détermination d'intervalles de maintenance pour systèmes

19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Détermination d’intervalles de maintenance pour systèmes critiques : contributions

Maintenance interval definition for critical systems:

contributions

Frédéric DESCHAMPS Marc CATTEL LGM Management & Conseil Inc. Bombardier Aerospace 7140 av. Albert Einstein 2351 av. Alfred Nobel Montréal, QC, H4S 2C1 St-Laurent, QC, H4S 2A9 Canada Canada [email protected] [email protected]

Résumé Cette communication concerne la définition d’intervalles de tâches de maintenance périodiques nécessaires pour assurer la sécurité des vols d’avions commerciaux. La réglementation aéronautique définit le concept de candidat à une exigence de certification de tâche de maintenance. Il s’agit d’inspections ou de maintenances périodiques nécessaires pour assurer la tenue d’événements redoutés critiques. Le marché des avions civils est très concurrentiel. Le coût de maintenance est un argument de vente important. La définition de ceux-ci doit minimiser ce nombre, ou à défaut maximiser l’intervalle entre deux inspections. Cette communication propose une démarche permettant d’assurer la tenue des exigences de sécurité ainsi que des intervalles de maintenance justifiés.

Summary This paper addresses the definition periodic maintenance tasks intervals, mandatory for Safety of commercial aircrafts. The aeronautic regulation defines the Candidate Certification Maintenance Requirement (CCMR). The CCMR are inspections or periodic maintenance tasks to meet Failures conditions requirements. The market of commercial aircrafts is very competitive. The cost of maintenance is an important criterion for customers. The design shall minimize their number or to maximize the maintenance intervals. This paper provides a process which allows meeting the safety requirements and maintenance intervals with proper justifications.

Introduction

Aujourd’hui, lorsque l’on parle de maintenance on pense à une remise en condition nominale ou normale des fonctions d’un matériel ou d’un équipement. Jadis le sens donné à ce mot était plus orienté sur l’action de protéger, de soutenir quelqu’un ou de conserver une possession [ARNOUX, 2001]. D’une certaine manière, cela correspond bien encore au souci de protéger et de préserver le niveau de sécurité fourni par les systèmes. L’activité de maintenance permet de maintenir ou pour le moins contribue au maintien d’un niveau de sécurité accepté : par exemple, de contribuer à la protection des personnes utilisant un moyen de transport de masse ainsi qu’à la protection du matériel. La maintenance est une activité importante d’autant plus qu’elle engage des moyens matériels, humains et financiers pour garantir ce niveau de sécurité tout au long de la vie du produit qu’il soit en stockage ou en opération. Les activités récurrentes de maintenance deviennent un facteur important lors de l’acquisition d’un produit. Pour assurer la sécurité requise, elles sont associées à une obligation d’exécution avant toute remise en service du produit.

La première règle d’entretien aéronautique fut édictée en 1930 : « les instruments et les équipements devront être révisés à intervalles suffisants pour assurer leur fonctionnement correct à tout moment » [CHENEVRIER, 2001]. Les propriétaires d’aéronefs et les ingénieurs soucieux de l’occurrence de défaillances en vol développèrent un programme de maintenance. Ce programme de maintenance doit être impérativement établi par les constructeurs conformément à la réglementation afin d’aider leurs clients à satisfaire aux niveaux de sécurité exigés. La méthode MSG-3 (Maintenance Steering Group 3) fut développée afin de définir quoi, quand et comment maintenir les aéronefs. Elle produit des tâches de maintenance orientées sur les coûts, les aspects opérationnels et la sécurité. L’intention de ces tâches de maintenances sont préventives afin éviter des défaillances ainsi que la recherche de défaillances.

La réglementation définit des CMR (Certification Maintenance Requirement). Ce sont des tâches de maintenance périodiques obligatoires avant remise en service (dispatch) d’un aéronef pour répondre à l’exigence 25.1309 pour les Evénements Redoutés les plus critiques. Pour cela, il faut préalablement lister des CCMR (Candidate Certification Maintenance Requirements) dont le but est de limiter l’exposition de l’aéronef à des défaillances cachées (dormantes ou latentes) ainsi que la recherche de défaillances. L’harmonisation entre l’approche MSG-3 et celle de la sécurité CCMR (Candidate Certification Maintenance Requirements) définit l’intégration des « CCMR » en « CMR » ou leur intégration par les tâches MSG-3.

La réglementation et les normes aéronautiques développent ce concept de CCMR [AC2519], [ARP4754], [ARP4761]. L’enjeu est de maintenir le niveau de sécurité certifié des vols durant le cycle de vie et de minimiser les coûts de maintenance et les temps d’immobilisation de l’aéronef. Ceci est à placer dans un environnement très concurrentiel pour les constructeurs d’avions commerciaux ainsi que pour l’opérateur aéronautique. Le nombre de tâches de maintenance classifiées en CMR et l’optimisation de leurs intervalles de maintenance « CMR » sont des critères important pour l’opérateur et pour le constructeur quant à la performance concurrentielle de son aéronef.

Communication 6D-3 sur 8


L’activité décrite dans cette publication permet de définir un nombre de CMR limité, avec des intervalles optimisés en prenant en compte les nombreux aspects économiques et bien sûr en priorité sécuritaires.

Contexte

Le constructeur d’avion élabore un programme de maintenance destiné à l’opérateur d’avion de transport afin de l’aider à entretenir ses avions dont il est responsable. L’OACI (Organisation de l’Aviation Civile Internationale) institution spécialisée des Nation Unies, créée en 1944 par la convention (de Chicago) relative à l’aviation civile internationale participe à l’élaboration de normes et de pratiques recommandées afin d’établir le niveau de sécurité à l’échelle mondiale. Chaque pays élabore ses règles de navigabilité. Cependant, cet article considère la réglementation Européenne et Américaine : les CS (Certification Specifications) élaborée par l’EASA (European Aviation Safety Agency) et la FAR (Federal Aviation Requirements) élaboré par la FAA (Federal Aviation Administration). Ces règles de navigabilité portent tant sur la conception que sur la maintenance pendant toute la durée d’exploitation commerciale des aéronefs [CHENEVRIER, 2001]. Celles-ci se traduisent par des exigences opérationnelles ayant pour but de maintenir les performances de fiabilité de l’aéronef durant l’exploitation commerciale pour le maintien de la navigabilité. Ces exigences sont établies par chaque pays d’immatriculation.de l’avion [CHENEVRIER, 2001].

En 1967, United Airlines utilisa les travaux de l’industrie afin de développer l’utilisation de « diagrammes de décision pour l’analyse logique des programmes de maintenance » [CHENEVRIER, 2001]. En 1969, le processus MSG-1 (MSG Maintenance Steering Group) fut approuvé par la conférence interline du B747 et ensuite utilisé pour développer le programme de maintenance du B747 [CHENEVRIER, 2001]. Cela sera suivit par le MSG-2 publié en 1970 et utilisé pour le DC-10 et le Lookheed 1011. En 1973, EMSG (European Maintenance System Guide) est publié et utilisé dur l’A300B2 et B4, le Concorde et le VFW614 (VFW-Fokker). Le 30 septembre 1980 le MSG-3 est publié. Cette version sera suivie d’une révision en 1988 et une seconde en 1993 et utilisé pour les A310, A300-600, A319-302-321, A330-340, B757-767-777 [CHENEVRIER, 2001]. Des révisions suivront en 2001, 2002 et 2003 [5].

Le MSG-3 se compose de trois sections spécifiques l’une pour le système et la motorisation (SPP : Systems and PowerPlant) afin de déterminer les éléments prépondérants pour la maintenance (MSI : Maintenance Significants Items) en fonction de l’effet de leur défaillance sur la sécurité, sur la disponibilité opérationnelle, de l’impact économique et des combinaisons de défaillances cachées ayant un impact sur les trois critères précédents, pour répondre à l’exigence 25-1309, la deuxième pour la structure afin de déterminer les éléments significatifs de la structure en fonction de l’effet de leur défaillance sur la sécurité de l’avion (SSI : Structural Significant Items) pour répondre à la CS 25-571 et la troisième pour l’inspection de zones couvrant les zones non inspectées par la section système et structure [OSAC0304]. Le MSG-3 définit les tâches et leur intervalle associé pour ces trois sections dans un plan de maintenance

En parallèle des études MSG3, les études de sécurité sont menées sur la base de l’AMC25.1309 [CS25] et des recommandations (normes) [ARP4754] et [AR4761]. Les tâches CCMR sont d’une approche différente de celle de MSG-3. Les tâches CCMR sont basées sur les analyses de sécurité. Lorsqu’une tâche d’origine MSG-3 correspond à celle d’un CCMR et que son intervalle MSG-3 est inférieur ou égal à celui de la tâche CCMR alors ce dernier n’est plus candidat à un CMR. Cependant, cette tâche reste attachée au fait qu’elle est le résultat d’une analyse de sécurité dans le cadre de la certification de l’avion et qu’elle doit garder les exigences de certification, ainsi elle conserve son caractère obligatoire. L’opérateur ne peut ni supprimer ni augmenter l’intervalle des tâches CMR une étoile. Les tâches CMR deux étoiles peuvent évoluer selon un processus précis et basé sur le programme de fiabilité de l’opérateur.

Les tâches provenant du MSG-3 et des CCMR sont exposées lors d’un comité (CMCC : Certification Maintenance Coordination Committee) tripartites avec le constructeur, les opérateurs et l’autorité aéronautique de certification du pays immatriculant l’avion.

Problématique La définition des tâches CCMR relatives aux défaillances latentes et les activités sont cadrées par la réglementation ainsi que les plans de maintenance établis pour chacun des programmes avions. Mais la complexité des systèmes, leurs interactions de plus en plus poussées et l’approche tripartite impliquent des contraintes souvent antagonistes. Il est nécessaire de bien prendre en compte tous les aspects afin de répondre aux besoins des opérateurs en termes de coût d’exploitation et de sécurité ainsi qu’aux besoins des autorités de certification centrés sur la sécurité. Un certain nombre de contraintes sont recensées. Les travaux réalisés ont pour objectif d’y répondre en permettant de justifier chacun des choix sans reproduire simplement les positions passées afin d’améliorer en premier lieu la sécurité et dans un second temps les coûts d’exploitation. Ces contraintes sont :

1. La Sécurité – Prioritairement et à chaque étape, les exigences de sécurité de la réglementation doivent être atteintes afin d’assurer le niveau de sécurité requis pour la certification de l’avion.

2. L’Intégration des CCMRs dans le processus MRB (Maintenance Review Board) - Coordonner les analyses avec les équipes MSG-3 afin d’intégrer autant de CCMR que possible dans le programme de Maintenance (Maintenance Review Board program) dans le but de réduire le nombre de CMR. Afin d’éviter un CMR, les autorités de certification ont proposé un guide [AC25-19A]. Ces règles visent en général à s’assurer que les intervalles proposés par les études MSG-3 soient sensiblement inférieurs aux intervalles maximum issus des analyses de sécurité afin d’être compatible avec les tâches de maintenance MRB.

3. Les Coûts - Maximiser les intervalles lorsque c’est possible afin de réduire les coûts de maintenance des opérateurs. Il s’agit de prendre en compte les contraintes opérateur, notamment sur les périodicités de maintenance et les charges de travail associées. Par exemple une maintenance de type Check A peut être réalisée



sur les 500 à 900 heures, et doit représenter une charge de travail limitée afin de ne pas pénaliser la disponibilité opérationnelle de l’avion. Il convient aussi de prendre en compte les « checks » B, C ou D (c.f. [AMTH]). Cette dernière est la plus lourde et la moins fréquente.

4. Opérationnelles afin de capitaliser et maintenir une amélioration continue des tâches de maintenance.

5. Le comité tripartite de certification de la coordination de la maintenance (CMCC) (Constructeur, Opérateur et Autorité certificatrice) se réunit à plusieurs reprises pour édicter le programme de maintenance destiné aux opérateurs commerciaux aéronautiques. Lors des discussions de ce comité, les besoins exprimés par les participants doivent être entendus, justifiés et si besoins traités lors de l’itération suivante afin d’aboutir à un accord tripartite sur le programme de maintenance de l’avion à certifier.

Néanmoins, le CMCC n’est qu’un organe de consultation, qui fait des propositions aux autorités de certification. En définitive, les autorités de certification ont le dernier mot si une tâche doit être ou pas un CMR avec son intervalle associé.

Méthode L’exigence de certification 25-1309 traite de la sécurité des équipements, des systèmes et des installations ainsi que la définition des criticités et des objectifs associés [CS25] : « (b) The aeroplane systems and associated components, considered separately and in relation to other systems, must be designed so that - (1) Any catastrophic failure condition (i) is extremely improbable; and (ii) does not result from a single failure; and (2) Any hazardous failure condition is extremely remote; and (3) Any major failure condition is remote”. Un processus acceptable permettant d’y répondre est rappelé très brièvement par trois étapes :

1. Réalisation d’une Analyse Préliminaire des dangers (ou Functional Hazard Analysis), ayant pour but de définir des Evénements Redoutés au niveau avion (Failure Condition) sur la base d’une liste de fonction. Ces Evénements Redoutés sont classés selon leur criticité de Mineur (Minor) à Catastrophique (Catastrophic). Cette classification conditionne à la fois les performances requises (en termes de probabilité d’occurrence maximum) et les activités de validation et vérification à réaliser.

2. Réalisation d’une étude préliminaire de sécurité (Preliminary System Safety Assessment), ayant pour but de définir des exigences d’architecture d’interface et de déterminer que l’architecture proposée pourra raisonnablement atteindre les objectifs identifiés lors de l’Analyse Préliminaire des Dangers. Cette étape permet entre autres d’allouer les Niveaux d’Assurance de Développement (Developpement Assurance Level) impactant la conception et le processus de définition.

3. Réalisation d’une étude de sécurité (System Safety Assessment) visant à vérifier que les exigences établies lors des études précédentes sont tenues.

Les études de niveau avion décrites dans la norme [ARP4754] ainsi que les risques particuliers (Particular Risk analysis) ne sont pas développés dans le cadre de cet article. L’approche proposée se focalise sur l’étape 3. Elle est basée sur l’analyse par arbres de défaillances (Fault Tree Analysis). Les exemples sont simplifiés et ne donnent pas nécessairement la mesure des activités à réaliser. Le système étudié peut se résumer ainsi :

- environ 40 fonctions comprenant les fonctions intermédiaires (3 niveaux).

- environ 30 Événements Redoutés.

- environ 30 intervalles de dormance particuliers. Cet indicateur peut fluctuer en fonction des regroupements.

- environ 10 systèmes en interaction avec le système étudié.

- Environ 6000 coupes pour l’ensemble des arbres pouvant générer des tâches de maintenance aléatoires (CMR).

Développement Cette approche se décline suivant les étapes de la méthode listées ci-dessous. Elles permettent de répondre aux différentes problématiques listées dans les sections précédentes. Les arbres de défaillances sont supposés réalisés et validés. Les étapes dont la réalisation parait évidente ne sont pas développées.



Figure 1. Exemple d’arbres de défaillances regroupés pour un système

Les étapes sont les suivantes :

1. Identification des pannes dormantes dans les arbres de défaillance.Cette étape consiste à recenser tous les événements de base représentant des pannes dormantes. La mise enœuvre de cette étape dépend de l’outil d’analyse d’arbres de défaillances utilisé.

2. Sélection des événements redoutés en lien avec les pannes latentes.Cette étape consiste à ne sélectionner pour l’analyse que les Événements Redoutés impactés par l’analyse desintervalles de maintenance.

3. Définition des contraintes sur chacun des intervalles (basées sur des programmes précédents, sur des études demaintenance basées sur la fiabilité –MSG3-, ou regroupements de tâches).Cette étape consiste à recenser les contraintes qui vont limiter les choix possibles. Elle est particulièrementimportante. Elle impacte fortement le résultat final. Elle est discutée plus en détail dans la suite de l’article.

4. Définition des critères de choix : nombre de tâches de maintenance, coût des tâches de maintenance en termede temps (estimation relative), parfois impact du coût d’une pièce.Cette étape consiste à définir le critère sur lequel baser l’optimisation des tâches de maintenance. Elle est discutéeplus en détail dans la suite de l’article.

5. Estimation des intervalles sur la base des critères des étapes précédentes.Cette étape consiste par un moyen automatique fournir une solution répondant à tous les critères. Elle est discutéeplus en détail dans la suite de l’article.

6. Revue des intervalles de l’étape 5 estimation des intervalles pour définir la proposition finale.Cette étape permet de faire une passe sur les résultats de la phase précédente. Il s’agit d’une revue par l’analystede sécurité. En effet, les critères ne traduisent pas nécessairement toutes les contraintes. Elle est discutée plus endétail dans la suite de l’article.

7. Choix de l’intervalle (analyse « multimétiers », avec droit de véto du représentant sécurité).Cette étape réunit les représentants des services d’analyse de la sécurité, les représentants du support(notamment ceux ayant contribué aux études de Maintenance basée sur la Fiabilité [MSG3]), ainsi que le déléguédes autorités de certification au sein de la société constructrice de l’avion. Le groupe est complété souvent par desspécialistes permettant de traiter certains problèmes spécifiques.

L’ensemble de ces étapes est supporté par une base de données conservant les justifications et offrant une synthèse à jour des dernières modifications à tout moment du projet. Cette base de donnée est liée (ou parfois intégrée) à la base de donnée gérant les exigences de type Évènement Redoutés pour chacun des systèmes.

A l’issue de cette étape les intervalles sont proposés au comité (CMCC) regroupant des représentants des opérateurs, les autorités de certification ainsi que le constructeur. Les intervalles et les regroupements de tâches de maintenance sont discutés. Finalement les tâches sont acceptées pour être couvertes par des tâches préexistantes du plan de maintenance (MSG-3) ou sont conservées en tant que tâches spécifiques liées aux analyses de sécurité. Dans ce dernier cas ce sont des exigences de maintenance liées à la certification (CMR : Certification Maintenance Requirement).

Les étapes 1 et 2 ne sont pas détaillées.

ETAPE 3 Définition des contraintes sur chacun des intervalles

Etape 3.1 – Contrainte sur les Événements redoutés



Les contraintes sont issues aussi de la probabilité maximum des événements redoutés. Ces contraintes sont dues soit aux règlements [FAR25] soit à des exigences issues des analyses de sécurité préliminaires ou finales. Les exigences de probabilité sont en général de 1E-5/FH à 1E-9/FH.

Un exemple est fourni dans le tableau ci-après.

Événement Redouté (Failure Condition) Criticité (Criticality)

Probabilité spécifiée

(par heure de vol)

Probabilité avec marge (par heure

de vol) Loss of function #1 CAT 1.00E-09 8.00E-10

Loss of function #2 HAZ 1.00E-07 9.00E-8

Inadvertant activation of function #2 MAJ 1.00E-05 1.00E-5

Tableau 1. Exemple de criticité et de probabilité d’occurrence spécifiée

Une marge est parfois ajoutée à la contrainte de probabilité pour prendre en compte la contribution d’un système ou d’un équipement avec une faible maturité. Cela permet de réduire le risque de diminuer un intervalle par exemple suite à une modification augmentant le taux de défaillance.

Etape 3.2 – Contrainte sur les intervalles

Cette étape est importante car elle fournit les contraintes sur les intervalles. Les contraintes principales prises en compte dans le cadre de cette étude sont :

• Intervalles définis par les études MSG3 pour des tâches couvrant la maintenance requise par les études desécurité : Afin de réduire le nombre de tâches de maintenance il est intéressant de se caler sur des tâchesexistantes par le groupe support MSG3.

• Les intervalles existants sont définis en terme de contraintes minimum . Ils permettent aussi de définir unecontrainte maximum moins élevée qui permettra de focaliser la maximisation de l’intervalle de maintenance pourdes tâches plus difficiles ou nouvelles.

Exemple : La MSG3 a défini la tâche. Vérification de la vanne de coupure (périodicité : toutes les 900 heures). L’intervalle de 900 heures devient une contrainte minimum qu’il faut tenir.

• Regroupement de tâche. Certaines tâches sont regroupées de fait. Par exemple lorsqu’il s’agit de tester un bouton,et tout la chaîne d’acquisition et du retour d’information. Certaines tâches peuvent être regroupées lorsqu’ellesnécessitent des activités préliminaires identiques.

Ces contraintes donnent lieu à une représentation graphique permettant un premier niveau de discussion avec les parties prenantes. Par exemple le graphique ci-dessous présente les contraintes sur les périodes pour 4 tâches différentes.

- 20,000 40,000 60,000 80,000 100,000 120,000

CHK_BP

CHK_VALVE*

CHK_VALVE_MECA*

CHK_BOMC

Exemple de contraintes sur 4 intervalles de maintenance

Intervalles de maintenance (en heures de vol)

Figure 2. Synthèse des contraintes sur les intervalles (en Heures de vol)

ETAPE 4 Définition des critères de choix

Cette étape n’est pas toujours nécessaire. Pour des cas simples le choix des intervalles de maintenance peut se faire « manuellement ». Mais pour certains cas complexes impliquant de nombreux intervalles au sein d’un même arbre de défaillances il est intéressant d’utiliser une fonction de coût pour fournir une proposition d’intervalles sur laquelle l’analyste pourra travailler.



Une fonction de coût simple définie un moyen de comparer les diverses options. Il est nécessaire d’avoir une estimation du temps nécessaire pour réaliser la tâche. Il faut ajouter parfois le coût de remplacement d’une pièce, ou de la tâche à réaliser en atelier ou en usine. De façon simplifiée :

Coût d’une tache = Coût de la main d’œuvre * Coût horaire + Coût de la pièce (ou du test) {1}

Mais lors des analyses, les coûts associés aux différentes tâches ne sont pas toujours connus. Le coût défini est alors un coût relatif entre les tâches. Souvent le temps de réalisation peut être estimé. En fonction de critères visant à éviter que certaines tâches lourdes soient trop fréquentes, le coût peut être artificiellement augmenté.

Le coût global est défini en sommant simplement tous les coûts.

Coût global = Σ (Coût d’une tâche x Nombre de Tâches) {2}

Le coût de chaque tâche est lié au nombre de tâche et pas directement à l’intervalle. Donc augmenter un intervalle sans que cela ait d’impact sur le nombre de tâches de maintenance peut paraitre d’un intérêt limité en termes de coût. Néanmoins cela présente un intérêt opérationnel : un intervalle plus grand permet d’effectuer un ou plusieurs vols supplémentaires pour faire la maintenance sur un aéroport bien équipé. L’étape de revue des résultats par l’analyste permet de prendre en compte ces considérations et de proposer un intervalle légèrement plus grand qu’un résultat basé sur l’étape 5.

Voici un tableau présentant une synthèse des coûts et des contraintes.

Id Intervalle Min

(h de vol)

Intervalle Max

(h de vol)

Coût unitaire Nombre de Tâches

sur vie avion (Max)

CHK_BP 850 50,000 1 117

CHK_VALVE* 850 35,000 1 117

CHK_VALVE_MECA* 30,000 100,000 5 3

CHK_BOMC 850 6,000 3 117

Tableau 2. Exemple de contraintes d’intervalles, de coûts et de nombre de tâches

ETAPE 5 Estimation des intervalles

Les étapes précédentes ont permis de définir les contraintes et un moyen de comparer diverses solutions par une fonction de coût simple. Ces éléments permettent à l’analyste de définir les intervalles de maintenance préventive (vérifications, remplacement ou autres). Il est même possible d’utiliser les fonctions de coût pour effectuer une optimisation à partir d’algorithmes dédiés.

Les contraintes lors des étapes précédentes ont été prises en compte : valeur minimum et maximum des intervalles (tableau 2), valeur de probabilité maximum (tableau 1). La fonction de coût {2} doit être minimisée. Elle permet à l’analyste lorsqu’il effectue des choix entre différents équipements de justifier ses critères de décision. Dans le cadre du respect de l’objectif de sécurité, il est possible au sein de l’arbre de défaillances de proposer plusieurs solutions d’intervalles.

Voici un exemple de coupes. Le signe * indique les événements de bases dont la panne est dormante. Dans un arbre il n’est pas rare d’avoir plus de 1000 coupes.

Ordre de coupe Liste des coupes

Coupes d’ordre 1 A Coupes d’ordre 2 B.C*

C*.D G.H G.I

Coupes d’ordre 3 D.E*.F

Tableau 3. Exemple de liste de coupe

Il est possible de regrouper les coupes sans pannes cachées. Ainsi en sommant leur probabilité, le tableau réalisé pour les calculs est simplifié.

P(ER) ≈ P(A) + P(B.C*) + P(C*.D) + P(G.H) + P(G.I) + P(D.E*.F) {3}

Il est aussi possible d’utiliser l’approximation classique pour simplifier le calcul au niveau des coupes lorsque seules des lois exponentielles sont utilisées. C’est le cas dans l’étude menée.

F(t) = 1 – e-λ.t {4}



F(t) ≈ λ.t pour λ.t petit.

La prise en compte des intervalles dans les arbres de défaillances est définie dans la norme [ARP4761]. La norme propose une approximation pour un cas simple pour une coupe d’ordre 2 impliquant les événements de base A et C*:

P(B.C*) = λB . λC* .T / 2 . Tvol {5} Avec T : intervalle de test

Pour le cas général, une approche différente est proposée afin d’assurer le conservatisme des résultats. Elle a été appliquée dans le cadre de cette étude.

P(B.C*) = λB . λC* .T / 2 . Tvol pour t ≤ mi vie avion P(B.C*) = λB . λC* .T . Tvol pour t > mi vie avion {6}

La règle {6} implique une discontinuité dans les résultats, et pénalise fortement des intervalles supérieurs à la mi-vie avion. Néanmoins l’impact est limité par le fait que pour un intervalle supérieur à mi-vie, la maintenance ne sera réalisée qu’une fois.

Les approximations sont testées pour chaque arbre de défaillance sur le cas de référence. L’ensemble de ces approximations permettent d’utiliser un outil d’estimation simple sans utiliser le moteur de calcul d’un logiciel d’’arbre de défaillance.

Sur un programme, les résultats finaux de probabilité doivent être fournis à partir d’un ou plusieurs outils définis le plus souvent dans le cadre du plan de sécurité (Safety Plan). La probabilité finale est estimée en intégrant les intervalles finaux dans un tel outil. Cela permet d’éviter d’éventuelles erreurs d’approximation ou de poser la question de qualification de l’outil.

En cas de difficultés à trouver une solution permettant de tenir l’exigence de probabilité, il est important de définir les causes majeures. Dans ce cas les temps de maintenance minimum sont abaissés jusqu’à la tenue de l’objectif. Cette approche n’a pas été développée. Pour ce cas une analyse des coupes les plus contributrices a suffi pour identifier la cause.

Le résultat est ensuite analysé, et peut être modifié lors de la réunion de validation des résultats avec le représentant des autorités de certifications. Ce dernier peut décider de proposer un test plus fréquent lorsque la technologie est nouvelle, ou lorsque la modélisation de son disfonctionnement est incertaine. C’est parfois le cas pour certaines pièces mécaniques.

Scenario 1 Scenario 2

Id Intervalle Coût (sans unité) Intervalle Coût (sans unité)

CHK_BP 12,000 67 5,000 160

CHK_VALVE* 15,000 40 29,000 21

CHK_VALVE_MECA* 58,000 9 58,000 9

CHK_BOMC 6,000 810 6,000 810

Coût Total 926 1000

Tableau 4. Comparaison de deux scénarios

ETAPE 6 Revue des intervalles

Ces résultats sont ensuite analysés. A partir de l’outil d’approximation, l’analyste va parfois augmenter un intervalle pour diminuer la marge qu’il avait pris initialement. Il peut aussi arrondir certaines valeurs pour préparer leur présentation pour la prochaine phase. Quoiqu’ il en soit il réalise un calcul final à partir de l’outil d’analyse d’arbre conformément au plan de sécurité.

ETAPE 7 Choix de l’intervalle

Les intervalles sont présentés au groupe. Les intervalles sont discutés notamment lorsqu’ils remettent en question à la baisse un intervalle défini par la MSG3. En règle générale ce critère a été pris en compte, mais il peut arriver que la tâche MSG3 pouvant couvrir une tâche CCMR n’ait pas été identifiée par l’analyste. Dans ce cas le personnel du support peut l’identifier. Les nouvelles contraintes sont prises en compte afin de proposer un nouveau scénario. Le délégué de l’autorité de certification peut aussi être amené à revoir des intervalles souvent à la baisse (approche conservative).

Cette approche structurée et simple permet de revenir rapidement vers le groupe avec de nouvelles proposition et vise à minimiser le nombre de revues en capturant dès que possible les exigences.

Les résultats finaux sont intégrés dans un document qui peut être présenté au groupe de travail sur la maintenance.



Conclusion

La réglementation aéronautique exige du constructeur d’avion de fournir un programme de maintenance, préalablement certifié par l’autorité aéronautique, à l’opérateur aéronautique commercial afin de l’aider à maintenir le niveau de sécurité certifié tout au long de la vie de l’avion. Des analyses de maintenance MSG-3 et de sécurité sont mises en œuvre en vue d’édicter le programme de maintenance. Les intervalles de maintenance y sont définis et certifiés. Pour cela, l’approche proposée permet de prendre en compte dès que possible à travers sept étapes, 1- l’identification des pannes dormantes, 2- la sélection des évènements redoutés, 3- la définition de contraintes, 4- la définition des critères de choix, 5- l’estimation des intervalles, 6- la revue des intervalles et 7- le choix de l’intervalle, les différentes contraintes afin de minimiser les itérations de concertations entre les parties prenantes le constructeur, les opérateurs et l’autorité de certification aéronautique. Cette proposition présente une démarche assistée afin de pouvoir automatiser tout en gardant la souplesse nécessaire pour arriver au meilleur compromis possible. Bien sûr cette proposition est une aide à la décision. Le critère final est la sécurité du vol et des personnes transportées ainsi que du matériel les transportant.

7 Remerciements Les auteurs tiennent à remercier les relecteurs au sein de Bombardier pour leurs commentaires précieux et leur support à cet article.

8 Ré fé ren ces

[AC2519] FAA Advisory Circular 25-19A Certification Maintenance Requirement, 10/03/11.

[AMTH] Chapter 8 of Aviation maintenance technician handbook -

https://www.faa.gov/regulations_policies/handbooks_manuals/aircraft/amt_handbook/, 2008.

[Arnoux, 2001] Henri Arnoux, 2001 « Pourquoi la maintenance », La jaune et la rouge, adresse internet : http://www.lajauneetlarouge.com/article/pourquoi-la-maintenance., 2001.

[ARP4754] SAE ARP 4754 Rev. A - Guidelines For Development Of Civil Aircraft and Systems, 12/2010.

[ARP4761] SAE ARP 4761 issue 1996-12 - Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, 12/1996.

[Chenevrier, 2001] Philippe Chenevrier, Aéronautique : Méthodologie de création et cadre réglementaire », La jaune et la rouge, adresse internet : http://www.lajauneetlarouge.com/article/les-programmes-de-maintenance-aeronautique-

methodologie-de-creation-et-cadre-reglementaire, 2001.

[CS25] Amendment 11 - Certification Specification and Acceptable Means of Compliance for Larges Airplanes, 4/07/2011.

[DO178] DO-178C- Software considerations in airborne systems and equipment certification, RTCA, 01/05/2012.

[DO254] DO-254/Eurocae ED-80 - "Design assurance guidance for airborne electronic hardware, 19/04/2000.

[FAR25] Part 25, Airworthiness Standards: Transport Category Airplanes, 1/1/2006.

[OSAC0304] Les instructions pour le maintien de la navigabilité, P-51-80 Ed. 1 Rév. 0 - : http://www.regles-osac.com/OSAC/fascicules.nsf/b2916504c56ce9d0c12566c0005a60d0/b68550a9cb917308c12579ec0052127d/$FILE/P518010.pdf, 03/2004

[TC0510] Transport Canada: http://www.tc.gc.ca/fra/aviationcivile/publications/tp13850-partiea-chapitre2-280.htm,20/05/2010.


détermination d'intervalles de maintenance pour systèmes

Documents