20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Maîtrise des risques d’interruption opérationnelle dans la conception d’un système de lancement

Operational Interruption Risk Management during Complex Launching System design phase

Christophe DUCAMP AIRBUS Defence & Space Rue des Cosmonautes 31402 Toulouse Cedex 4 Tel : 05 62 19 78 80 christophe.ducamp@airbus.com

Charles ELEGBEDE AIRBUS Defence & Space Rue du Général Niox Saint Médard-en-Jalles (33165) Tél. : 05 56 57 20 85 charles.elegbede@astrium.eads.net

Coralie MOMMÉE LIGERON Rue Nicolas Leblanc Mérignac (33700) Tél. : 05 57 92 28 61 coralie.mommee@ligeron.com

Julien VILLEMAIN AIRBUS Defence & Space Rue du Général Niox Saint Médard-en-Jalles (33165) Tél. : 06 63 23 11 33 julien.villemain@astrium.eads.net

Résumé La communication a pour but d’exposer le principe de la maîtrise de l’interruption opérationnelle en phase de développement d’un système complexe, en détaillant le processus à suivre, la méthode et les outils à utiliser. Le système considéré dans cette communication est un système de lancement intégrant ses moyens de production, de mise en œuvre et de soutien. La volonté est de placer l’exploitation du système comme centre d’intérêt en adoptant une démarche « conception orientée opérations ». Les analyses de Sûreté de Fonctionnement et de Soutien Logistique Intégré s’unissent afin de servir l’opérabilité du système sur tout son cycle de vie.

Summary This communication aims to present the interruption operational risk management during the design complex system by proposing the process, methodology and tools dedicated for this pilot case. The system to be considered for our analysis is defining by launcher system associated with its assembly line/integration/test means, Integrated Logistic Support solutions. The main goal is to influence at early stage of the development phase the launching system based on new approach “Design To Operations”. This approach takes into account the RAMS/FDIR and ILS analysis in a common way to optimize the launching system operability throughout its life cycle.

Introduction Le monde des lanceurs spatiaux est en pleine mutation. L’arrivée sur le marché des lancements de satellites commerciaux de nouveaux acteurs a bousculé le secteur. La concurrence étant féroce, les parts de marché pouvant être redistribuées, il est nécessaire de mettre rapidement sur le marché un nouveau système lanceur. Le cycle de développement s’en trouve donc complètement bouleversé. Il doit être plus court, plus efficace, plus collaboratif, plus adaptable, plus itératif et plus rentable. En bref, le développement de ce nouveau lanceur s’inscrit dans un monde en mouvement où la concurrence est très sévère. Il est donc plus que jamais nécessaire de maîtriser les risques et opportunités des ruptures technologiques nécessaires lors de la phase de développement et notamment le risque de ne pas respecter la cadence de lancement requise.

Communication 4C /1 page 1/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Positionnement du problème La cadence constitue un paramètre clé vis-à-vis de l’efficacité économique du programme. Toute interruption significative des opérations de fabrication, assemblage, intégration, test et maintenance, depuis la constitution des équipements unitaires du lanceur jusqu’à sa mise en place sur le pas de tir, pourrait avoir de graves conséquences sur la rentabilité d’un lancement. De ce fait, les auteurs proposent de mettre en place en phase de développement un processus, une méthode et des outils pour maîtriser le risque d’interruption opérationnelle et l’évaluation de son coût. L’innovation porte sur la mise en place d’une ingénierie des processus efficaces entre les opérations et la conception par le biais des analyses de Sûreté de Fonctionnement et de Soutien Logistique Intégré. Ces deux disciplines ont le souci permanent de consolider et harmoniser les opérations et par la même, la réussite du projet tout au long de la durée de vie requise.

Notions d’Interruption Opérationnelle

La notion d’interruption opérationnelle appliquée au sein d’Airbus Group demeure primordiale dans la conception, réalisation et maintien en condition opérationnelle principalement pour piloter la fiabilité opérationnelle de l’avion [1] depuis plus de 20 ans. Issue de cette expérience et compétences reconnues internationalement dans le domaine aéronautique civil et militaire, pour notre cas d’usage, cette application de l’interruption des opérations, consiste à modéliser l’ensemble des opérations [2] à réaliser pour accomplir la mission requise d’un système de lancement [3]. Dans notre cas, il s’agit de positionner un lanceur totalement intégré sur son pas de tir [4]. La modélisation est effectuée à l’aide d’outils tels que les logiciels SIMPROCESS, Réseaux de Pétri (GRIF), …. Sont alors obtenues les grandeurs permettant de faire les trade-off technologiques (taux d’occupation, performances opérationnelles et économiques, …). à partir de l’arborescence produit du système, en la sélection des constituants pouvant générer une indisponibilité. Une Analyse des Modes de Défaillance et de leurs Effets permet d’analyser toutes les phases d’opérations et d’évaluer l’impact des pannes des composants du système sur la disponibilité. Les composants associés aux risques les plus critiques en phase opérationnelle sont appelés « Candidats à l’interruption opérationnelle ». Ces composants peuvent être par exemple, un équipement électronique du lanceur, une climatisation d’un bâtiment, une armoire électrique, un élément de manutention. Une fois les candidats à l’interruption opérationnelle ciblés, il convient d’améliorer leur arborescence logistique et d’en déduire les tâches de maintenance préventive et corrective associées. Les tâches correctives peu vraisemblables ainsi que les tâches préventives n’arrêtant pas les opérations sont écartées. Cette étape permet de converger vers les tâches de maintenance pouvant conduire à une interruption opérationnelle. Si certaines tâches ne paraissent pas acceptables, une itération visant à modifier la conception du système est initiée. Ces tâches étant identifiées, leur impact opérationnel doit être minimisé. Les démarches classiques de l’Analyse du Soutien Logistique sont mises en œuvre dans le but de réduire la durée des tâches ou planifier la maintenance préventive dans les périodes d’arrêt des opérations. La détection et localisation des pannes sont étudiées de près ainsi que l’accessibilité des équipements, l’organisation des équipes de maintenance, les rechanges, les temps de ralliement et d’intervention, etc. La conception des constituants du système et l’organisation des opérations sont challengées afin de minimiser les temps d’arrêt et optimiser les coûts. En cas d’interruptions opérationnelles résiduelles non acceptables, celles-ci sont discutées avec les interlocuteurs du projet concernés. Le but est de revoir le plan d’opérations ou de redéfinir la conception du système.

Communication 4C /1 page 2/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Démarche de maîtrise du risque d’Interruption Opérationnelle Il est proposé dans cet article une méthodologie permettant de minimiser le risque d’interrompre les opérations devant être réalisées par un système lors de sa phase d’exploitation. La démarche structurée prévoit 3 étapes :

- Sélection des candidats à l’interruption opérationnelle, - Détermination de l’interruption opérationnelle que pourrait générer le système en exploitation, - Optimisation du système.

1 Sélection des Candidats à l’Interruption Opérationnelle (CIO) Le logigramme suivant illustre la démarche de sélection des candidats à l’interruption opérationnelle :

Figure 1. Méthode de sélection des Candidats à l’Interruption Opérationnelle

Dans la suite de ce paragraphe, le terme « produit principal » désigne dans notre cas le lanceur mais plus globalement il s’agit de la nature du flux transformé par les opérations d’un système. Etape 1 : Modélisation des opérations Cette démarche étant centrée sur les opérations, son point de départ logique est constitué par la modélisation de ces dernières. Les étapes unitaires vécues par le produit principal et leurs enchaînements sont identifiés et représentés par le biais d’un outil de simulation de flux nommé SIMPROCESS [5]. La réalisation de cette modélisation est hors cadre de cette présentation, elle en constitue en revanche une donnée d’entrée indispensable. En considérant un concept opérationnel de référence, elle permet d’obtenir les durées opératoires dès la phase de conception préliminaire du système. Une première vision des chemins critiques est ainsi disponible, ceci nous aidera plus tard à prioriser le traitement des interruptions opérationnelles.

Communication 4C /1 page 3/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Etape 2 : Analyse dysfonctionnelle Les opérations nécessaires à l’obtention du produit principal sont réalisées par une somme de matériels. Il convient dans un premier temps d’affecter ces matériels aux opérations dans lesquelles ils interviennent.

Figure 2. Exemple d’association opérations / matériels

Une fois cette association faite, une analyse dysfonctionnelle des différents matériels est conduite. Cette analyse de type AMDE est menée conjointement sous l’angle produit et process. Seules les conséquences en termes de disponibilité et de coûts de retour en configuration nominale sont scrutées. La notion de produit / process implique que le périmètre de l’AMDE recouvre à la fois le produit principal, le lanceur dans notre cas ainsi que les éléments permettant la production ou l’exploitation du produit principal. L’analyse dysfonctionnelle peut prendre la forme suivante :

Figure 3. Exemple de trame AMDE Chaque phase du process est étudiée. Les modes de défaillance des matériels impliqués ainsi que leurs causes macroscopiques et les effets sont identifiés. Les taux de défaillance sont renseignés dans cette grille d’analyse. Ils seront utilisés lors de la phase suivante (cf. §.2). Enfin, une indication est donnée sur les coûts engendrés par la remise en configuration nominale du système. Celle-ci sera utile lors de la phase d’optimisation du système (cf. §.3). Elle contribuera à l’établissement du meilleur compromis coût / disponibilité. A l’issue de cette analyse, nous connaissons les matériels dont la défaillance, à elle seule, conduit à un arrêt des opérations. Nota : La criticité n’est pas utilisée. L’occurrence des pannes et la gravité de l’interruption des opérations seront employées uniquement lors de la phase de détermination et d’optimisation de l’interruption opérationnelle.

Phase Matériel Fonction Mode de défaillance Causes ʎ (pannes/h) Effets Coûts réparation

Banc de test Tester la chaîne de pilotage

Non acquisition des mesures

Intrinsèque matériel 1,00E-04 Test non réalisable -> arrêt opération

Fort

Centrale inertielle

Transmettre les ordres de guidage aux vérins tuyère 1er étage

Défaut de guidage par rapport à la consigne

Intrinsèque matériel 1,00E-07 Panne lanceur -> arrêt opération

Fort

…Intrinsèque matériel 1,00E-06 MoyenConditions d'utilisation : Filtres saturés

1,00E-03 Faible

Intrinsèque matériel 1,00E-04 Non acceptableConditions d'utilisation : Inspection matériel inadaptée

1,00E-03 Moyen

…

Arrêt opération si température hors plage

Test chaîne pilotage

Préparation panneaux

Climatisation Réguler la température sur une plage précise

Arrêt climatisation

Soudage Machine de soudage

Souder les panneaux Non fonctionnement Soudage impossible -> arrêt opération

Communication 4C /1 page 4/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Etape 3 : Sélection des Candidats à l’Interruption Opérationnelle (CIO) Des critères de sélection sont appliqués aux matériels identifiés à l’étape précédente. Ces critères sont adaptables et s’appliquent aux éléments réparables ou candidats à la maintenance préventive. A titre d’exemple, ils peuvent être formulés comme suit et prendre les valeurs indiquées entre parenthèses :

- Complexité du matériel (1 le plus favorable, 2, 3, 4 le plus défavorable),- Retour d’expérience (1, 2,3, 4),- Fiabilité du matériel (1, 2, 3, 4),- Complexité des tâches de maintenance :durée, outillages spécifiques, qualifications particulières (1, 2, 3, 4).

Le produit des notes de chaque critère est comparé à un seuil fixé arbitrairement. Les matériels pour lesquels le produit est supérieur au seuil sont retenus comme Candidats à l’Interruption Opérationnelle (CIO).

2 Détermination de l’Interruption Opérationnelle (IO)Afin de prioriser le traitement des Candidats à l’Interruption Opérationnelle, on applique la démarche illustrée ci-après :

Figure 4. Détermination de l’Interruption Opérationnelle

La modélisation est construite de manière à se rapprocher le plus possible de la structure imposée par les opérations. Dans notre cas, le module PETRO du logiciel GRIF [6] a été employé. Il est piloté par des réseaux de Petri cachés, ce qui permet de faire relativement simplement des modèles complexes, en évitant une implémentation des réseaux de Petri (en général coûteux en temps de mise en œuvre). A titre illustratif, la modélisation d’une partie du système se présente comme suit :

Figure 5. Exemple de modélisation par réseau de Pétri

Communication 4C /1 page 5/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Afin d’exploiter le modèle, les paramètres que sont les taux de défaillance des matériels, leurs durées de réparation et leurs fréquences de maintenance préventive y sont injectés. Ces éléments ont été obtenus à l’étape précédente dans l’AMDE et en identifiant les tâches de maintenance préliminaires du système. Nous pouvons ainsi en déduire la cadence que le système est capable d’atteindre. Si la cadence requise est atteinte le système est considéré comme étant optimisé. Dans le cas contraire, nous identifions :

- Les matériels limitant la cadence, - Le nombre d’heures d’Interruption Opérationnelle généré par le système actuel.

Lorsque le système est vaste, il est nécessaire de fixer les priorités de traitement en identifiant l’implication des Candidats à l’Interruption Opérationnelle par rapport à l’interruption totale ainsi que le coût d’interruption associé. Le but est de hiérarchiser les matériels à optimiser.

Figure 6. Exemple de poids de chaque Candidat à l’Interruption Opérationnelle – quantité et coût

3 Optimisation du système Il convient d’intervenir sur les matériels pesant le plus sur l’Interruption Opérationnelle afin de minimiser, voire éradiquer le risque d’interrompre les opérations devant être réalisées par le système. Pour chaque matériel concerné, les axes d’amélioration suivant peuvent être analysés :

- Fiabilisation des composants « critiques » vis-à-vis de la disponibilité ou de l’architecture du matériel (passage de redondance passive à active par exemple),

- Optimisation de la maintenabilité, de la localisation des pannes afin de réduire les durées de maintenance, - Utilisation de composants nécessitant moins de maintenance, - Réévaluation de la politique de rechanges, - Evolution de la définition du matériel afin de le rendre plus simple à exploiter, - Réorganisation des opérations, - …

Lorsque les optimisations « réalistes » ont été appliquées aux matériels, l’Interruption Opérationnelle générée par le système est réévaluée par le biais de la modélisation par réseau de Pétri en itérant jusqu’à atteindre les objectifs de cadence. Cette démarche n’a pas pour vocation à probabiliser l’atteinte d’une performance mais plutôt d’identifier de manière déterministe les contributeurs à l’Interruption Opérationnelle afin d’en minimiser leur impact. Le résultat produit par cette démarche est jugé satisfaisant lorsque l’optimisation des performances et des coûts répond aux objectifs fixés par le projet.

Communication 4C /1 page 6/7

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Conclusion Le résultat escompté est l’obtention des performances opérationnelles et économiques attendues permettant de satisfaire à la logique industrielle proposée du système de lancement. Lors de la mise en place de cette démarche, il est apparu que les logiciels du domaine de la Sûreté de Fonctionnement et du Soutien Logistique Intégré ne sont pas véritablement orientés vers les opérations et l’exploitation d’un système. Des outils du commerce partant des opérations pour remonter vers la conception en intégrant les performances de Fiabilité, Maintenabilité et Disponibilité faciliteraient grandement le traitement des risques des interruptions opérationnelles. Une prochaine étape envisagée est de développer des modules de calculs implémentant des algorithmes d’optimisation afin d’optimiser encore davantage les architectures.

8 Références

[1] Application of Markov processes to predict aircraft operational reliability – 3rd European System Engineering Conference - France 2002 – E Hughes – E Charpentier – A Cabarbaye [2] DTO “Design To Operability” of Space Survey Complex System Monitoring ESREL 2015 – Zurich C. Elegbede – C Ducamp [3] Tools for OPerability Assessment and Support Enhancement for life cycle system performance optimization INCOSE 2014 – South Africa – Cape Town - C. Elegbede – C Ducamp [4] Dynamical modelling and stochastic optimisation for the design of launcher integration processes London - C. Elegbede, D. Berard-Bergery, J. Béhar & T. Stauffer [5] SIMPROCESS (Editeur CACI) –Manuel utilisateur SIMPROCESS 5.3 [6] GRIF Module Petro – Manuel utilisateur GRIF 2016

Communication 4C /1 page 7/7