les objectifs du développement du
programme de maintenance programmée MSG-3 et présente les deux groupes
de tâches de maintenance avec les définitions de leurs contenus techniques.

S La quatrième section concerne le contenu de la procédure d’analyse pour les


systèmes et les moyens de propulsion. Les critères pour classer un élément
comme étant un élément significatif pour la maintenance (MSI – Maintenance
Significant Item) font l’objet d’une description détaillée avec les étapes à
accomplir.
La cinquième section décrit la procédure d’analyse pour les structures d’un
aéronef. Elle précise les définitions des éléments de structures et de leurs
modes et sources de dégradation : dommages accidentels dus à l’environne-
ment et à la fatigue. Les critères définissant les éléments structurels
significatifs (SSI – Structural Significant Item) devant faire l’objet d’une mainte-
nance y sont précisés, ainsi que la méthode de cotation vis-à-vis des
dommages. La maintenance programmée des SSI repose principalement sur
différents niveaux d’inspection et le cas des structures métalliques et non
métalliques est considéré. Le contenu des tâches de maintenance et de leurs
intervalles et les recommandations pour le développement du programme de
maintenance font l’objet de descriptions succinctes.
La sixième section présente la procédure d’analyse zonale (Zonal). La
méthode de définition de zones est présentée, ainsi que les critères de cotation
vis-à-vis des dommages. La logique de décision pour les différentes tâches
d’inspection prend en compte la présence de câblage et/ou d’éléments
combustibles.
La septième section concerne les procédures spécifiques de maintenance
pour les systèmes de protection contre la foudre et les champs rayonnés à
haute intensité. Elle souligne que la majorité des tâches associées sont définies
par l’inspection de zones. En cas de besoin, des tâches supplémentaires de
maintenance doivent être mises en œuvre. Elle présente également les critères
de notation vis-à-vis des dommages et le diagramme logique de décision pour
les tâches de maintenance.
La huitième section développe l’application de la MSG-3 au système
d’extinction de l’incendie d’un réacteur pour une défaillance cachée et une
défaillance évidente.
La conclusion de l’article propose une synthèse sur les spécificités de la
MSG-3 et confirme qu’elle correspond bien à une méthode de RCM adaptée
aux besoins des nouveaux aéronefs. Elle sensibilise le lecteur à la nécessité
d’une veille technologique pour suivre ses mises à jour adaptées aux nouvelles
technologies utilisées dans les aéronefs à voilure fixe ou tournante.

SE 1 669 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVY

_________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3

1. Origines et évolutions centered maintenance) ou MBF (Maintenance basée sur la fiabilité)


et qui sert de référence encore aujourd’hui. Ce document propose
de la méthode MSG-3 un premier arbre logique de sélection suivant la nature évidente
ou cachée de la défaillance. Ensuite, quatre arbres permettent de
sélectionner cinq tâches appropriées de maintenance :
– inspections programmées à intervalles réguliers (On
1.1 Origine Condition-OC ) ;
– travaux de remise en état à, ou avant, la durée de vie spécifiée
La MSG-3 est l’ultime évolution d’un processus commencé en
(Rework Task-RW) ;
1930 par le Transport Airline Inspection Service, ancêtre de la FAA,
– mise au rebut à, ou avant, la durée de vie spécifiée (Discard
qui précisait que « tous les instruments et accessoires devaient
Task -LL) ;
être obligatoirement démontés à des intervalles appropriés ». Ces
– inspections programmées pour découvrir les défaillances fonc-
pratiques ont ensuite évolué vers 1947 avec l’apparition de l’entre-
tionnelles cachées (Failure Finding Task-FF) ;
tien « suivant état » et de la collecte des données de fiabilité pour
– combinaison des tâches (Comb).
mettre en œuvre la méthode statistique de l’actuariat. Puis, avec
l’apparition des avions commerciaux propulsés par des réacteurs L’application de la MSG-2 pour l’interprétation des procédures de
et l’impossibilité de maîtriser la fiabilité de certains équipements, maintenance Condition Monitoring (CM), On-Condition (OC), Hard
les constructeurs et exploitants d’avions commerciaux ont été Time (HT) a rencontré des difficultés pratiques de mise en œuvre sur


conduits à développer de nouveaux concepts de maintenance. En le terrain. Des études ont été conduites pour remplacer la démarche
1967, il est apparu évident qu’il fallait consolider les connaissances orientée « méthodes de maintenance » par une démarche orientée
accumulées et développer des techniques de maintenance afin de « tâches de maintenance » qui caractérise la version initiale de la
pouvoir : MSG-3. Depuis cette date, de nombreuses révisions ont été réali-
– établir un programme efficace de maintenance programmée sées pour tenir compte de l’utilisation de nouveaux matériaux non
avant la mise en service de nouveaux types d’avions ; métalliques et de systèmes numériques embarqués. Actuellement,
onze révisions ont été rédigées depuis 1980, la dernière étant la
– modifier le programme initial de maintenance des avions exis-
MSG-3 2013.1 [4] qui comporte deux volumes : le premier dédié aux
tants en se basant sur les données de fiabilité en provenance du
avions à voilure fixe et leurs moyens de propulsion et le second aux
retour d’expérience.
aéronefs à voilure tournante et leurs moyens de propulsion.
La mise en service du Boeing 747 a conduit à mettre en place un Concernant cette dernière révision des différences, le contenu des
groupe de travail appelé MSG (Maintenance Steering Group) pour tâches de maintenance, ainsi que les arbres de sélection ont été
élaborer une méthode de maintenance. Ainsi, la MSG-1 [1] a vu le adaptés à ces deux catégories.
jour en 1968 sous le nom de « 747 Maintenance Steering Group :
Maintenance Evaluation and Program Development ». Nota : l’Air Transport Association of America (ATA) a changé de nom en 2011 et est
devenue « Airlines for America (A4A) » en 2011.
Nota : la norme MSG-3 est une norme américaine dont il n’existe pas de version en
français. Par conséquent, les termes anglais ne seront pas traduits pour éviter l’emploi de

2. Objectifs et organisation
termes français inadaptés au monde aéronautique et ils seront mis en italique dans cet
article. Soulignons que l’anglais est la langue de travail chez les grands constructeurs
aéronautiques et dans les organismes de réglementation aérienne.
du développement
1.2 Évolution du programme
La MSG-1 était basée sur des méthodes d’entretien préventif et de maintenance MSG-3
curatif.
Pour l’entretien préventif, deux modes ont été définis : 2.1 Objectifs
– l’entretien à « temps limite » (Hard Time-HT) qui définit un
intervalle de temps maximum fixé à l’issue duquel un élément doit L’objectif de la norme MSG-3 est de présenter les moyens à
être révisé ou réformé ; mettre en œuvre pour développer des tâches de maintenance
– l’entretien suivant la vérification de l’état (On Condition-OC). programmée et leurs intervalles qui seront acceptables par les
Les tâches consistent à inspecter, à des intervalles de temps maxi- autorités réglementaires, les exploitants des aéronefs et les
mum fixés, les éléments concernés. constructeurs pendant toute leur durée de vie. Historiquement, le
programme initial de maintenance était spécifié dans les différents
Pour l’entretien correctif, une tâche de surveillance du compor- rapports du Maintenance Review Board (MRB), organisation créée
tement est préconisée (Condition Monitoring-CM ). spécialement pour remplir cette tâche.
La méthode MSG-1 utilisait des arbres logiques pour définir les
tâches de maintenance programmée. Par la suite, le document
MSG-2 [2] a été développé pour élaborer un programme de 2.2 Principes de l’organisation
maintenance programmée adapté aux nouveaux avions en utili- Depuis sa création en 1968, l’organisation et la structure du
sant des logiques et méthodes d’entretien légèrement améliorées Maintenance Review Board font l’objet de circulaires régulière-
par rapport à la MSG-1. ment remises à jour par la FAA. La dernière circulaire publiée en
En 1979, le retour d’expérience et les événements observés ont 2012, l’AC n° 121-22C [5] fournit les lignes directrices que l’indus-
montré la nécessité de réviser la procédure MSG-2 pour la mainte- trie doit mettre en œuvre pour développer et remettre à jour les
nance de nouveaux avions. Ensuite, un groupe de travail de l’ATA exigences minimales relatives aux tâches de maintenance et à
a travaillé sur l’identification des points susceptibles d’être amélio- leurs intervalles pour des avions dérivés d’appareils existants ou
rés pour les nouveaux avions. Ainsi, un programme révisé de des avions ayant eu récemment des certificats de type pour l’aéro-
maintenance a été défini. Il exige des analyses minutieuses pour nef et ses moyens de propulsion dans le but d’une approbation
s’assurer que les tâches de maintenance sélectionnées garan- par la FAA. Cette circulaire est indispensable pour la rédaction de
tissent le maintien des niveaux inhérents de sécurité et de fiabilité plusieurs rapports de maintenance dont notamment le MRBR
ou bien conduisent à des bénéfices économiques. En 1978, (Maintenance Review Board Report) et le MTBR (Maintenance
Nowlan et Heap ont publié le premier document [3] [SE 1 650] Type Board Report). La figure 1 présente de façon intégrale l’orga-
[SE 1 655] qui définit pour la première fois la RCM (Reliability- nisation contenue dans la circulaire AC n° 121-22C et présente les

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 669 – 3

XU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVY

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3 _________________________________________________________________________

Le « Maintenance Review Board (MRB) » est actif pendant toute la durée de vie de l’avion

Processus du Maintenance Review Board (MRB)


Le demandeur Tâches de maintenance Revue par
du certificat de type et intervalles proposés le demandeur
(TC) sollicite la FAA par le Maintenance ou par le détenteur
pour organiser Review Board (MRB) du certificat de type (TC)
le Maintenance
Review Board
(MRB)
Le président
du Maintenance
Revues par Acceptation OUI Review Board (MRB)
le Comité directeur (ISC) par le Comité examine et approuve
directeur le rapport


(ISC) ?
Mise en place
du Maintenance Analyses par les groupes NON
Review Board (MRB) de travail (WG) :
du Comité directeur – constructeurs VIE
Rapport MRB OPÉRATIONNELLE
(ISC) et des groupes – conseillers du MRB
de travail (WG) – observateurs du TCB DE L’AVION

Règles des programmes


de maintenance
Le constructeur
prépare les données
de conception et de retour Programmes systèmes/
d’expérience pour les analyses propulseurs
et examens par les WG,
I’ISC et le MRB
Programme structural
Acronymes
TC : Type Certificate
MRB : Maintenance Review Board Programme zonal
ISC : Industry Steering Committee
WG : Working Group
TCB : Type Certification Board
ICA : Instructions for Continued
Airworthiness

CERTIFICATION DE TYPE INSTRUCTIONS POUR LE MAINTIEN DE LA NAVIGABILITÉ ICA

Source : AC 121-22C

Figure 1 – Organisation de la procédure MRB

différentes analyses à mettre en œuvre pendant le cycle de vie d’établir la politique de maintenance, les intervalles initiaux, les
d’un aéronef. Le lecteur pourra se reporter au contenu de cette cir- tâches de maintenance programmée. L’ISC dirige les activités des
culaire pour obtenir plus de détails. Le rapport Maintenance groupes de travail (Maintenance Working Groups) et prépare les
Review Board Report (MRBR), soumis aux autorités réglementaires recommandations finales pour le MRB.
pour validation, résulte d’une organisation administrative
constituée de trois entités : le Maintenance Review Board, l’Indus- § Maintenance Working Groups (MWGs)
try Steering Committee et les Maintenance Working Groups. Les groupes de travail sont composés essentiellement de spécia-
listes des autorités réglementaires, d’exploitants et de
§ Maintenance Review Board (MRB) constructeurs des équipements. L’objectif de ces groupes de tra-
Le MRB a l’entière responsabilité de la validation des tâches vail est d’appliquer la logique de MSG-3 pour développer et propo-
initiales de maintenance programmée pour un type spécifique ser le contenu des tâches et de leurs intervalles pour un type
d’avion ; elles seront ensuite soumises aux autorités réglemen- spécifique d’avion. Les groupes de travail et l’ISC sélectionnent
taires pour approbation finale. Le MRB est composé des représen- dès le début tous les Maintenance Significant Items (MSI’s), les
tants des compagnies aériennes clientes, des constructeurs de la Structural Significant Items (SSI’s) et les zones qui feront l’objet
structure et des moteurs, et des représentants des autorités régle- ultérieurement d’analyses détaillées.
mentaires qui en assurent la présidence. Bien que mentionné mais non défini dans la norme MSG-3, un
document « The Policy and Procedures Handbook (PPH) » doit être
§ Industry Steering Committee (ISC) rédigé au préalable suivant les recommandations et les modalités
La gestion des activités de développement du programme de de la circulaire AC 121-22C. Il définit les politiques et les procédu-
maintenance programmée est réalisée par l’ISC, dont les membres res qui doivent être respectées par l’ISC, le MRB et des différents
sont les représentants des exploitants d’avions et des construc- groupes de travail pour assurer une cohérence pendant la phase
teurs de la structure et des moteurs. La responsabilité de l’ISC est d’analyse de la conception de l’aéronef.

SE 1 669 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVVY

_________________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ DE LA MSG-3

Nota : pour prendre en compte les modifications liées aux nouvelles technologies, un 3. Inspection/test fonctionnel [Inspection/Functional Check
organisme spécialisé a été créé en 1994 : l’International Maintenance Review Board
Policy Board (IMRBPB). Il offre un forum structuré permettant de discuter de l’élaboration
(IN/FC)]
de politiques nationales et internationales pour l’ensemble des activités des MRB et de
rédiger des documents de discussion (IP – Issue Paper) destinés à proposer des modifica-
– Inspection : ce terme général recouvre en pratique trois types
tions de la MSG-3. La dernière charte a été révisée en avril 2015 et signée par la majorité d’inspection, soit :
des autorités de certification des grandes puissances.
• une inspection visuelle générale [General Visual Inspection
(GVI)] qui consiste à un examen visuel des zones extérieures
et intérieures d’installations ou ensembles pour détecter des
3. Développement dommages évidents, défaillances et anomalies. Elle peut faire

de la maintenance appel à l’usage de miroirs avec la lumière ambiante ;


• une inspection détaillée [Detailed Inspection (DET)] qui
programmée MSG-3 consiste à un examen intensif d’un élément spécifique d’un
équipement pour détecter des dommages, défaillances et
anomalies. Elle fait appel à l’usage de miroirs avec des
3.1 Objectifs de la maintenance sources complémentaires d’éclairage ;
programmée • une inspection spéciale détaillée [Special Detailed Inspection
(SDI)] qui consiste à un examen intensif d’un élément spéci-


Les objectifs de la maintenance programmée sont d’obtenir une
politique de maintenance efficace d’un aéronef. Un programme de fique d’ensembles pour détecter des dommages, défaillances
maintenance efficace selon la MSG-3 correspond à un programme et anomalies. Elle fait appel à un usage intensif de techniques
qui met en œuvre uniquement les tâches nécessaires pour spécialisées d’inspection et/ou à des équipements d’inspec-
atteindre les objectifs fixés. Les objectifs fixés dans la MSG-3 tion. Un nettoyage spécialisé, un accès total ou des procé-
reprennent intégralement ceux définis dans le document sur la dures de démontage peuvent être nécessaires.
RCM de Nowlan et Heap) en 1978 [3] (cf. page XVI) : – Test fonctionnel [Functional Check/(FC)] : un test fonctionnel
– assurer la réalisation des niveaux inhérents de sécurité et de est un test quantitatif destiné à vérifier si une ou plusieurs fonc-
fiabilité d’un avion ; tions d’un élément sont réalisées dans les limites spécifiées.
– rétablir la sécurité et la fiabilité à leurs niveaux inhérents – Surveillance programmée de l’intégrité des structures [Sche-
quand une dégradation survient ; duled Structural Health Monitoring (S-SHM)] : cette tâche utilise un
– obtenir les informations nécessaires pour l’amélioration de la équipement spécialisé de surveillance des structures à base de
conception des entités dont la fiabilité inhérente s’avère capteurs. Elle est destinée à surveiller les charges de la structure et
insuffisante ; les dommages structurels (elle a été introduite dans la MSG-3 suite
– accomplir ces objectifs à un coût total minimum, incluant les aux recommandations de l’IMRBPB).
coûts de la maintenance et les coûts des défaillances.
4. Remise en état [Restoration (RS)]
Le niveau inhérent de sécurité et de fiabilité correspond à celui
intégré dans l’entité, et par conséquent dépend de sa conception. Elle correspond aux travaux nécessaires pour remettre un élément
C’est le niveau le plus élevé de fiabilité et de sécurité que l’on peut conforme à ses spécifications d’origine.
attendre d’une entité, d’un système ou d’un avion lorsqu’il fait 5. Mise au rebut [Discard (DS)]
l’objet d’une maintenance efficace. Aucune tâche de maintenance
ne peut conduire à un niveau supérieur pour une conception don- Il s’agit du retrait du service de l’entité après une limite de durée
née. Si l’on souhaite obtenir des niveaux plus élevés de fiabilité, des de vie spécifiée.
modifications ou des reconceptions doivent être mises en place.
3.2.2 Tâches de maintenance non programmées
3.2 Contenu de la maintenance En complément des tâches programmées définies à la
programmée section 3.2.1, des tâches de maintenance supplémentaires non
programmées peuvent être mise en œuvre. Ces tâches peuvent
Le contenu du programme de maintenance programmée se résulter des :
décompose en deux familles de tâches. Le premier groupe de
tâches correspond à celles à réaliser à des intervalles spécifiés. Le – tâches de maintenance programmée réalisées à des intervalles
deuxième groupe de tâches utilise des intervalles qui dépendent spécifiés ;
d’informations issues du retour d’expérience. – rapports de dysfonctionnements constatés principalement par
l’équipage ;
3.2.1 Tâches de maintenance programmée – analyses des données du retour d’expérience ;
– rapports sur les défaillances potentielles constatées lors des
La liste des tâches candidates pour la MSG-3 inclut : activités de surveillance de l’avion.
1. Graissage/petit entretien [Lubrication/Servicing (LU/SV)]
Elle correspond à toute tâche de graissage et petit entretien 3.2.3 Développement du programme
ayant pour objectif de maintenir les capacités inhérentes définies à de maintenance programmée
la conception. La méthode pour élaborer le programme de maintenance pro-
2. Test operational/visuel [Operational/Visual Check (OP/VC)] grammée repose sur une approche basée sur les tâches de mainte-
– Un test opérationnel est une tâche qui a pour but de détermi- nance et utilise des arbres logiques de décision prenant en compte
ner si l’entité remplit sa mission prévue. les effets des défaillances. Les sections 4, 5, 6 et 7 de cet article
seront dédiées respectivement aux systèmes et moyens de propul-
– Un test visuel est une observation réalisée pour vérifier si
sion, aux structures, aux zones et aux systèmes de protection contre
l’entité remplit son utilisation prévue.
la foudre et champs rayonnés à haute intensité. Ils présenteront les
Ces tâches ne requièrent pas de tolérance quantitative et sont procédures et les arbres logiques associés pour définir les tâches de
déployées pour la recherche de défaillances cachées. maintenance applicables et économiques.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 1 669 – 5

XW

XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWQ

Méthode AP913 de maintenance


basée sur la fiabilité des centrales
nucléaires américaines

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique
et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines du processus AP913 développé par l’INPO .................. SE 1 671 - 2
1.1 Origine et contexte.................................................................................... — 2
1.2 Contexte nucléaire aux États-Unis........................................................... — 3
1.3 Organismes réglementaires pour l’exploitation
des centrales nucléaires américaines...................................................... — 4
1.4 Sûreté et fiabilité de l’exploitation des centrales nucléaires
à eau pressurisée américaines................................................................. — 5
1.5 Maintenance Rule ..................................................................................... — 6
2. Étapes du processus AP913 développée par l’INPO ................... — 8
2.1 Préambule.................................................................................................. — 8
2.2 Principe et organigramme de la démarche AP913................................. — 8
2.3 Mise en œuvre de l’organigramme de la démarche AP913 .................. — 9
3. Retour d’expérience des exploitants
avec la démarche AP913..................................................................... — 16
4. Exemple d’application au système de contrôle volumétrique
et chimique (RCV).................................................................................. — 16
4.1 Description du système de contrôle volumétrique et chimique RCV ... — 17
4.2 Application au cas du système de pompes de charge du RCV
en fonctionnement incidentel .................................................................. — 17
4.3 Synthèse de l’étude sur le système de contrôle volumétrique
et chimique (RCV) ..................................................................................... — 21
5. Conclusion............................................................................................... — 21
6. Glossaire .................................................................................................. — 23
Pour en savoir plus ........................................................................................ Doc SE 1 671

et article, s’adressant à des lecteurs ayant des connaissances de base sur


C la maintenance industrielle et la production d’énergie d’origine nucléaire,
présente le contenu de la méthode AP913 (Advanced Process 913) déve-
loppée par l’INPO (Institute of Nuclear Power Operations) pour la
maintenance des centrales nucléaires américaines. L’INPO a publié un guide
de recommandations intitulé « Reliability Process Description AP913 » qui
fournit un cadre pour mettre en œuvre une procédure relative à la fiabilité des
équipements pour aider les exploitants américains à améliorer la sûreté et la
disponibilité de leurs centrales. La première section fournit les origines de
cette démarche et précise le contexte de l’exploitation des centrales nucléaires
aux États-Unis. L’AP913 étant spécifique aux centrales nucléaires, le fonction-
nement des centrales à eau pressurisée et à eau bouillante est fourni de façon
succincte. Dans cette même section et compte tenu du fait que la production
p。イオエゥッョ@Z@ェオゥョ@RPQV

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 671 – 1

XY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWQ

MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES _________________________________________

d’électricité d’origine nucléaire comporte des risques, les éléments indispen-


sables à la maîtrise du process de l’AP913 seront rappelés. Ils concernent les
organismes réglementaires pour l’exploitation des centrales nucléaires améri-
caines, la sûreté et la fiabilité de l’exploitation des centrales nucléaires à eau
pressurisée américaines, les systèmes de sûreté et de sauvegarde d’une cen-
trale nucléaire, le concept de défense en profondeur, les études probabilistes
de sûreté (EPS), la Maintenance Rule et l’échelle INES de l’AIEA. La seconde
section présente les six étapes générales de la démarche indispensables pour
réaliser le processus de gestion des actifs que représente une centrale
nucléaire (Asset Management). C’est la réunion de toutes ces étapes qui
constitue le processus de l’AP913. De façon similaire à la méthode de mainte-
nance basée sur la fiabilité MBF de Nowlan et Heap développée en 1978, trois
étapes concernent l’évaluation et l’identification des composants critiques, la
mise en place de la maintenance préventive et l’amélioration continue de la
fiabilité de l’équipement. Trois étapes supplémentaires assurent la cohérence


pour le processus global de la gestion des actifs : le suivi des performances,
les actions correctives, la planification à long terme et la gestion du cycle de
vie. Cette seconde section explicite le contenu des actions et des questions à
poser identifiées par leur repère dans l’organigramme détaillé de l’AP913. Le
suivi de cette procédure est indispensable pour réaliser une maintenance
conforme à l’AP913. La troisième section présente le bilan de la mise en place
de l’AP913 dans plusieurs sites nucléaires. Le bilan indique que les accroisse-
ments de la sûreté, de la fiabilité et de la disponibilité sont effectivement
obtenus. En revanche, les volumes de tâches de surveillance, d’entretiens
préventifs et de remplacements augmentent de façon très significative. La
quatrième section prend comme exemple le système de contrôle volumétrique
et chimique (RCV) d’une centrale à eau pressurisée qui assure des fonctions
critiques en fonctionnement normal et incidentel. Les tâches de maintenance
pour un robinet à commande motorisée sont proposées à partir d’un canevas
de maintenance et de tableau d’AMEC et d’une logique de sélection inspirée de
la MBF.
La conclusion de l’article propose une synthèse sur les spécificités de l’AP913
et souligne la nécessité de disposer de banques de données et des logiciels de
traitement pour faciliter son déploiement. Elle insiste également sur l’enga-
gement du management à fournir tous les moyens humains et financiers pour
pérenniser cette démarche pendant toute la durée de vie de la centrale.
Compte tenu de son efficacité démontrée aux États-Unis où elle a vu le jour,
l’AP913 est adoptée dans d’autres pays produisant de l’énergie d’origine
nucléaire et fait l’objet de révisions et d’adaptations. Par ailleurs, d’autres sec-
teurs industriels commencent à s’intéresser à l’AP913 dans le cadre de l’Asset
Management en les adaptant à leur stratégie d’entreprise.

1. Origines du processus groupes interdisciplinaires pour analyser les causes de ces défail-
lances. Ces groupes constatèrent qu’il n’y avait pas d’explication
AP913 développé simple à ce problème et qu’un besoin se faisait ressentir pour dis-
poser d’une approche plus globale pour résoudre les problèmes
par l’INPO liés à la fiabilité des équipements. Pour aider les exploitants améri-
cains à résoudre ce problème, l’INPO (Institute of Nuclear Power
Operations ) a publié en 2001 un rapport intitulé Reliability Process
Description AP913 [1] qui fournit un cadre pour mettre en œuvre
1.1 Origine et contexte une procédure relative à la fiabilité des équipements.

Nota : l’INPO (Institute of Nuclear Power Operations ) , implantée à Atlanta, est une
Au début des années 1990, des exploitants américains de cen- organisation financée uniquement par l’industrie nucléaire américaine. Elle a été créée en
trales nucléaires ont obtenu grâce à leurs programmes de mainte- 1979 en réponse aux conclusions du rapport de la commission Kemeny commandé par le
nance des résultats exceptionnels de leur disponibilité en dépit de Président des États-Unis Jimmy Carter [2] suite à l’accident de Three Mile Island le
28 Mars 1979. Les missions de l’INPO sont d’établir des objectifs de performance, des cri-
défaillances fortuites des équipements conduisant à des arrêts non tères et des recommandations pour promouvoir l’excellence de l’exploitation de centrales
programmés. Chacun de ces exploitants a alors mis en place des nucléaires.

SE 1 671 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWQ

__________________________________________ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES

1.2 Contexte nucléaire aux États-Unis 1. Le cœur du réacteur composé d’éléments combustibles,
contenant des pastilles d’uranium 235 enrichi, produit la chaleur
Les États-Unis produisent le plus d’électricité d’origine nucléaire par le processus de fission.
dans le monde, représentant plus de 30 % de la production mon- 2. Cette chaleur est extraite par de l’eau sous pression dans le
diale. En 2015, 99 centrales nucléaires étaient opérationnelles dont circuit primaire par un ensemble de pompes qui transfèrent la cha-
65 utilisaient la filière à eau pressurisée (PWR) et 34 la filière à eau leur dans les parties primaires des générateurs de vapeur. La pres-
bouillante (BWR). Ces deux filières reposent sur la fission du sion est maintenue constante à l’aide d’un pressuriseur
noyau de l’uranium 235 et utilisent de l’eau légère à la fois comme (typiquement à une pression de l’ordre de 150 bars et une tempé-
modérateur de la vitesse des neutrons rapides et comme fluide rature moyenne de 310 °C).
caloporteur. Comme l’AP913 est destinée à intégrer les méthodes 3. La chaleur du circuit primaire est transmise à la partie secon-
de fiabilité appliquées aux équipements pour maintenir de façon daire des générateurs de vapeur qui produit de la vapeur pour ali-
efficace des niveaux élevés de sûreté et de disponibilité des menter les turbines et le groupe turboalternateur pour produire
centrales nucléaires, une description succincte des deux types de l’énergie électrique.
réacteurs est donnée dans les sections 1.2.1 et 1.2.2. Le lecteur
trouvera dans [BN 302] [BN 3 100] [BN 3 130] des informations 4. La vapeur à la sortie des turbines est refroidie par un conden-
détaillées sur les différentes filières. seur à l’aide d’une source froide et réinjectée dans le circuit
secondaire.


5. Le contrôle du réacteur est assuré par un ensemble de barres
de contrôle qui permettent d’arrêter le réacteur en cas d’urgence
1.2.1 Réacteurs à eau pressurisée ou d’en moduler sa puissance.
(Pressurized Water Reactors – PWR) Comme indiqué sur la figure 1, une enceinte en béton assure le
confinement de produits radioactifs lors d’un incident sur le
Dans un réacteur à eau pressurisée, les principes généraux sont réacteur nucléaire et les systèmes d’apport d’urgence en eau sont
mis en œuvre conformément à la figure 1. utilisés pour refroidir le cœur du réacteur.

Ligne vapeur Système de


Mur de l’enceinte refroidissement
de confinement de l’enceinte
en béton et en acier
d’une épaisseur
de 1 à 1,5 m
4 3 Générateur
de vapeur
Barres
Cuve contrôle
Turbine

Condenseur

Pompes
Circuit 2
primaire
Cœur
2

Déminéralisateur Pompes Pressuriseur


primaires Systèmes
du réacteur Structure
d’alimentation
de l’enceinte
d’urgence en eau
de confinement

Source NRC

Figure 1 – Schéma d’une centrale nucléaire à eau pressurisée

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 671 – 3

YQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWQ

MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES _________________________________________

Une centrale à eau pressurisée comporte environ 300 000 com- 5. Comme indiqué sur la figure 2, une enceinte en béton assure
posants regroupés en 400 systèmes. Les systèmes liés à la sûreté le confinement de produits radioactifs lors d’un accident sur le
du réacteur feront l’objet de descriptions plus précises ultérieure- réacteur nucléaire et des systèmes d’apport d’urgence en eau sont
ment dans la démarche AP913. utilisés pour refroidir le cœur du réacteur.

1.2.2 Réacteurs à eau bouillante 1.3 Organismes réglementaires


(Boiling Water Reactor – BWR)
pour l’exploitation des centrales
Dans un réacteur à eau bouillante, les principes généraux sont nucléaires américaines
mis en œuvre conformément à la figure 2.
Jusqu’en 1974, l’Atomic Energy Commission (AEC) était chargée
1. Le cœur du réacteur composé d’éléments combustibles, de la réglementation pour accorder les licences d’exploitation des
contenant des pastilles d’uranium 235 enrichi, produit la chaleur centrales nucléaires, ainsi que la surveillance de leurs niveaux de
par le processus de fission. sûreté. En 1974, cet organisme a été aboli et remplacé par la NRC
(Nuclear Regulatory Commission ). La NRC attribue les licences
2. Un mélange eau vapeur se produit lorsque de l’eau circule d’exploitation et assure la surveillance de tous les réacteurs
dans le cœur pour en évacuer la chaleur. nucléaires commerciaux en service aux États-Unis. La licence

S 3. Un mélange eau vapeur sort du cœur du réacteur et pénètre


dans les séparateurs qui éliminent l’eau pour séparer la vapeur qui
alimente la turbine pour produire l’énergie électrique avec le
d’exploitation permet d’exploiter une centrale nucléaire jusqu’à 40
années. Sous certaines conditions, la NRC peut éventuellement
renouveler la licence d’exploitation pour 20 années supplémen-
groupe turboalternateur (la pression de la vapeur est de l’ordre de taires à condition que l’exploitant puisse démontrer que la centrale
75 bars et sa température d’environ 290 °C). La vapeur à la sortie peut fonctionner de façon sûre sur la période d’extension de la
des turbines est refroidie par un condenseur à l’aide d’une source licence. La NRC réglemente l’exploitation des centrales nucléaires
froide et réinjectée dans le circuit primaire. à l’aide d’une combinaison d’exigences réglementaires : octroi de
la licence d’exploitation, supervision de la sûreté nucléaire incluant
4. Le contrôle du réacteur est assuré par un ensemble de barres des inspections, examens des performances et du respect de la
de contrôle situées sous la cuve et qui permettent d’arrêter le réac- réglementation, évaluation de l’expérience opérationnelle et des
teur en cas d’urgence ou d’en moduler sa puissance. activités d’appui réglementaires.

Système de
refroidissement Mur de l’enceinte
de l’enceinte de confinement en béton
et en acier d’une épaisseur
de 1 à 1,5 m

4
Ligne de vapeur

Cuve du réacteur Turbine


Alternateur
Sécheurs
Séparateurs
Réchauffeur
Alimentation
en eau Condenseur
3
Pompes
Cœur
1,2
Pompes

Barres de
contrôle
Déminéralisateur
Pompes de recirculation

Structure de l’enceinte de confinement Systèmes d’alimentation d’urgence en eau

Source NRC

Figure 2 – Schéma d’une centrale nucléaire à eau bouillante

SE 1 671 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWQ

__________________________________________ MÉTHODE AP913 DE MAINTENANCE BASÉE SUR LA FIABILITÉ DES CENTRALES NUCLÉAIRES AMÉRICAINES

priés en situation accidentelle. L’arrêt automatique du réacteur est


Chaque pays exploitant des centrales nucléaires commer- obtenu en insérant les barres de contrôle dans le cœur du réacteur.
ciales s’est doté de structures similaires pour l’octroi des Il est appelé également Scram (Safety Cut Rope Axe Man ). Pour
licences d’exploitation et pour assurer la surveillance de leur l’anecdote, il tire son nom de la personne qui était chargée de cou-
sûreté de fonctionnement. per la corde qui maintenait les barres de contrôle dans la première
pile nucléaire expérimentale conçue par Enrico Fermi [4] en 1942.
Pour éviter une fission nucléaire non contrôlée lors de la première
1.4 Sûreté et fiabilité de l’exploitation expérience de divergence, Fermi avait mandaté un bûcheron pour
faire chuter les barres de commande dans le cœur en coupant la
des centrales nucléaires corde qui les maintenait. Le même procédé artisanal a été utilisé
à eau pressurisée américaines en France pour la première divergence pile ZOE à Fontenay-aux-
Roses en 1948 par Maurice Surdin.
Le zéro accident n’existant pas dans le domaine des installations
industrielles, les centrales nucléaires n’échappent pas à la règle. 1.4.1.2 Dispositifs de sauvegarde
Une centrale nucléaire comportant environ 300 000 composants
regroupés dans plusieurs centaines de systèmes est obligatoire- Le rôle des systèmes de sauvegarde est de maîtriser et de limiter
ment l’objet de défaillances techniques ou d’erreurs humaines lors les conséquences des incidents et des accidents. Les systèmes de
de leur exploitation. Une des responsabilités majeures de la NRC sauvegarde sont différents pour les réacteurs à eau pressurisée et
est d’assurer que l’exploitation des centrales nucléaires ne pré-
sente pas de risque inacceptable pour la santé de la population et
la sûreté. La NRC réalise cette mission en faisant appliquer et res-
à eau bouillante. Parmi les circuits de sauvegarde les plus impor-
tants figurent les circuits d’injection de sécurité, les circuits
d’aspersion dans l’enceinte du bâtiment réacteur et le circuit d’eau

pecter un ensemble d’exigences techniques relatives à la concep- alimentaire de secours des générateurs de vapeur. Plus généra-
tion et à l’exploitation des centrales conformément au Code of lement, ces systèmes concernent le refroidissement, la lubrifica-
Federal Regulations (10 CFR) [3]. Ce document contient toutes les tion et la fourniture d’électricité. L’exemple traité dans cet article
exigences auxquelles doivent se plier les organisations et les per- concernera le système de contrôle volumétrique et chimique (RCV)
sonnes qui ont obtenu une licence auprès de la NRC pour exploiter d’une centrale à eau pressurisée.
une centrale nucléaire. Elles sont écrites en utilisant les termes tra-
ditionnels d’ingénierie déterministes tels que les marges de sécu-
rité utilisées en conception, construction et exploitation. Depuis 1.4.2 Défense en profondeur
1983, les études probabilistes de sûreté (EPS) ou PRA (Probability
Suivant la NRC, le concept de défense en profondeur est une
Risk assessment ) ont été préconisées pour compléter les juge-
approche basée sur une conception et une exploitation des cen-
ments d’experts en matière de risque [BN 3 831].
trales nucléaires qui prévient et réduit l’occurrence des accidents
qui relâchent des substances radioactives ou des matériaux dange-
1.4.1 Systèmes de sûreté et de sauvegarde reux. Le principe fondamental est de créer des lignes de défenses
d’une centrale nucléaire multiples et redondantes pour se protéger des erreurs humaines et
des défaillances techniques préférables à une unique ligne de
L’AP913 définissant une procédure de fiabilité des équipements défense, aussi robuste soit-elle.
afin de maintenir le niveau de sûreté des centrales nucléaires, cette Les objectifs de la défense en profondeur sont les suivants :
section décrit de façon succincte les principaux systèmes de pro-
– compenser les éventuelles erreurs humaines et les défaillances
tection et de sauvegarde destinés à garantir la sûreté. Comme cela
de composants ;
sera détaillé par la suite, la procédure AP913 classe les matériels et
systèmes en deux catégories critiques et non critiques. Concernant – maintenir l’efficacité des barrières en évitant les dommages à
les critères de criticité vis-à-vis de la sûreté, le terme « lié à la l’installation et aux barrières elles-mêmes ;
sûreté » suivant la NRC (safety-related ) s’applique aux systèmes, – protéger les travailleurs, les personnes du public et l’environ-
structures, composants, procédures et moyens de contrôle qui nement contre des dommages dans des conditions accidentelles
sont indispensables pour rester opérationnels pendant un accident au cas où ces barrières ne seraient pas pleinement efficaces.
de dimensionnement. Un accident de dimensionnement repré- Ce concept met en œuvre les contrôles d’accès, les barrières
sente des conditions accidentelles dans lesquelles une installation physiques, des fonctions de sécurité indépendantes et redon-
est conçue pour résister conformément à des critères de concep- dantes, et des mesures organisationnelles pour répondre aux
tion spécifiés pour assurer la santé du public et la sûreté. situations d’urgence.
L’Agence internationale de l’énergie atomique a définit cinq
niveaux de défense en profondeur dans le cadre du groupe de tra-
L’AIEA distingue les constituants (structures, systèmes ou vail INSAG (The International Nuclear Safety Group ) :
composants) liés à la sûreté qui ne font pas partie d’un sys- • niveau 1 : prévention du fonctionnement anormal et des
tème de sûreté de ceux appartenant à un système de sûreté. défaillances ;
Celui-ci est important pour la sûreté et est destiné à garantir la
mise à l’arrêt sûre du réacteur, l’évacuation de la chaleur rési- • niveau 2 : contrôle du fonctionnement anormal et détection
duelle, ou à limiter les conséquences des accidents de dimen- des défaillances ;
sionnement. Les systèmes de sûreté incluent les systèmes de
protection du cœur, les systèmes actionneurs de sûreté et les • niveau 3 : contrôle des accidents de dimensionnement ;
dispositifs auxiliaires de systèmes de sûreté. Par la suite, les
systèmes de protection du cœur et les auxiliaires de sauve- • niveau 4 : contrôle des conditions dégradées à la centrale, y
garde feront l’objet de descriptions succinctes. compris prévention de la progression d’un accident et atténuation
des conséquences des accidents graves ;
• niveau 5 : atténuation des conséquences radiologiques des
1.4.1.1 Système de protection du réacteur
rejets importants de matières radioactives.
Le système de protection du réacteur a pour principales fonc-
Nota : en France, dès la conception, un réacteur nucléaire est doté d’une série de bar-
tions la détection de situations anormales, l’arrêt automatique du rières étanches successives : la gaine des crayons combustibles, l’enveloppe du circuit
réacteur et le déclenchement des systèmes de sauvegarde appro- primaire et l’enceinte de confinement.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 671 – 5

YS

YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWU

Méthode de maintenance basée


sur la fiabilité inversée PMO2000®

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France


1. Origines et objectifs de la méthode PMO2000® .......................... SE 1 675 - 2
1.1 Origines...................................................................................................... — 2
1.2 Objectifs ..................................................................................................... — 3
2. Principes et étapes la méthode PMO2000®................................... — 3
2.1 Principes .................................................................................................... — 3
2.2 Étapes......................................................................................................... — 3
2.2.1 Inventaire et examen des contenus des tâches actuelles
de maintenance ............................................................................ — 5
2.2.2 Analyse des modes de défaillance ............................................. — 5
2.2.3 Rationalisation et examen des modes de défaillance ............... — 5
2.2.4 Analyse fonctionnelle (optionnelle) ............................................ — 5
2.2.5 Évaluation des conséquences ..................................................... — 5
2.2.6 Détermination de la politique de maintenance.......................... — 7
2.2.7 Regroupement et examen des tâches ........................................ — 7
2.2.8 Approbation et mise en œuvre ................................................... — 7
2.2.9 Programme vivant........................................................................ — 8
2.2.10 Organisation d’une étude PMO2000® ........................................ — 8
3. Exemple d’application à un compresseur à vis ........................... — 8
3.1 Composants d’un compresseur d’air à vis ............................................. — 8
3.2 Principes de fonctionnement ................................................................... — 8
3.2.1 Tâches de maintenance PMO2000® pour la fonction
entraînement du compresseur à vis ........................................... — 9
3.2.2 Conclusion sur l’exemple du compresseur d’air
d’un atelier .................................................................................... — 9
4. Avantages et limitations ..................................................................... — 10
4.1 Avantages et limitations de la PMO2000® selon Steve Turner............. — 10
4.1.1 Avantages ..................................................................................... — 10
4.1.2 Inconvénients ............................................................................... — 11
4.2 Limitations et dangers de la PMO2000® selon John Moubray ............. — 11
4.3 Limitations et dangers de la PMO2000® selon Vee Narayan ................ — 11
5. Conclusion............................................................................................... — 11
6. Glossaire .................................................................................................. — 12
Pour en savoir plus ........................................................................................ Doc. SE 1 675

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle et sur les méthodes de maintenance
basées sur la fiabilité (MBF) (RCM pour Reliability Centered Maintenance),
présente la méthode développée par Steve Turner appelée également
méthode inversée de maintenance basée sur la fiabilité, PMO2000® (Planned
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQV

Maintenance Optimization).

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 675 – 1

YU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWU

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ INVERSÉE PMO2000® __________________________________________________________________

Les motivations de Steve Turner pour développer une méthode inversée de


RCM ou « Reverse or retroactive RCM » partent du constat que l’application
de la méthode développée par Nowlan et Heap en 1978 était trop contrai-
gnante et demandait trop de temps et de ressources humaines aux yeux des
exploitants. Cet article fournit intégralement les détails de la méthode
PMO2000® telle qu’elle a été définie par son concepteur à partir des docu-
ments méthodologiques publiés par son auteur de 2001 à nos jours.
La première section présente les origines de la démarche résultant de la
volonté de Steve Turner de mettre à la disposition des industriels une méthode
simplifiée de maintenance basée sur la fiabilité permettant d’obtenir des gains
substantiels de temps de développement (de l’ordre d’un facteur six). Selon
Turner, les programmes de maintenance sont très proches de ceux qui
auraient été obtenus avec la méthode RCM classique.
La deuxième section présente les étapes pour élaborer un programme de
maintenance PMO2000® en y soulignant les points communs et différences
S avec la méthode RCM développée dans le cadre de la norme SAE JA 1011.
Pour illustrer le contenu d’une étude de maintenance basée sur la PMO2000®,
le cas d’un compresseur d’air comprimé à vis est présenté dans la troisième
section. Le programme de maintenance du compresseur d’air fait l’objet de
développements détaillés.
Compte tenu des nombreuses controverses formulées à l’encontre de la
PMO2000® par les défenseurs de la RCM telle que défini par ses fondateurs
Nowlan et Heap, la quatrième section fournit un bilan comparatif des avan-
tages et inconvénients de la PMO2000®. La conclusion formule des
recommandations pour une implantation de la PMO2000®.

1. Origines et objectifs Johnson [6] des temps de développement six fois inférieurs à la
méthode RCM utilisée par l’EPRI. En Australie, Steve Turner
de la méthode PMO2000® constata que de nombreuses entreprises faisaient face à des
niveaux excessifs de maintenance corrective et de pannes, entraî-
nant des arrêts de production coûteux. Il formalisa cette situation
1.1 Origines en la représentant par le « cercle vicieux de la maintenance
corrective » représenté sur la figure 1. Selon ce cercle vicieux,
Nowlan et Heap [1] ont défini en 1978, dans le domaine aéronau- quand une panne survient, les ressources sont mobilisées pour les
tique, les principes de la première méthode de maintenance basée réparations au détriment de la mise en place de la maintenance
sur la fiabilité (MBF), connue sous le sigle RCM (Reliability Cente- préventive. Comme la maintenance préventive n’est pas en place,
red Maintenance ). Cette méthode a démontré son efficacité des pannes de plus en plus fréquentes surviennent, entraînant des
puisqu’elle constitue les bases de la norme aéronautique MSG3 [2] réparations provisoires et répétitives. Cette situation a des consé-
actuellement en vigueur pour la certification des aéronefs actuels. quences sur les budgets dédiés à la maintenance, induit des
Compte tenu des résultats probants obtenus dans le domaine retards dans la remise en état, réduit de façon significative la qua-
aéronautique, d’autres secteurs industriels ont adapté cette lité des opérations et affectent la motivation des personnels en rai-
méthode à leurs installations dès le début des années 1980. Des son de la surcharge de travail.
normes d’application ont également vu le jour et sont régulière-
ment réactualisées : la norme SAE JA1011 [3], et la norme CEI
60300-3-11 [4]. John Moubray a mis au point la méthode RCM2 [5] Retards
au début des années 1990 qui est conforme en tous points à la Baisse de la croissants
norme SAE JA1011. Le lecteur trouvera les détails de ces qualité des
méthodes dans [SE 1 650] [SE 1 655] [SE 1 660] [SE 1 667]. Le interventions
retour d’expérience des exploitants de centrales nucléaires qui ont La maintenance
été parmi les premiers à réaliser des expériences pilotes avec la préventive est délaissée
RCM originale a permis de constater que l’application de la
méthode RCM originale exigeait trop de temps et de ressources, Baisse du moral
des personnels
les conduisant à rechercher des méthodes simplifiées pour définir
des programmes de maintenance. De nombreuses tentatives ont Les ressources sont
alors vu le jour pour proposer des alternatives respectant très peu affectées aux pannes
souvent la démarche préconisée par la RCM. Dans le domaine de Réduction
la production d’énergie, l’EPRI a mis au point une méthode simpli- des budgets
fiée ou « allégée » de maintenance basée sur la fiabilité : la SRCM
(Streamlined Reliability Centered Maintenance ) [5], qui utilise une Réparations
station de travail PMO (Plant Maintenance Optimization ) condui- temporaires
Plus de travaux
sant à des résultats proches de la RCM originale. Dans le nucléaire, répétitifs
une autre méthode PMO (Preventive Maintenance Optimization )
développée par la société Fractal Solution a été expérimentée en Figure 1 – Cercle vicieux de la maintenance suivant Turner
1995 sur la centrale nucléaire de Kiwaunee et nécessite selon (source : Turner)

SE 1 675 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWU

__________________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ INVERSÉE PMO2000®

Pour rompre avec ces pratiques, Steve Turner pense qu’une


nouvelle organisation est indispensable pour faire le meilleur Les étapes de la RCM originale
usage des ressources allouées à la maintenance pour augmenter
la productivité ou l’efficacité des personnels de maintenance. En Nowlan et Heap ont défini la RCM comme une politique de
conséquence, il propose de mettre en œuvre les concepts de la maintenance programmée destinée à maintenir les niveaux de
RCM dans différents domaines industriels. En Australie, la SIRF fiabilité inhérente des équipements. La fiabilité inhérente cor-
(Strategic Industry Research Foundation ) voit le jour en 1988 à respond à la fiabilité définie par les études de conception. Les
l’initiative du gouvernement de Victoria et de l’Académie austra- principes de la RCM découlent de l’examen rigoureux des
lienne des Sciences technologiques pour réunir, dans le cadre de réponses aux questions suivantes :
tables rondes, les industriels concernés par la maintenance et la – Comment apparaît une défaillance ?
fiabilité. Suite aux retours d’expérience des industriels avec la – Quelles sont ses conséquences ?
RCM, la SIRF, tout en reconnaissant que la RCM est un outil utile, – La maintenance préventive est-elle bénéfique ?
constate que cette politique de maintenance ne correspond pas Le programme de maintenance préventive respectant cette
aux besoins des industriels dont les installations sont déjà pour- démarche RCM se construit avec les étapes suivantes :
vues de programmes de maintenance. Selon les membres de la 1. sélection de systèmes et recherche d’information ;
SIRF, la RCM est considérée comme un outil valable lors de l’éta- 2. définition des limites du système ;
blissement d’un programme de maintenance lors de la conception
3. description du système et analyse fonctionnelle ;
d’une nouvelle installation, mais est inappropriée pour une instal-


lation, déjà existante. Steve Turner crée en 1995 la société OMCS 4. inventaire des fonctions et des défaillances fonctionnelles ;
(Operations and Maintenance Consulting Services Pty Ltd) pour 5. analyse des conséquences des modes de défaillance
proposer une méthode appelée PMO2000® (Planned Maintenance fonctionnelle ;
Optimisation ) valable pour tous les secteurs industriels et pour des 6. analyse avec un arbre logique de décision des tâches de
installations déjà en fonctionnement. Cette méthode est souvent maintenance ;
appelée la méthode RCM inversée (Reverse RCM ou retroactive 7. sélection des tâches de maintenance ;
RCM) dans la mesure où elle commence par analyser les procé- 8. programme vivant.
dures de maintenance déjà existantes, et les optimisent ensuite à
l’aide du retour d’expérience). Compte tenu du fait que la méthode
« inversée » de RCM la plus répandue actuellement est celle de
Steve Turner, cet article est consacré à sa description, sachant que 2. Principes et étapes
par ailleurs d’autres méthodes ont été développées mais
demeurent plus confidentielles. de la méthode PMO2000®
1.2 Objectifs 2.1 Principes
La méthode PMO2000® doit son appellation de méthode inver-
La PMO2000® a pour objectifs principaux de définir un pro-
sée de maintenance basée sur la fiabilité par le fait qu’elle part
gramme de maintenance préventive qui réduit de façon significative
d’un programme de maintenance déjà en place pour les équipe-
(jusqu’à six fois moins de ressources) comparativement à la
ments. À partir de l’inventaire des programmes de maintenance
démarche RCM classique tout en garantissant des performances
existants, elle recherche les défaillances associées. Puis, à partir
sensiblement identiques. La figure 2 représente les approches com-
des connaissances des spécialistes, de nouveaux modes de défail-
paratives entre la RCM classique et la PMO2000®. On constate que
lance sont recherchés pour compléter le contenu des programmes
la PMO2000® a pour ambition d’atteindre ces objectifs à partir des
de maintenance. À partir d’une analyse des conséquences des
examens des tâches existantes de maintenance, des historiques des
défaillances qui s’inspire de la méthode RCM initiale (défaillances
défaillances et de la documentation technique et des avis d’experts.
évidentes et cachées et impacts sur la sécurité et la production),
Par opposition, la RCM originale fait un inventaire exhaustif des les nouvelles tâches sont définies ou améliorées avec leurs inter-
fonctions et de leurs défaillances fonctionnelles en vue d’établir les valles de réalisation. La figure 3 représente les étapes de la
contenus des tâches de maintenance applicables et efficaces (voir PMO2000® et celles de la norme SAE JA1011 de 2009. La figure 4
l’encadré ci-après). fournit la comparaison avec la norme IEC 60300-3-11 de 2009.
L’analyse des figures 3 et 4 indique clairement que la démarche
PMO2000® n’est pas basée sur une recherche systématique des
fonctions, des défaillances fonctionnelles et de la recherche de
leurs causes.
RCM Tous les
• Fonctions modes de
• Défaillances défaillance
fonctionnelles sont analysés 2.2 Étapes
Liste
identique de Neuf étapes sont nécessaires pour établir un programme de
PMO2000 tâches de maintenance basée sur la fiabilité PMO2000® :
• Tâches existantes maintenance
préventive
1. inventaire et examen des contenus des tâches actuelles de
de maintenance
maintenance ;
• Historique des
défaillances 2. analyse des modes de défaillance ;
• Documentation 3. rationalisation et examen des modes de défaillance ;
technique Modes 4. analyse fonctionnelle (optionnelle) ;
évitables de
défaillance 5. évaluation des conséquences des modes de défaillance ;
Défaillances
analysées 6. détermination de la politique de maintenance ;
avec la PMO 7. regroupement des tâches et revue critique ;
Figure 2 – Comparaison des approches PMO2000®
8. approbation et mise en place ;
et RCM relatives aux modes de défaillance (source : Turner) 9. programme vivant.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 675 – 3

YW

YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWW

Méthode de maintenance basée


sur les risques et la fiabilité
CWA-RBIM

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informa-
tique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origine et objectifs de la méthode CWA-RBIF .............................. SE 1 677 - 2
1.1 Origine ....................................................................................................... — 2
1.2 Objectifs ..................................................................................................... — 2
2. Principes, exigences et étapes de la méthode CWA-RBIM ........ — 3
2.1 Principes .................................................................................................... — 3
2.2 Exigences................................................................................................... — 3
2.3 Étapes de la CWA-RBIM ........................................................................... — 6
3. Avantages et limitations de la méthode CWA-RBIM ................... — 13
3.1 Avantages .................................................................................................. — 13
3.2 Limitations ................................................................................................. — 13
4. Exemple d’application à un réservoir d’une unité
de production d’ammoniac................................................................. — 13
4.1 Contextes, données et paramètres.......................................................... — 13
4.2 Détermination et identification des inspections..................................... — 14
4.3 Bilan de l’étude sur le réservoir d’ammoniac......................................... — 15
5. Conclusion............................................................................................... — 15
6. Glossaire .................................................................................................. — 16
7. Sigles, notations et symboles............................................................ — 17
Pour en savoir plus ........................................................................................ Doc. SE 1 677

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maîtrise des risques et les méthodes de maintenance, présente la
méthode de maintenance basée sur les risques et la fiabilité CWA-RCBIM déve-
loppée en 2001 dans le cadre du projet européen RIMAP (Risk-Based
Inspection and Maintenance Procedures for European Industry). Elle
fait l’objet du projet de la prénorme européenne prEN 16991 en 2016
(Risk-Based Inspection Framework : RBIF).
La première section présente les origines de la démarche résultant de la
volonté de la communauté européenne de disposer d’un cadre méthodolo-
gique pour établir des programmes d’inspection basée sur les risques et de
maintenance prenant en compte les différentes normes européennes et inter-
nationales tout en se démarquant des normes américaines comme celles de
l’API (American Petroleum Institute).
L’un des objectifs de cette méthode est de rendre les programmes d’inspec-
tion et de maintenance des installations industrielles plus performants sur le
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQW

plan économique tout en maintenant ou améliorant la sécurité, la santé des

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 677 – 1

YY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWW

MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM _____________________________________________________________

personnels, l’environnement et les performances économiques des actifs.


Cette méthode est destinée aux responsables et aux ingénieurs désireux
d’implanter un programme RBIM dans les secteurs industriels (pétrochimie,
chimie, production d’énergie et entreprises associées).
La deuxième section présente les six étapes indispensables pour élaborer un
programme d’inspection et de maintenance basée sur les risques RBIM. Ces
étapes concernent les analyses préliminaires et la planification, la recherche de
données, la collecte des données et leur validation, une analyse de risque
multiniveaux, des prises de décision et des plans d’actions, la mise en œuvre
et la collecte du retour d’expérience et les analyses de performance néces-
saires à l’élaboration du programme évolutif.
Pour illustrer le contenu d’une étude de RBIM, le cas d’un réservoir d’une
unité de production d’ammoniac est présenté dans la troisième section unique-
ment pour le volet des techniques d’inspection basées sur les risques. Le
programme d’inspection fait l’objet de développements avec les justificatifs
S détaillés.
La quatrième section fournit un bilan comparatif des avantages et inconvé-
nients de la RBIM. La conclusion formule des recommandations pour une
implantation de la RBIM et les perspectives d’améliorations dans le cadre de la
norme définitive EN 16991.

CWA 15740 concerne uniquement la RBI. Il est fait mention de la


1. Origine et objectifs RCM uniquement pour démontrer l’applicabilité du concept de la
de la méthode CWA-RBIF RBIM. La validité du document CWA 15740 a été prolongée
jusqu’en 2011 et le comité technique TC 319 du CEN (Comité euro-
péen de normalisation) a été chargé de rédiger le projet de norme
prEN16991 [6] soumis à enquête publique en avril 2016. Le
1.1 Origine contenu de cette prénorme repose sur les documents RIMAP
Network « Risk-Based Inspection and Maintenance Procedures for
L’origine de la méthode de maintenance CWA-RBIM découle de European Industry » et « CWA 15740 » de 2008. C’est la raison
la volonté de la communauté européenne industrielle de disposer pour laquelle la méthode décrite dans cet article a été appelée la
d’une méthode de maintenance basée sur les risques et sur la fia- méthode CWA-RBIM ; elle fournira une synthèse des méthodes
bilité, reposant sur les normes européennes de maintenance et de préconisées dans ces documents.
sûreté de fonctionnement. En 2001, le projet européen de
recherche RIMAP « Risk-Based Inspection and Maintenance Proce-
dures for European Industry » (GIRD-CT-2001-03008) a été initié [1]. 1.2 Objectifs
L’objectif de ce projet était de développer une procédure systéma-
tique pour gérer les risques en identifiant et hiérarchisant les acti- Les objectifs de la méthode CWA-RBIM sont de fournir un cadre
vités d’inspection et de maintenance pour servir de base à général (RBIF) pour les études de RBIM et donner des lignes direc-
l’établissement d’une norme européenne spécifique. En parallèle, trices pour les industries chimiques et pétrochimiques, la produc-
un réseau RIMAP a été mis en place pour valider les concepts dans tion d’énergie et les autres industries. La méthode présentée dans
différents domaines industriels (production d’énergie électrique, cet article concerne uniquement l’inspection basée sur les risques
pétrochimie, chimie et aciéries) [2] [3] [4]. La volonté affichée du dans le contexte de la RBIM en mentionnant la méthode RCM dans
projet RIMAP était de proposer une alternative européenne aux le cadre général de la RBIM. La méthode prend en compte non
normes américaines de l’API (American Petroleum Institute ) dans seulement l’optimisation de l’exploitation et de la maintenance,
le domaine de l’inspection basée sur les risques. À partir des résul- mais également la gestion de l’intégrité des actifs. Elle vise égale-
tats du projet RIMAP, le document intitulé CEN Workshop Agree- ment à faciliter l’élaboration des inspections basées sur les risques
ment CWA 15740 « Risk-Based Inspection and Maintenance et des programmes de maintenance des installations industrielles
Procedures for European Industry » RIMAP [5] a été publié en avril de façon efficace et documentée, tout en respectant les textes
2008. Ce document, qui ne constitue pas une norme, a pour objec- réglementaires et en maintenant ou améliorant la sûreté, la santé
tif de proposer un cadre méthodologique clair et précis afin et la sécurité des personnes et les performances environnemen-
d’appliquer et de mettre en œuvre l’inspection basée sur les tales. La méthode CWA-RBIM s’adresse d’abord aux équipements
risques et la maintenance (RBIM) pendant la durée de vie des équi- de confinement statiques (réservoirs, tuyaux) ou dynamiques
pements. L’objectif de la RBIM est de s’assurer que les niveaux de (pompes, turbines, vannes) et les dispositifs de décompression et
risques relatifs à la sûreté, la santé des personnels, l’environne- peut aussi être appliquée à d’autres types d’équipements si cela
ment, les objectifs financiers, la production et l’exploitation soient s’avère nécessaire. Elle peut être utilisée également dans les
clairement définis et jugés acceptables en utilisant des méthodes phases de conception ou d’extension de la durée de vie. Elle pro-
efficaces d’inspection et de maintenance. Le document CWA 1570 pose également un ensemble de recommandations qui peuvent
concerne tous les secteurs industriels et s’applique à tous types de être mises en œuvre en relation avec des pratiques internationale-
matériels statiques et dynamiques. Cependant, il est important de ment reconnues, des normes nationales et/ou des politiques indus-
noter que bien que la RBIM englobe la RBI et la RCM, le document trielles spécifiques. Il est important de souligner que cette

SE 1 677 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWW

_____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM

Documents relatifs
à la RBI – API

Évaluation
Documents supports
Documents de base et recommandations
et rapports pour des
et rapports pour la mise en œuvre
problèmes spécifiques
et documents

API 510 API 581


Inspection API 580
Inspections basées
enceintes sous Inspection basée sur
sur les risques
pression les risques RBI
RBI

API 570 API 579



Inspection Inspection basée
tuyauteries sur les risques

API 663
Inspection
réservoirs

API 750
Inspection
réservoirs

Figure 1 – Champ d’application de la norme API 580

méthode diffère sur deux points fondamentaux par rapport à des différents types d’équipements sous pression pour minimiser
d’autres cadres méthodologiques en RBI : le risque de perte de confinement suite à une dégradation et/ou un
– le premier point concerne l’étendue de champ d’application qui dommage. Le risque est défini en général comme une combinai-
est plus vaste par exemple que celui préconisé par la RBI, décrite son de la probabilité d’une défaillance et de sa gravité en termes
dans la norme API 580 [7] comme le montre la figure 1 (car elle de conséquences comme indiqué sur la figure 2. La RBI nécessite
peut s’appliquer à d’autres types d’équipements ou de procédés). des évaluations quantitatives ou qualitatives de la probabilité de
Sur cette figure on note que seuls les matériels suivants sont défaillance (PdD) et de la conséquence de la défaillance (CdD)
concernés : enceintes sous pression, tuyauteries et réservoirs ; associées à chaque équipement.
– le second point porte sur le fait que les approches et les méthodo- L’inspection dans la RBI concerne toutes les activités pour véri-
logies de la CWA-RBIM doivent être compatibles en particulier avec fier que les matériaux, la fabrication, le montage, les examens, les
les normes IEC/ISO 31010 [8], ISO/IEC Guide 51 [9], ISO Guide 73 [10], tests, les réparations, etc. sont conformes aux codes applicables, à
EN 13306 [11], OHSAS 18001 [12], et ISO/IEC 17020 [13]. l’ingénierie et/ou aux exigences des procédures écrites de l’exploi-
tant. La RBI est une démarche destinée à concevoir un plan d’ins-
pection reposant sur la connaissance des risques de défaillance
d’un équipement ayant un impact sur l’intégrité.
2. Principes, exigences Cependant, les autres systèmes peuvent être couverts par des
méthodes d’évaluation du risque définies par exemple par la main-
et étapes de la méthode tenance basée sur la fiabilité (RCM) pour les défaillances fonction-
nelles. La prénorme prEN 16991 préconise l’utilisation de la RCM,
CWA-RBIM définie dans la norme IEC 60300-3-11 [14].

2.1 Principes 2.2 Exigences


La méthode CWA-RBIM décrite dans cet article met principale- 2.2.1 Généralités
ment l’accent sur la Risk Based Inspection (RBI) qui peut se définir
comme une méthodologie d’analyse nécessitant l’évaluation du L’approche d’inspection et de maintenance basée sur les risques
risque associé à une défaillance et/ou un événement redouté. La exige la mise en place d’une analyse multidisciplinaire pour garantir
RBI a pour vocation première de maintenir l’intégrité mécanique que les objectifs en matière de sécurité, de santé, d’environnement

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 1 677 – 3

QPQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWW

MÉTHODE DE MAINTENANCE BASÉE SUR LES RISQUES ET LA FIABILITÉ CWA-RBIM _____________________________________________________________

PROBABILITÉ CONSÉQUENCES
(probabilité qu’un événement (Importance du composant en termes de :
indésirable se produise) • coûts
• sûreté
• état du composant • environnement
• charges/facteurs externes • autres

RISQUE =
probabilité × conséquences

Priorité
et évaluation du risque

S Stratégie
de maintenance

Gestion des composants et


de la durée de vie du procédé basée
sur les risques

Figure 2 – Principe de gestion des risques dans la RBI

Mise en œuvre/optimisation :
La cause de la défaillance peut-elle être
• procédures
identifiée et son élimination est-elle
• modifications
réellement efficace économiquement ?
• conditions d’exploitation

Établir de nouvelles stratégies


d’inspection et de maintenance

Un remplacement
de la stratégie d’inspection Reconception
et de maintenance
Les stratégies d’inspection et est-elle possible ?
de maintenance assurent-elles
un risque faible pour
les personnels et évitent-elles
de nouvelles défaillances ?

Mise en œuvre

Figure 3 – Niveau principal pour la prise de décision

et d’efficacités financière et commerciale soient atteints. Ces objec- procédures d’évaluation des probabilités des défaillances et des
tifs doivent impérativement être respectés en mettant en œuvre des estimations des conséquences des défaillances, l’évaluation des
programmes optimisés d’inspection, de surveillance et de mainte- techniques d’inspection.
nance reposant sur une méthodologie basée sur les risques. Les exi-
gences préconisées dans la prénorme prEN 16991 imposent que les
2.2.2 Documentation
objectifs et les critères définissant le risque soient clairement définis.
La démarche RBIM comporte deux niveaux : le premier niveau défi- La méthode RBIM et ses étapes doivent faire l’objet de docu-
nit la stratégie à retenir en fonction de la nature de la défaillance ments écrits qui découlent d’une procédure bien définie, rigou-
conformément à la figure 3 et le deuxième niveau détaille la reuse et logique qui garantit que toutes les informations
méthode d’inspection, son étendue et les intervalles. Les contenus pertinentes ont été prises en compte (réglementations, retour
des programmes d’inspection sont déterminés pour que le niveau d’expériences, données de conception et d’exploitation). Notam-
de risque reste acceptable et conforme au concept ALARP (As Low ment, ces informations doivent expliciter en détail comment les
As Reasonably Practicable, ou en français : niveau le plus faible qu’il dangers ont été définis pour chaque élément d’un système, com-
soit raisonnablement possible). La norme énumère les exigences ment les probabilités et les conséquences des défaillances ont été
requises pour mener à bien la démarche CWA-RBIM. Elles déterminées. Elles doivent préciser les modalités d’utilisation pour
concernent la documentation, la qualification des personnels, les déterminer le niveau de risque et les plans associés d’inspection.

SE 1 677 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWY

Méthodes d’analyse des causes


racines des défaillances
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique, d’hydraulique et des télécommunications de Toulouse (ENSEEIHT),
Docteur-Ingénieur, Docteur ès Sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France

1. Concepts de base et terminologie ...............................................


SE 1 379 – 2
1.1 Préambule .......................................................................................... — 2
1.2 Différentes définitions de la cause racine ......................................... — 3
1.3 Différentes définitions de la défaillance ............................................ — 4
1.4 Classification des causes ................................................................... — 4
1.5 Notion de causalité ............................................................................ — 4
1.6 Méthodes d’analyse fonctionnelle pour représenter la chaı̂ne
de causalité ........................................................................................ — 5
1.6.1 Méthode intuitive de représentation d’arbres fonctionnels
et matériels .............................................................................. — 6
1.6.2 Méthode SADT‚ IDEF0 ........................................................... — 6
1.7 Synthèse ............................................................................................. — 7
2. Exemple de la recherche des causes racines de l’accident
du vol China Airlines 120 .............................................................. — 8
2.1 Objectifs de cet exemple.................................................................... — 8
2.2 Circonstances de l’accident ............................................................... — 8
2.3 Procédure de recherche de la cause racine ....................................... — 8
2.3.1 Rappel sur le triangle du feu ................................................... — 8
2.3.2 Données utilisées par les enquêteurs ..................................... — 9
2.4 Scenarios élaborés par les enquêteurs et leur vérification .............. — 9
2.5 Leçons tirées de l’enquête sur l’accident du vol China Airlines 120 — 11
3. Méthodes et outils de RCFA.......................................................... — 11
3.1 Principes et champs d’application des méthodes RCFA ................... — 11
3.2 Exemples de typologie des causes racines ....................................... — 12
3.3 Exemples d’arbres logiques de recherche de causes racines .......... — 12
3.3.1 Arbre logique pour des défaillances techniques n’induisant
pas d’accident .......................................................................... — 13
3.3.2 Arbre logique pour des défaillances techniques induisant
un accident .............................................................................. — 13
3.4 Principaux outils en RCFA .................................................................. — 14
3.4.1 Informations à réunir au préalable pour entreprendre
la RCFA ..................................................................................... — 14
3.4.2 Informations complémentaires pour entreprendre la RCFA .. — 15
3.5 Outils de RCFA ................................................................................... — 16
3.5.1 Outils à base de jugement collectifs d’experts ...................... — 16
3.5.2 Outils issus du domaine de la qualité .................................... — 16
3.5.3 Outils issus du domaine de la sûreté de fonctionnement ..... — 18
3.5.4 Outils issus du domaine de l’intelligence artificielle ............. — 20
4. Conclusion........................................................................................ — 21
5. Glossaire ........................................................................................... — 22
Pour en savoir plus.................................................................................. Doc. SE 1 679

C et article présente une introduction aux différentes méthodes les plus utilisées
pour rechercher les causes racines des défaillances techniques de procédés
industriels. En effet, pour des défaillances qui ont des conséquences critiques
pour la disponibilité des installations industrielles, il est indispensable d’identifier
p。イオエゥッョ@Z@ュ。ゥ@RPQX

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 679 – 1

QPS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWY

MÉTHODES D’ANALYSE DES CAUSES RACINES DES DÉFAILLANCES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

leurs causes racines afin de pouvoir les éliminer. Dans la mesure où il n’existe pas
de norme internationale préconisant la terminologie et la démarche de la recherche
des causes racines de défaillances techniques (RCFA : Root Cause Failure Analysis),
la première section présentera et précisera les différentes notions de causes raci-
nes et de défaillances. La seule norme sur les causes racines au sens large a été
publiée en 2015 par la CEI dans le document IEC62740 – Root cause analysis (RCA)
– Analyse de cause initiale (RCA). Dans cet article le terme « cause racine » sera
employé en lieu et place de « cause initiale ». Une classification des différentes
causes (techniques, organisationnelles et facteurs humains) sera également propo-
sée. La méthode RCFA étant par définition une méthode déductive qui détermine la
cause racine à partir des symptômes, cette section sera consacrée à la définition de
la notion de causalité et présentera les méthodes de descriptions hiérarchiques et
arborescentes des procédés industriels indispensables pour représenter graphi-
quement la chaı̂ne de causalité. Elle insistera sur la nécessité d’identifier le niveau
associé à une cause racine qui dépend de la politique de maintenance retenue
(échange standard ou réparation in situ). Pour illustrer les démarches susceptibles


d’être mises en œuvre, la procédure suivie par les enquêteurs pour connaı̂tre la
cause racine qui a conduit à l’incendie et à l’explosion au sol du Boeing 737 du
vol 120 la China Airlines en 2007 sera présentée dans la deuxième section. Le rap-
port des enquêteurs du Japan Transport Safety Board a permis d’identifier la cause
primaire due à une erreur humaine et liée à une erreur de conception. Dans la suite
de cet article, cet exemple servira d’illustration pour présenter les principes des
méthodes et outils détaillés dans la troisième section. Cette troisième section rap-
pellera que la RCFA ne concerne que des analyses « post-mortem » relatives à une
défaillance qui vient d’être constatée. Ensuite, pour faciliter la recherche des causes
racines, des arbres logiques seront proposés ainsi qu’une typologie détaillée.
Un inventaire des informations à réunir au préalable pour mettre en œuvre les
outils de recherche de la cause racine sera dressé. Cette section présentera les
outils à base de jugement collectif d’experts tels que le brainstorming et la
méthode Delphi en insistant sur le fait qu’elles permettent d’avoir un consensus
sur la nature de la cause racine. Ensuite, elle décrira les outils issus du domaine
de la qualité : les méthodes QQOQQCP, des 5 pourquoi (5P) et d’Ishikawa. Comme
la discipline de la sûreté de fonctionnement propose une panoplie très étendue de
méthodes, cette section présentera le principe de trois méthodes : les arbres de
défaillances illustrés d’un exemple, la démarche Apollo qui permet de visualiser
graphiquement la chaı̂ne de causalité, et les AMDEC. Enfin, compte tenu de la
place grandissante actuelle de l’intelligence artificielle, concept défini en 1956,
cette section présentera un aperçu des méthodes utilisables pour la recherche
des causes racines des défaillances : systèmes experts, réseaux de neurones, algo-
rithmes génétiques, apprentissage automatique (Learning Machine) et apprentis-
sage profond (Deep Learning). Elle fera le lien avec les concepts de « Big Data »
et de « Data Mining » utilisés en association avec l’apprentissage automatique et
apprentissage profond. En conclusion, une synthèse et des recommandations
seront fournies pour guider l’utilisateur à choisir la méthode la plus adaptée à la
recherche des causes racines de la défaillance considérée.

reproduise. La défaillance sera considérée au sens large comme un


1. Concepts de base dysfonctionnement entraı̂nant des conséquences jugées significati-
et terminologie ves par les responsables en charge de l’entité. Des définitions plus
formelles de la défaillance seront fournies dans la suite de cet arti-
cle. Le terme « entité » sera interprété comme étant un élément
simple ou complexe, matériel ou organisationnel.
1.1 Préambule
En effet, l’occurrence d’une défaillance peut, selon les secteurs
Dans de nombreux domaines (industries, organisations, services, d’application, entraı̂ner des conséquences de nature très diverse
etc.), la présence d’une défaillance d’une entité conduit à la déter- (sécurité des personnes, perte d’exploitation, image de marque,
mination de sa (ou ses) cause(s) racine(s) pour éviter qu’elle ne se qualité, environnement, etc.).

SE 1 679 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWY

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– MÉTHODES D’ANALYSE DES CAUSES RACINES DES DÉFAILLANCES

De nombreuses méthodes ont été développées pour identifier,


localiser, diagnostiquer la (ou les) cause(s) racine(s), et entrepren-  une fois la cause identifiée sur un élément matériel (dans
dre des actions correctives. Cependant, pour établir une classifica- certains cas) l’analyse de la défaillance peut correspondre
tion des méthodes de recherche des causes racines, une difficulté à une recherche des mécanismes de dégradation des maté-
majeure réside dans les perceptions de ces causes racines. riaux (corrosion, fatigue, rupture, etc.) ;
En effet, en fonction des secteurs d’application des normes natio-  elle peut se définir comme l’utilisation d’un raisonnement
nales ou internationales, des pratiques spécifiques à un secteur logique à partir de l’examen des données, des symptômes,
d’activité donné utilisent des termes et des interprétations différen- des preuves matérielles et de résultats de tests en labora-
tes en relation avec la nature de la cause de la défaillance : tech- toire (dans cet article, les mécanismes de dégradation ne
nique, humaine, organisationnelle, environnementale, etc. Depuis seront pas détaillés).
plusieurs décennies, des méthodologies ont vu le jour avec des
définitions et des terminologies spécifiques qui peuvent induire
des confusions pour un lecteur non spécialisé dans cette discipline. Pour tenter de clarifier ces concepts spécifiques à la méthode
Pour tenter de lever ces ambigüités, les principaux sigles utilisés et RCFA, cette section proposera de définir la notion de causalité et
leurs définitions et objectifs sont récapitulés ci-après. les termes importants pour la compréhension de la suite de l’arti-
cle, et enfin d’insister sur l’importance de la représentation hiérar-
chique du fonctionnement d’une entité complexe.
 FRACAS (Failure Reporting Analysis Corrective Action Sys-


tem Methods)
La méthode FRACAS, initialement développée dans le 1.2 Différentes définitions de la cause
domaine des équipements militaires et objet de la norme MIL-
HDBK-2155A [1], utilise une démarche itérative qui repose sur
racine
plusieurs étapes :
Suivant les différentes normes et guides de recommandations
 les consignations écrites ou orales sur les circonstances pour la recherche des causes racines, les définitions de la cause
d’apparition de la défaillance ; racine peuvent varier. Dans certaines normes, le terme « cause
 l’analyse de la défaillance pour comprendre et identifier les racine » est remplacé par celui de « cause initiale » ou de « cause
causes ; primaire ». L’identification de la cause racine est essentielle pour les
 la mise en place des actions correctives pour éliminer les responsables afin d’évaluer et de résoudre tout problème et d’évi-
causes ; ter qu’il ne réapparaisse de nouveau.
 la vérification de l’efficacité des actions correctives.
Ces méthodes sont basées sur les techniques de résolution de
problème généralisables à tous les secteurs d’activités. Pour guider le lecteur à choisir celle qui sera la plus pertinente
pour ses préoccupations, les définitions les plus utilisées sont
 RCA (analyse des causes racines) les suivantes :
L’analyse de cause initiale selon la norme CEI 62740:2015 1. la cause ultime des causes qui évitera la réapparition de la
désigne tout processus systématique identifiant les facteurs qui défaillance si celle-ci est éliminée définitivement ;
ont contribué à un événement non désiré (accident, incident,
2. la cause qui, lorsqu’elle sera identifiée et corrigée, évitera la
etc.). Elle part du constat qu’il est plus judicieux de traiter les
réapparition de la défaillance. La cause racine ne concerne pas
causes d’un problème que d’en traiter les symptômes évidents
uniquement cette apparition, mais comporte des conséquences ;
et immédiats. La RCA a pour objectif de révéler les causes initia-
les afin que la probabilité d’occurrence de la défaillance puisse 3. la cause racine qualifie la cause première, initiale, qui pro-
être modifiée. Une importante distinction est à faire entre la RCA voque l’enchaı̂nement de la défaillance [2].
et la RCFA car cette dernière est utilisée pour analyser un événe-
ment qui s’est produit à partir de la connaissance du passé (a
posteriori). Cependant, la connaissance des causes initiales De plus, le terme « cause racine » peut faire référence à une
d’événements passés peut entraı̂ner des actions qui amènent à cause particulière dans la chaı̂ne causale, comme représenté sur la
des améliorations dans le futur. La RCA est un processus itératif figure 1. Il appartiendra alors aux responsables de déterminer le
d’amélioration continue applicable à tous les secteurs d’activités niveau de la cause dans la chaı̂ne causale, qui sera retenu pour réa-
comme c’est le cas pour la méthode FRACAS. liser les actions correctives. La figure 2 illustre cette situation et
 RCFA (Root Cause Failure Analysis) montre qu’une cause à un niveau donné entraı̂ne la défaillance de
l’élément considéré. Ensuite, les effets de la défaillance se répercu-
La RCFA, objet de cet article, est une méthode d’analyse
tent au niveau supérieur et celle-ci devient de facto la cause de la
déductive qui permet à partir des symptômes et conséquences
défaillance de l’élément de niveau supérieur.
de la défaillance d’installations industrielles et de leurs équipe-
ments d’identifier la (ou les) cause(s) racine(s). Son objectif Ce point est extrêmement important à définir dans les spécifica-
principal est d’éliminer ces causes et de pouvoir définitivement tions car il a un impact direct sur les tâches de maintenance correc-
éviter la réapparition de la défaillance. Cet article est principale- tive à réaliser. En effet, cela conditionne les politiques qui ont été
ment consacré à ces objectifs d’amélioration de la fiabilité et la retenues concernant la maintenabilité. Si l’entreprise dispose d’un
disponibilité des installations industrielles. parc important de pièces de rechange et décide de faire un échange
 Analyse des défaillances standard de l’élément défaillant situé à un niveau donné, la cause
racine sera celle correspondant à l’élément remplacé. Ainsi, en
L’analyse des défaillances possède plusieurs interprétations
aéronautique, la défaillance d’un réacteur d’avion qui est la cause
qui dépendent de la finesse de l’analyse :
de l’impossibilité de continuer à exploiter l’aéronef pourra être cor-
 dans la majorité des cas, pour des installations industriel- rigée grâce à un échange standard du réacteur sans se préoccuper
les, elle correspond à la détermination de la défaillance à dans l’immédiat des causes de défaillances internes au réacteur.
partir d’un raisonnement logique procédant à l’examen
Pour éviter toute ambiguı̈té et des interprétations erronées, il est
des données des symptômes et des preuves matérielles
indispensable d’associer à la cause racine la politique de répara-
physiques. Pour d’autres secteurs d’activités non techni-
ques, les définitions associées sont différentes ; tion : échange standard ou réparation complète de l’élément en éli-
minant la cause racine comme indiqué sur la figure 2.

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 679 – 3

QPU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWY

MÉTHODES D’ANALYSE DES CAUSES RACINES DES DÉFAILLANCES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

1.4 Classification des causes


Les causes racines peuvent se classer en plusieurs catégories
Événement Symptôme qui, dans la majorité des cas, font l’objet de listes différentes sui-
vant les secteurs.
La classification présentée dans cette liste représente un exemple
et ne doit pas être considérée comme exhaustive :
Cause de  les causes physiques liées à la technologie et aux matériaux
premier niveau nº1 Niveau 1
utilisés ;
 les causes humaines qui concernent les erreurs involontaires
ou volontaires de la part des personnels chargés de réaliser
Cause intermédiaire nº2 Niveau 2 les tâches assignées. Elles entraı̂nent par leurs effets la défail-
lance des équipements physiques ;
 les causes organisationnelles correspondant aux mauvaises
prises de décision par les responsables lors du choix des poli-
Cause intermédiaire nº3 Niveau 3 tiques à mener ;
 les causes environnementales qui représentent les risques


naturels ou créés par l’activité humaine induisant la défail-
lance d’un procédé (par exemple, la catastrophe de la centrale
de Fukushima résulte d’un séisme de magnitude 7,4 engen-
drant un tsunami qui a dévasté ses équipements) ;
 les causes relatives à une mauvaise conception ou à une
Cause de niveau fabrication mal contrôlée peuvent par la gravité de leurs
immédiatement Niveau N conséquences être considérées comme des causes racines ;
supérieur nº N + 1  les causes latentes entraı̂nant des défaillances qui ne présen-
tent pas de symptômes apparents.

1.5 Notion de causalité


Cause Le problème du diagnostic et de l’identification de la cause
racine racine consiste avant tout à résoudre le problème inverse de la rela-
tion de la cause à l’effet connaissant principalement l’effet par ses
symptômes observables comme le montre la figure 3. Dans la
norme CEI 60812:2006, un mode de défaillance est défini par la
manière dont un dispositif tombe en panne.
Figure 1 – Les différents niveaux dans la chaı̂ne causale
Il est donc légitime de s’intéresser à la notion de causalité qui a,
depuis l’Antiquité, mobilisé de nombreux philosophes et scientifi-
1.3 Différentes définitions ques. C’est Saint-Thomas d’Aquin qui a introduit la notion de
cause première dans le domaine religieux (somme théologique
de la défaillance (1273) Ire partie, question 2, article 3) : « Nous constatons, à obser-
ver les choses sensibles, qu’il y a un ordre, entre les causes effi-
L’une des difficultés majeures dans les méthodes de recherche cientes ; mais ce qui ne se trouve pas et qui n’est pas possible,
des causes racines de la défaillance repose sur les différentes défi- c’est qu’une chose soit la cause efficiente d’elle-même, ce qui la
nitions et interprétations du terme « défaillance » lui-même. supposerait antérieure à elle-même, chose impossible. Or il n’est
pas possible non plus qu’on remonte à l’infini dans les causes
efficientes ; car, parmi toutes les causes efficientes en série, la pre-
Le dictionnaire Larousse donne plusieurs définitions en fonc- mière est cause des intermédiaires et les intermédiaires sont cau-
tion des domaines d’application et qui seront utiles et précisées ses du dernier terme, quoi qu’il en soit du nombre des intermé-
sur des exemples dans cet article : diaires, qu’ils soient nombreux ou qu’il n’y en ait qu’un seul ».
 fait pour quelqu’un, un groupe, de ne pas assurer pleine- Plus récemment, dans son essai sur La nature dans la physique
ment son rôle, sa fonction (absence, faiblesse ou contemporaine, le physicien Werner Heisenberg [3] décrit de façon
incapacité) ; magistrale l’évolution de la notion de causalité. C’est pourquoi l’ex-
 fait pour un mécanisme, un appareil, de cesser brusque- trait suivant décrit mieux que quiconque la notion de causalité :
ment de fonctionner correctement ; « Historiquement parlant, l’application du concept de causalité à la
 perte momentanée et brusque d’une faculté, du contrôle règle de cause à effet est relativement récente. Dans les philoso-
de soi, de l’usage d’une fonction. phies anciennes, le terme « causa » avait une signification bien
plus générale qu’il ne l’a aujourd’hui. Se référant à Aristote, la sco-
Dans le domaine des installations industrielles, les défaillan- lastique par exemple parlait de quatre formes de causes. On y
ces ont dans la plupart des cas une signification fonctionnelle trouve la « causa formalis », qu’aujourd’hui on appellerait la struc-
comme indiqué dans la norme NF-EN-13306 : ture ou le contenu conceptuel d’une chose ; la « causa materialis »,
 défaillance : cessation de l’aptitude d’un bien à accomplir c’est-à-dire la matière dont est faite une chose, la « causa finalis »
une fonction requise. C’est cette définition qui sera retenue qui est le but d’une chose et enfin la « causa efficiens ». Seule la
dans la suite de cet article. causa efficiens correspond à peu près à ce qui est désigné aujour-
d’hui par terme de cause ».
Cependant, certaines pratiques considèrent la défaillance
matérielle. On constate que le matériel est en panne et on ne Dans la suite de cet article, la causa efficiens, qui implique le
lui associe pas de fonctions. déterminisme dans la relation de cause à effet dans la défail-
lance d’une entité physique ou organisationnelle, sera retenue.

SE 1 679 – 4 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWY

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– MÉTHODES D’ANALYSE DES CAUSES RACINES DES DÉFAILLANCES

PRINCIPE DE PROPAGATION DES DÉFAILLANCES DES EFFETS ET


DES CAUSES ENTRE NIVEAUX DE DÉCOMPOSITION

Défaillance Symptômes
Causes PROCÉDÉ niveau 5 niveau 5
niveau 5
L’effet
de la d
éfailla
nce de
vient
la cau
se

Causes Défaillance Symptômes SYSTÈME nº N


SYSTÈME nº 1
niveau 4 niveau 4 niveau 4
L’effet
de la d
éfailla
nce de
vient
la cau
se
Défaillance Symptômes


Causes SOUS-SYSTÈME 1 niveau 3 SOUS-SYSTÈME N
niveau 3
niveau 3
L’effet
de la d
éfailla
nce de
vient
la cau
se
Causes Défaillance Symptômes COMPOSANT N
COMPOSANT 1 niveau 2
niveau 2 niveau 2

L’effet
de la d
éfailla
nce de
vient
la cau
se
Causes Défaillance Symptômes PIÈCE N
PIÈCE 1
niveau 1 niveau 1 niveau 1

Figure 2 – Propagation des causes et des effets dans une arborescence

1.6 Méthodes d’analyse fonctionnelle


pour représenter la chaı̂ne
DÉMARCHE DÉDUCTIVE de causalité
Mode Effets Les méthodes d’analyse fonctionnelle, par leurs caractères systé-
Cause / / matiques et exhaustifs, représentent une garantie formelle pour
Symptôme Conséquences décomposer une installation industrielle en niveaux fonctionnels
et matériels nécessaires pour identifier les modes de défaillances
et leurs conséquences sur les objectifs opérationnels retenus pour
l’installation ou l’équipement concerné.
Figure 3 – Démarche déductive dans la recherche de causalité L’analyse fonctionnelle consiste à recenser, caractériser, ordonner
et hiérarchiser les fonctions.
La recherche de la cause initiale ou racine correspond aux techni-
Les méthodes d’analyse fonctionnelle permettent :
ques de diagnostic.
 en cours de conception, de décrire le besoin d’un utilisateur
en termes de fonctions, en faisant abstraction des solutions
Le dictionnaire Robert donne une définition étymolo- pouvant les réaliser ;
gique : « action de déterminer une maladie d’après ses symptô-  pour un équipement existant, de décrire sa structure en ter-
mes » et fait référence à sa racine grecque (dia : par, gnosis : mes de fonctions, en prenant en compte les composants
connaissance).
utilisés.

Dans cet article, le diagnostic sera défini comme l’identification Pour établir et visualiser la notion de cause à effet, plusieurs
de la cause probable de la (ou des) défaillance(s) à l’aide d’un outils et des logiciels spécialisés permettent de créer des arbores-
raisonnement logique fondé sur un ensemble d’informations cences fonctionnelles ou matérielles qui se déduisent directement
recueillies sur l’entité à diagnostiquer. La majorité des méthodes de la structure du procédé. Étant donné le nombre de méthodes
et outils décrits dans cet article reposent sur des démarches de représentation disponibles, seules deux approches seront déve-
intuitives ou sur des algorithmes déterministes [4]. Le dévelop- loppées : l’approche intuitive et la méthode SADT-IDEF0. Le lecteur
pement des techniques basées sur d’intelligence artificielle et trouvera plus d’informations dans [SE 4 007], notamment sur la
l’apprentissage automatique (en anglais machine learning) méthode FAST (Function Analysis System Technique) [5] qui est
ouvrent actuellement des perspectives très prometteuses évo- une autre technique permettant d’ordonner les fonctions identifiées
quées à la fin de cet article. (elle n’est pas détaillée dans cet article).

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 679 – 5

QPW

QPX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVXQ

Signalement, analyse et correction


de défaillances

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT),
Docteur-Ingénieur, Docteur ès Sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France

1. Principales méthodes et outils de la résolution de problème



dans la démarche FRACAS ............................................................ SE 1 681 – 2
1.1 Préambule .......................................................................................... — 2
1.2 Fondement des méthodes de résolution de problème ..................... — 3
1.3 Évolution des méthodes de résolution de problème ........................ — 3
1.4 Les principales méthodes de résolution de problème...................... — 3
1.5 Les étapes de la synthèse des méthodes de résolution
de problème ....................................................................................... — 8
1.6 Les principaux outils dans les méthodes de résolution
de problème ....................................................................................... — 9
1.7 Conclusion sur les outils de résolution de problème ....................... — 14
1.8 Les méthodes graphiques de représentation des données .............. — 14
2. Principes génériques des méthodes FRACAS ........................... — 15
2.1 Préambule .......................................................................................... — 15
2.2 Origines et concepts des méthodes FRACAS.................................... — 15
2.3 Structure générique d’une méthode FRACAS ................................... — 16
2.4 Les étapes de la démarche générique FRACAS ................................ — 17
3. Conclusion........................................................................................ — 21
4. Glossaire ........................................................................................... — 22
5. Sigles ................................................................................................. — 22
Pour en savoir plus.................................................................................. Doc. SE 1 681

es différentes méthodes les plus utilisées pour mettre en œuvre un système


L d’archivage de déclaration, d’analyse et de correction de défaillances des
installations industrielles sont présentées. Ces méthodes sont utilisées dans le
monde anglo-saxon sous l’acronyme FRACAS (Failure Reporting Analysis Cor-
rective Action System) et qui sera utilisé dans le corps de cet article. Le principe
général de la méthode FRACAS a été établi formellement par le département de
la Défense américain en 1985 pour permettre aux responsables d’avoir une visi-
bilité et un contrôle de la fiabilité et de la maintenabilité de leurs systèmes
d’armes et des programmes informatiques qui leurs sont associés pendant
toute la durée du cycle de vie (conception, développement, fabrication, test,
exploitation et maintenance). Elle est caractérisée par une démarche très struc-
turée qui comprend des étapes organisées dans une boucle fermée rétroactive.
Les étapes spécifiques de la méthode en boucle fermée FRACAS impliquent
tout d’abord que les défaillances affectant les équipements et les logiciels
soient formellement consignées et documentées, puis une analyse approfondie
pour comprendre la défaillance et ses causes racines. Ensuite, des actions
correctives doivent être identifiées, appliquées et vérifiées pour prévenir la
réapparition de la défaillance, minimisant ainsi les coûts de maintenance.
p。イオエゥッョ@Z@ュ。イウ@RPQX

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 681 – 1

QPY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVXQ

SIGNALEMENT, ANALYSE ET CORRECTION DE DÉFAILLANCES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Actuellement, suite aux développements des méthodes et outils relatifs à la


qualité et aux travaux de Shewhart depuis les années 1930, de multiples varian-
tes des méthodes FRACAS ont vu le jour dans les différents secteurs industriels.
Dans la première section de cet article, la démarche générale des méthodes de
résolution de problème à l’origine de la majorité des méthodes FRACAS fera
l’objet d’une description synthétique. Après un rappel des développements
relatifs à la qualité concernant des biens, services et organisations depuis les
années 1930, elle fournira un inventaire des principales méthodes et outils
dont le but est de détecter leurs dysfonctionnements, d’en rechercher les
causes, de trouver les actions correctives et d’évaluer leur efficacité après leur
mise en œuvre. Les causes pouvant être d’origines techniques, humaines et
organisationnelles, cet article privilégiera le cas des défaillances techniques.
Les méthodes développées pour la résolution de problème mises au point par
les spécialistes de la qualité Shewhart, Deming, Ishikawa (Roue de Deming-
Shewhart-PDCA) et par Kepner et Tregoe feront l’objet de descriptions succinc-
tes. Les principes des méthodes plus récentes développées par des industriels


japonais et américains (Toyota et Ford notamment) telles que le KAIZEN,
le 6 SIGMA, les techniques de l’A3, la 8D et la DMAIC y seront développés.
Pour l’analyse et la recherche des causes des défaillances des systèmes indus-
triels, cette section présentera également les objectifs des outils les plus utilisés
dans la démarche FRACAS : QQOQCCP, Paréto, arbre de défaillances, AMDEC
(analyse des modes de défaillance de leurs effets et de leur criticité), diagramme
5M d’Ishikawa, carte de contrôle, fiches de contrôle, lois de probabilités des
défaillances, les 5 POURQUOI, matrice de criticité. Cette section décrira ensuite
les méthodes de brainstorming, de Delphi et de Lewin pour le choix des actions
correctives et les principales métriques disponibles pour évaluer leur efficacité.
La seconde section sera dédiée à la description d’une méthode générique
FRACAS qui réalise une synthèse des principaux concepts et outils spécifique-
ment adaptés aux défaillances techniques d’installations industrielles.
En conclusion, une synthèse et des recommandations seront fournies pour gui-
der l’utilisateur à choisir la méthode la plus appropriée, ainsi qu’une prospec-
tive sur les nouveaux développements.

marketing… La figure 1 décrit cette procédure itérative universelle


1. Principales méthodes dans les différentes variantes des méthodes FRACAS :
et outils de la résolution  poser le problème ;
 valider le problème ;
de problème dans la  rechercher les causes ;
démarche FRACAS  trouver des actions correctives ;
 évaluer l’efficacité des actions correctives proposées.
Les différentes démarches FRACAS ont un dénominateur com-
1.1 Préambule mun car elles sont toutes déduites des principes utilisés dans
le domaine de la qualité. En effet, de nombreuses variantes de
Les démarches qui ont conduit aux différentes méthodes FRACAS ont vu le jour suite aux développements des méthodes
FRACAS pour assurer et améliorer la fiabilité possèdent un fonde- de contrôle qualité réalisés depuis les années 1930 avec les travaux
ment commun valable dans tous les secteurs d’activités : celui de de Shewhart dans son ouvrage Economic Control of Quality of
la résolution de problème. Un problème correspond à l’apparition Manufactured Product [1]. Ensuite, les concepts de la qualité totale
d’une situation inattendue ou qui empêche d’atteindre les objectifs. et de l’assurance qualité se sont développés au Japon dans les
Un problème, c’est la mesure de l’écart qui sépare une situation années 1950 et la généralisation du management de la qualité
décrite comme idéale d’une part, et la situation actuelle, ressentie totale est concrétisée aujourd’hui par les normes ISO 9000.
comme insatisfaisante d’autre part. Au sens large, cet écart, s’il est La notion de qualité fait l’objet de nombreuses interprétations en
considéré comme inacceptable, est appelé « une défaillance », un fonction des domaines concernés. Ainsi l’AFNOR (Association fran-
défaut suivant les secteurs concernés. Résoudre le problème çaise de normalisation) définit la qualité comme suit : « un produit
reviendra donc à supprimer cet écart (dans le meilleur des cas), ou ou un service de qualité est un produit dont les caractéristiques lui
en tout cas à le réduire de manière significative. Cette situation se permettent de satisfaire les besoins exprimés ou implicites des
rencontre dans les installations industrielles, les technologies de consommateurs ». Suivant la norme ISO 9000, « la qualité est
l’information, l’exploitation, le service au client, la maintenance, le l’aptitude d’un ensemble de caractéristiques intrinsèques à

SE 1 681 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVXQ

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SIGNALEMENT, ANALYSE ET CORRECTION DE DÉFAILLANCES

Corporation, ont conduit des recherches sur des failles dans la


prise de décisions au sein de l’armée de l’air. Leurs travaux ont
conduit à la méthode KT (Kepner-Tregoe) sur les fondements que
l’on peut dispenser à chaque personne un enseignement pour
Poser le problème
raisonner rationnellement pour la résolution de problème. À par-
tir des années 1960, les entreprises japonaises de construction
automobile ont développé des méthodes d’amélioration de la
qualité. Parmi les plus importantes figurent la démarche KAIZEN
et la méthode des 6 SIGMA. En relation avec la méthode des
6 SIGMA, la méthode DMAIC (Define Measure Analyse Improve
Évaluer l’efficacité
des actions Valider Control) a été créée par l’entreprise Motorola à la fin des années
correctives le problème 1980. Il s’agit d’une méthode d’amélioration continue particuliè-
proposées rement efficace, dérivée d’une démarche qualité mise en place
au sein du constructeur Toyota. La méthodologie A3 a été inven-
tée et utilisée pour la résolution de problème sur le terrain égale-
ment chez Toyota. Aux États-Unis, la méthode de résolution de
problème 8 D (8 disciplines) a vu le jour en 1987 au sein de la
compagnie Ford. Elle se présente comme l’une des méthodes
de résolution de problème participative, pratiquée en équipe
Trouver des
actions correctives
Rechercher
les causes
pluridisciplinaire.

1.4 Les principales méthodes
de résolution de problème
Figure 1 – Les étapes fondamentales des méthodes FRACAS Cette section présente de façon volontairement résumée les prin-
cipes des méthodes de résolution actuellement les plus populaires.
satisfaire les exigences. La caractéristique est un trait distinctif : elle Les principes généraux de chaque méthode y sont développés pour
dépend du domaine concerné ; une caractéristique est intrinsèque aider le lecteur à s’approprier les démarches et évaluer leur com-
si elle n’est pas attribuée et une exigence est le besoin ou attente plexité. Elle expose succinctement leurs principes et fournit les
formulé(e), habituellement implicite, ou imposé(e) par le client qui références bibliographiques pour approfondir les détails de chaque
reçoit le produit ». Dans le cas spécifique des méthodes FRACAS méthode. Elle est structurée en présentant de façon chronologique
appliquées aux défaillances des systèmes industriels, les caractéris- leur mise en œuvre.
tiques liées à la sûreté de fonctionnement (fiabilité, maintenabilité,
disponibilité et sûreté) seront prises en compte. Le produit est le 1.4.1 La roue PDCA de Shewhart – Deming –
procédé industriel qui a été acquis auprès d’un fournisseur par les Ishikawa
entreprises et dont elles assurent ensuite l’exploitation.
Est ici présentée l’évolution de cette méthode développée par
Walter Shewhart [2], [0756], depuis les années 1939 comme
1.2 Fondement des méthodes indiqué sur la figure 2. Le cycle initial de Shewhart développé
de résolution de problème en 1939 comporte trois étapes relatives à la spécification, la
production et l’inspection des performances d’un processus.
Les méthodes de résolution de problème permettent de cerner et Ces trois étapes constituaient à l’époque une procédure scienti-
de résoudre un problème. Dans le dictionnaire Larousse, la défini- fique dynamique pour acquérir des connaissances. En 1950,
tion d’un problème la plus adaptée aux méthodes FRACAS est la Deming [3] modifia le cycle de Shewhart lors d’une réunion
suivante : « Question à résoudre dans un domaine quelconque, avec l’Union des scientifiques et ingénieurs japonais. Il prit en
qui se présente avec un certain nombre de difficultés, d’obstacles ». considération les interactions entre la conception, la fabrication,
En reprenant les termes utilisés dans la norme ISO 9000, un pro- les ventes et la recherche. Le cycle de Deming-Shewhart a été
blème peut être défini comme l’apparition d’événements qui per- modifié légèrement par les japonais avec les travaux de Masaaki
turbent les caractéristiques spécifiées d’un produit. La compréhen- Imai [4] pour obtenir la fameuse roue de Deming-Shewhart
sion du problème et sa transformation par étapes, fondées sur la (PDCA : Plan-Do-Check – Act) en 1951. M. Imai par la suite créa
planification et le raisonnement, constituent le processus de résolu- la démarche KAIZEN qui fera l’objet d’une description dans la
section 1.4.3. En 1985, Ishikawa a redéfini le cycle PDCA en
tion du problème. La résolution de problème implique la réflexion
incluant les objectifs à atteindre et en introduisant dans la
et l’action orientées vers un objectif dans des situations pour les-
phase Do (développer) les notions de formation. Deming modifia
quelles aucune solution de routine n’existe.
de nouveau le cycle de Shewhart en 1993 et l’appela PDSA (Plan-
Do-Study-Act) [5]. Selon son expérience, Ishikawa jugea néces-
saire que chaque étape puisse s’appuyer sur des méthodes sta-
1.3 Évolution des méthodes de résolution tistiques pour se protéger des conclusions erronées sur les
de problème défaillances à tester et les mesures des interactions entre leurs
effets. En français, Le cycle PDSA correspond aux quatre étapes :
La première approche structurée dans la résolution de pro- planifier-exécuter-étudier-agir (PEÉA) et permet de déterminer si
blème a vu le jour en 1931 avec les travaux de Walter Shewhart, un changement conduit à une amélioration. La figure 2 récapi-
alors qu’il était ingénieur à la société Bell. Shewhart est consi- tule l’évolution de la roue de Shewhart-Deming-Ishikawa depuis
déré comme le père fondateur des méthodes modernes du les années 1939.
contrôle de la qualité. Dans son travail de 1925 à 1956, Shewhart
met en place les cartes de contrôle, le cycle PDCA (Plan-Do- Lors du fonctionnement de la méthode PDCA, la roue avance
Check-Act) et autres méthodes statistiques d’assurance qualité. d’un quart de tour. Si chaque étape est bien respectée, le retour
Les concepts du cycle PDCA ont évolué depuis 1939 grâce à sa d’expérience empêche la roue de redescendre. Elle correspond à
collaboration avec Deming, Ishikawa et l’Union japonaise des ce qui est appelé la « cale » de la roue de Deming.
scientifiques et ingénieurs japonais (JUSE). Dans les années La figure 3 représente un exemple des étapes à accomplir dans
1950, Charles Kepner et Benjamin Tregoe, ingénieurs à la Rand le cas de la démarche FRACAS utilisant les concepts précédents.

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 681 – 3

QQQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVXQ

SIGNALEMENT, ANALYSE ET CORRECTION DE DÉFAILLANCES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

1939 1950 1951 1985 1993

s
Spécification

tif
ec
Tests en Agir Planifier Agir Planifier

bj
Conception Agir

O
service Méthodes
Pro
In s

Contrôler Développer Formation


Étudier Développer
d

Mise en
pe

M
uct

Fabrication Contrôler
se ise
ctio

service
ion

rv en
ic
n

Cycle de Shewhart Roue de Deming Cycle PDCA japonais 1 Cycle PDCA japonais 2 Cycle PDSA : Deming
PDCA : Plan – Do – Act – Check PDSA : Plan – Do – Study – Check

Évolution de la roue de Deming-Shewhart

S Figure 2 – Les étapes des évolutions de la méthode PDCA

ROUE DE DEMING-SHEWHART
Reconnaissance PDCA
du problème
A : Act : agir

Création du groupe
Amélioration de travail
continue d’amélioration de la
qualité

Vérification des
Définition précise
performances de la
du problème
solution

COMITÉ DE
C : Check : vérifier P : Plan : planifier
GESTION

Sélection des
Évaluation de la
indices de
solution
performance

Sélection et
Analyse du
mise en place de la
problème/procédé
solution

D : Do : réaliser
Détermination des
causes possibles

Figure 3 – Exemple de méthode FRACAS basée sur la roue de Deming-Shewhart

Les détails sur les outils seront décrits dans la section 1.6. Les éta- 8. évaluation de la solution ;
pes sont récapitulées dans la liste suivante :
9. vérification des performances des solutions ;
1. reconnaissance du problème ;
10. amélioration continue si la solution est efficace.
2. création du groupe de travail ;
L’efficacité de cette méthode dépend de la qualité du groupe de
3. détection précise du problème ; gestion composé de spécialistes des domaines concernés.
4. sélection des indices de performances et de la criticité du
problème ; 1.4.2 La méthode Kepner et Tregoe
5. analyse du problème ;
Fondée en 1958 par Benjamin Tregoe et Charles Kepner [6], cher-
6. détermination des causes et de leur validation ; cheurs à la RAND corporation, leur méthode de résolution de pro-
7. sélection et mise en place de la solution ; blème repose sur une démarche logique de pensée. Cette méthode,

SE 1 681 – 4 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

QQR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVXQ

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SIGNALEMENT, ANALYSE ET CORRECTION DE DÉFAILLANCES

• Déterminer les responsabilités LES ÉTAPES CLÉS DE LA MÉTHODE KEPNER-TREGOE-KT


• Définir les étapes à réaliser
• Établir la liste des préoccupations
• Déterminer les priorités ANALYSE DE LA SITUATION
• Séparer et clarifier la situation

Analyse des problèmes


Analyse du problème Analyse des décisions
potentiels

• Définition du problème • Énoncer une décision • Identifier les problèmes


• Spécification du problème • Définir et classer les potentiels
• Identification des objectifs • Identifier les causes
dysfonctionnements et • Pondérer les objectifs • Prendre des actions
des écarts préventives


• Formulations de
• Formulation des causes décisions alternatives • Planifier des actions
possibles • Évaluer les décisions éventuelles
• Évaluer les causes à alternatives • Définir des critères de
partir des données • Évaluer les risques déclenchement des
• Établir la preuve de la • Prendre la décision finale actions
cause racine

Source : kepner-tregoe.com

Figure 4 – Les 4 étapes de la méthode Kepner-Tregoe

connue sous l’acronyme KT, a été utilisée avec succès pour secourir
les astronautes de la mission Apollo 13 à la suite d’une défaillance
technique. Elle est caractérisée par l’utilisation de techniques struc- Déterminer
turées afin d’analyser les problèmes et prendre les décisions appro- les
priées pour éviter leur réapparition. Elle repose sur quatre étapes objectifs
Rappeler la
représentées sur la figure 4 : Refaire situation
1/ analyse de la situation ; actuelle
2/ analyse du problème ;
3/ analyse des décisions ;
4/ analyse des défaillances potentielles. Identifier les
Formaliser
gaspillages
1.4.3 La démarche KAIZEN La
démarche
La démarche KAIZEN [7], a été développée au Japon après la fin Kaizen
de la deuxième guerre mondiale. C’est une méthode de référence
pour la gestion et la maı̂trise de la qualité. Elle a été à la base du
succès de la compétitivité japonaise. L’un des fondateurs de la Résumer
Corriger
démarche KAIZEN est Taiichi Ohno, auteur du TPS [8] (Toyota Pro- et célébrer
duction System – système de production Toyota), du JIT (Just In
Time – juste à temps) et autres outils de la lutte contre les gaspilla-
ges. Un autre pilier de la théorie et la mise en œuvre pratique de la
gestion de la qualité est Kaoru Ishikawa. Il est l’auteur du dia- Faire un Analyser
gramme de causes et effets ; il développa avec succès les cercles bilan les actions
qualité, le TQC (Total Quality Control – maı̂trise totale de la qualité).
Masaaki Imai a fait connaı̂tre et adapter le mot et la démarche
KAIZEN dans le monde entier. Il créa en 1986 l’institut pour diffuser
le concept, la philosophie et la stratégie KAIZEN. La figure 5 repré- Figure 5 – Les différentes étapes de la démarche KAIZEN
sente les principales actions de la démarche KAIZEN.
Management est d’optimiser la performance des processus en
1.4.4 La méthode Toyota TPS exploitant les méthodes, techniques et pratiques déjà à disposition
[1590]. Parmi les techniques les plus connues figurent le juste à
Selon le constructeur automobile japonais [8], le système de pro- temps et les démarches KAIZEN. Cette méthode, en donnant l’alerte
duction Toyota « (Toyota Production System – TPS) décrit sur son très tôt sur la chaı̂ne de production, dès qu’une erreur survient, per-
site internet est conçu de manière à « tirer » le produit fini d’un met non seulement de réduire le gaspillage, mais de garantir éga-
bout à l’autre de la chaı̂ne de production ». Elle intègre les concepts lement au client une conformité aux plus hautes exigences en ter-
du Lean Management développés initialement par des chercheurs mes de qualité, de fiabilité et de durabilité. Les quatorze principes
du MIT, Womack et Jones [9] en 1990. L’objectif du Lean de managements de Toyota on fait l’objet d’un ouvrage intitulé

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 1 681 – 5

QQS

QQT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWS

Méthode de maintenance
basée sur la fiabilité « Streamlined »
de l’EPRI
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Origines et objectifs du processus SRCM développé



par l’EPRI...................................................................................................... SE 1 673 - 2
1.1 Origines........................................................................................................ — 2
1.2 Objectifs ....................................................................................................... — 2
2. Principes et étapes la méthode « SCRM »................................................ — 3
2.1 Principes ...................................................................................................... — 3
2.2 Étapes........................................................................................................... — 3
2.2.1 Organigramme général ..................................................................... — 3
2.2.2 Collecte des données et examen du retour d’expérience .............. — 3
2.2.3 Identification des fonctions importantes et de leurs défaillances
fonctionnelles .............................................................................................. — 4
2.2.4 Réalisation de l’analyse des composants critiques......................... — 4
2.2.5 Réalisation de l’analyse des composants non critiques ................. — 6
2.2.6 Recommandations pour la sélection des tâches de maintenance
préventive .................................................................................................... — 6
2.2.7 Comparaison avec les tâches existantes ......................................... — 6
2.2.8 Mise en œuvre des changements..................................................... — 6
2.2.9 Programme vivant ............................................................................. — 9
2.2.10 Organisation d’une étude SRCM .................................................... — 9
3. Exemple d’application au système d’alimentation en eau
de la chaudière d’une centrale à charbon................................................. — 9
3.1 Description du système d’alimentation en eau de la chaudière ............. — 9
3.2 Application de la SCRM au cas du système d’alimentation en eau ....... — 11
3.2.1 Analyse des modes de défaillance et de l’évaluation de la criticité ... — 11
3.2.2 Description d’un groupe motopompe électrique ............................ — 11
3.2.3 Tâches de maintenance SCRM du groupe motopompe électrique ... — 11
3.2.4 Conclusion sur l’exemple du système d’alimentation en eau
de la chaudière ............................................................................................ — 12
4. Avantages et limitations de la méthode SRCM....................................... — 14
4.1 Avantages .................................................................................................... — 14
4.2 Limitations ................................................................................................... — 14
5. Conclusion ................................................................................................... — 15
6. Glossaire ...................................................................................................... — 15
Pour en savoir plus .............................................................................................. Doc. SE 1 673

et article, qui s’adresse à des lecteurs ayant des connaissances de base


C sur la maintenance industrielle et sur la maintenance basée sur la fiabilité
(MBF) (en anglais RCM : Reliability Centered Maintenance), présente la
p。イオエゥッョ@Z@ウ・ーエ・ュ「イ・@RPQV

méthode développée par l’EPRI (Electrical Power Research Institute) aux États-
Unis pour l’implantation d’une méthode simplifiée de maintenance basée sur

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 1 673 – 1

QQU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWS

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI _____________________________________________________________

la fiabilité appelée SCRM (Streamlined Reliability Centered Maintenance) appli-


cable aux ensembles de production d’électricité (nucléaires, thermiques
classiques ou hydrauliques). Dans cet article, le symbole RCM sera utilisé en
lieu et place de la MBF.
Les motivations de l’EPRI pour développer une méthode simplifiée de
RCM partent du constat que l’application de la méthode développée par
Nowlan et Heap en 1978 était trop contraignante et demandait trop de temps et
de ressources humaines aux yeux des exploitants.
La première section présente les origines de la démarche qui résulte de la
volonté de l’EPRI de mettre à la disposition des différents exploitants de cen-
trales de production d’électricité une méthode simplifiée de maintenance
basée sur la fiabilité respectant en grande partie les concepts fondamentaux de
la RCM originale.
La deuxième section présente les étapes pour élaborer un programme de


maintenance SCRM en y soulignant les points communs et différents avec la
méthode RCM développée par Nowlan et Heap. Elle présente en particulier le
contenu des canevas élaborés pour chaque type de composants en vue de
simplifier la sélection des catégories des tâches de maintenance et leurs inter-
valles de mise en œuvre.
Afin d’illustrer le contenu d’une étude de maintenance basée sur la SRCM, le
cas du système d’alimentation en eau de la chaudière d’une centrale électrique
à charbon est traité dans la troisième section. Le programme de maintenance
des pompes d’alimentation en eau fait l’objet de développements détaillés.
Compte tenu des critiques formulées à l’encontre de la SCRM par les défen-
seurs de la RCM telle que définie par ses fondateurs Nowlan et Heap, un bilan
comparatif des avantages et inconvénients de la SRCM est fourni dans la qua-
trième section.
En conclusion, des recommandations seront également formulées pour le
lecteur souhaitant implanter la SRCM, ainsi que sur les adaptations qui ont vu
le jour depuis la fin des années 2000.

1. Origines et objectifs 1.2 Objectifs


du processus SRCM La procédure d’analyse de la SRCM combine une analyse de fiabi-
lité avec un examen approfondi du retour d’expérience pour élabo-
développé par l’EPRI rer un programme de maintenance. La SCRM repose principalement
sur l’importance fonctionnelle et la fiabilité de chaque équipement.
Le programme de maintenance est développé en hiérarchisant
1.1 Origines l’importance de chaque équipement en identifiant leurs fonctions,
leurs défaillances potentielles et en tenant compte du besoin de
Suite à la publication du rapport sur la RCM par Nowlan et Heap minimiser les tâches de maintenance et d’inspection intrusives. Les
en 1978 [1] dans le domaine aéronautique, l’Electrical Power tâches de maintenance sont développées pour surveiller ou mainte-
Research Institute (EPRI), financé par les producteurs d’électricité nir les équipements dont les défaillances entraîneraient l’interrup-
américains, a transposé cette méthode pour l’industrie nucléaire tion de fonctions importantes pour le procédé. Tous les autres
dès 1983 lors d’expériences pilotes pour différents systèmes de équipements fonctionnent jusqu’à leur défaillance à condition que
centrales nucléaires. Les exploitants nucléaires concernés ont cela n’impacte pas la sûreté ou n’entraîne pas de coûts prohibitifs.
constaté que l’application de la méthode RCM originale exigeait La SCRM conduit à des recommandations de modification des pro-
trop de temps et de ressources, les conduisant à suspendre son grammes de maintenance déjà établis. Les objectifs de la SCRM se
application. L’EPRI a alors recherché d’autres méthodes permet- résument comme suit :
tant de diminuer les coûts et les temps de développement d’une • affecter en priorité les ressources de maintenance en recher-
analyse RCM tout en conservant l’intégrité et les résultats de la chant le maximum d’efficacité ;
démarche originale. Les résultats de ces efforts ont conduit à une • éliminer les tâches de maintenance inefficaces ou non
méthode simplifiée ou « allégée » de maintenance basée sur la nécessaires ;
fiabilité : la SRCM (Streamlined Reliability Centered Maintenance).
Dans la suite de cet article, l’acronyme SRCM sera uniquement • élaborer les moyens les plus simples et les plus efficaces éco-
utilisé. Cette approche a été validée en comparant les résultats nomiquement pour maintenir les équipements ;
obtenus avec la RCM originale et la SCRM, appliquées à un sys- • privilégier les activités de maintenance conditionnelles et pré-
tème identique. Des informations plus détaillées sur les méthodes visionnelles pour surveiller la dégradation des équipements
de RCM sont fournies dans [SE1655] et [SE1650]. chaque fois que cela est possible ;

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 1 673 – 2

QQV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWS

_____________________________________________________________ MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI

• établir les documents de base pour les programmes de • identification des fonctions importantes ;
maintenance ; • réalisation de l’analyse des composants critiques ;
• utiliser les compétences des personnels de maintenance et • réalisation de l’analyse des composants non critiques ;
des entreprises de sous-traitance pour déterminer les tâches
de maintenance préventive et leurs fréquences. • recommandations pour la sélection des tâches de mainte-
nance préventive ;
• comparaison avec les tâches existantes ;
• mise en œuvre des changements ;
2. Principes et étapes • programme vivant.
la méthode « SCRM »
2.2.1 Organigramme général

2.1 Principes L’organigramme représenté sur la figure 3 indique le séquence-


ment des différentes études à réaliser pour définir un programme
Comme souligné à la section précédente, les performances de de maintenance SRCM.
la SRCM ont été comparées à celles de la RCM originale sur un
système identique. Les principales simplifications et modifications
de la méthode SCRM par rapport à la RCM originale sont repré-
sentées sur la figure 1. Le lecteur trouvera des descriptions com-
2.2.2 Collecte des données et examen du retour
d’expérience S
plètes de la SRCM dans [2] et [3]. Dans le but de faciliter la procédure d’analyse de la SRCM et
d’optimiser les coûts, une collecte et un examen approfondi de
toutes les informations pertinentes sont indispensables avant de
2.2 Étapes procéder aux étapes suivantes de la SRCM. Les documents et les
données nécessaires aux analyses comportent :
La figure 2 représente les étapes à réaliser pour développer un
• la description du système ;
programme de maintenance SCRM. Elles feront l’objet de descrip-
tions détaillées dans cette section : • les schémas ;
• collecte des données ; • la liste des équipements ;

MFB standard MBF allégée


True RCM Streamlined RCM

Décomposition fonctionnelle
systèmes sous-systèmes
Identification des fonctions
importantes
Analyse des défaillances
fonctionnelles

Analyse des modes


de défaillances et de leurs effets
(AMDE)
Réalisation de l’analyse de
des composants critiques
Sélection des tâches pour
composants critiques

Évaluation des composants


non critiques
Réalisation de l’analyse de
des composants non critiques
Sélection des tâches pour
composants non critiques

Comparaison des tâches Comparaison des tâches

Implantation Implantation

Figure 1 – Comparaison des étapes de la RCM originale et de la SRCM

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 1 673 – 3

QQW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQVWS

MÉTHODE DE MAINTENANCE BASÉE SUR LA FIABILITÉ « STREAMLINED » DE L’EPRI _____________________________________________________________

Collecte des données

Identification des fonctions


importantes

Réalisation de l’analyse Audits du retour d’expérience et


des composants critiques réalisation d’interviews
des personnels de maintenance et
d’exploitation
Réalisation de l’analyse
des composants non critiques

S Comparaison des tâches


de maintenance de la MBF allégée
avec le programme
de maintenance existant

Mise en œuvre
des changements

Programme vivant

Figure 2 – Les étapes de la RCM allégée « SRCM »

• l’historique de la maintenance corrective (si possible sur une ne retient que les modes de défaillance les plus significatifs ainsi
période de plusieurs années) ; que les effets les plus importants pour l’installation. Toutes ces
• les procédures actuelles de maintenance préventive et de informations sont regroupées dans un seul document comme
surveillance ; indiqué sur le tableau 1 à titre d’illustration pour un réservoir et
un robinet à commande manuelle d’un système d’alimentation en
• les exigences réglementaires ou non relatives aux tâches eau d’une chaudière.
actuelles de maintenance préventive et de surveillance.
La criticité est définie en tenant compte des combinaisons
entre les modes de défaillance spécifiques à chaque fonction et
2.2.3 Identification des fonctions importantes leurs effets. Pour faciliter les analyses, l’EPRI propose de prendre
et de leurs défaillances fonctionnelles en compte la sûreté, la production et l’environnement (critique ou
non critique), les conditions d’environnement de l’équipement
La démarche utilisée par la SRCM diffère de la RCM originale (sévère ou non sévère), les modes de sollicitation (fréquent ou
dans la mesure où tous les efforts sont consacrés à l’identification rare). La criticité ne tient pas compte du critère économique.
des défaillances fonctionnelles considérées comme importantes.
Ainsi, un composant dont la défaillance n’a pas de conséquence
Une analyse est entreprise pour identifier toute argumentation
fonctionnelle mais des conséquences économiques est considéré
associée : (1) fonctions importantes et (2) fonctions non impor-
comme non critique.
tantes. Le critère retenu pour définir une fonction importante est
en général spécifique à chaque utilisateur. En général, toute fonc- Un des points clés de l’efficacité de SCRM consiste à identifier
tion dont les défaillances affectent la sécurité, les contraintes envi- les modes de défaillance à des niveaux élevés dans la décomposi-
ronnementales où les capacités de production est classée tion fonctionnelle. Par exemple pour une pompe, en cas de défail-
importante. Les fonctions non importantes incluent typiquement lance, on indiquera seulement : la pompe ne démarre pas ou
celles qui fournissent des mesures locales ou des fonctions secon- s’arrête de fonctionner, et non pas la pompe cesse de fonctionner
daires. à cause du blocage d’un palier. Par rapport à la RCM originale,
cela représente une réduction très importante des analyses. En
2.2.4 Réalisation de l’analyse des composants effet, on constate généralement que 50 à 70 % des équipements
sont classés comme non critiques. Cela évite ainsi de faire des
critiques
analyses non nécessaires. Si le composant est classé critique,
Contrairement à la RCM originale, dans la SRCM, seules les l’étape suivante consiste à rechercher les causes des modes de
fonctions importantes font l’objet d’une AMDE simplifiée (analyse défaillance dans le but de définir les tâches de maintenance appli-
des modes de défaillances et de leurs effets) [SE4040] pour déter- cables et efficaces pour les modes de défaillances et les causes
miner les composants critiques. Dans la SRCM, les AMDE origi- qui sont jugées importantes à identifier ou à éliminer. Pour facili-
nales et l’arbre logique de décision (LTA : Logic Tree Analysis) ont ter les analyses, l’EPRI a établi une liste non exhaustive des princi-
été réunis dans un document unique. L’AMDE simplifiée identifie pales causes qui seront utilisées ultérieurement comme indiqué
chaque composant qui contribue à la défaillance fonctionnelle et dans le tableau 2.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 1 673 – 4

QQX
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE

Techniques de l’Ingénieur propose la plus importante


collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.

   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES

 + de 350 000 utilisateurs


 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports

Pour des offres toujours plus adaptées à votre métier,


découvrez les offres dédiées à votre secteur d’activité

Depuis plus de 70 ans, Techniques de l’Ingénieur est la source


d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.

www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur

  
ACCÈS

Accès illimité Téléchargement des articles Consultation sur tous


aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles

 
SERVICES ET OUTILS PRATIQUES

Questions aux experts* Articles Découverte Dictionnaire technique multilingue


Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand

 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires

*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.

ILS NOUS FONT CONFIANCE

www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com