Mec. Ind. (2000) 1, 213–215 2000 Éditions scientifiques et médicales Elsevier SAS. Tous droits réservésS1296-2139(00)00121-4/FLA

De la fiabilité à la maîtrise des risques

Guy Peyrache *Institut de sûreté de fonctionnement, 41, rue des Trois Fontanot, 92024 Nanterre cedex, France

(Reçu le 27 décembre 1999 ; accepté le 23 mars 2000)

Résumé —Au début, Dieu créa la Terre. . . et les hommes. Pendant longtemps, ce furent la compétence et la conscience des artisansqui assuraient la qualité des produits. Puis, sont venus successivement : d’une part, l’assurance qualité, la fiabilité, la maintenabilitéintrinsèque, la sécurité, (toutes doivent être maîtrisées par le concepteur/fabricant des produits en fonction des besoins desutilisateurs) et d’autre part, le soutien logistique et la maintenabilité extrinsèque (tous deux définis par l’exploitant/utilisateur).La démarche de sûreté de fonctionnement permet d’optimiser toutes ces caractéristiques pour parvenir à une maîtrise du bonfonctionnement (et donc des risques) et donc à un coût global de possession optimal. À partir d’une expérience vécue dans une PMImécanicienne, on voit que des outils fort simples permettent des améliorations sensibles. Le rôle d’un retour d’expérience sûr et bienexploité est souligné. 2000 Éditions scientifiques et médicales Elsevier SAS

fiabilité / maîtrise des risques / maintenabilité / support logistique / disponibilité / sûreté de fonctionnement

Abstract —From reliability to risk management. In the beginning, God created the earth . . . and man. For a long time, the quality ofproducts was ensured by the skills and conscientiousness of the artisans who made them. Then came the successive arrival on the onehand, of quality assurance, reliability, intrinsic maintainability, safety (all of which are to be managed by the designer/manufacturerof the products to meet the needs of users) and, on the other, logistic support and extrinsic maintainability (both of which are definedby the operator/user). The Operating Dependability and Safety process is a means of optimising all these characteristics in order toeffectively master and manage smooth operation of an industrial system (and consequently the risks involved in using it) and therebyattain an optimal overall cost of possession. The experience of a small mechanics company can illustrate how extremely simpletools can often bring about considerable improvements. The role of reliable, well exploited feedback is stressed. 2000 Éditionsscientifiques et médicales Elsevier SAS

reliability / risk management / maintainability / logistic support / availability / operating dependability and safety

Dans la préhistoire de la qualité des produits, pendantdes siècles, les compétences et la conscience des artisanset maîtres compagnons ont suffi. Puis est survenu, il n’ya pas si longtemps et comme fruit de l’industrialisation etde la complexité croissante des produits, le contrôle sta-tistique des produits suivi bientôt de l’assurance qualité.En cette fin de vingtième siècle et depuis bientôt 50 ansest apparue la fiabilité. Elle a eu quelque mal à percer,malgré son nom bien de chez nous, mais un beau jourelle a franchi le mur de l’indifférence et le grand public aappris par Citroën que. . . la DS était fiable. C’était en findes années 60.

Bien qu’elle ait surgi dans la recherche de remède àquelques déboires des programmes militaires américains,elle a très vite intéressé les responsables de grands pro-

* Correspondance et tirés à part :isdf1@mfq.asso.fr

jets militaires, spatiaux ou nucléaires. C’est une caracté-ristique des « biens industriels » nouvellement formaliséeavec une particularité qui a longtemps rebuté les ingé-nieurs des bureaux d’études : elle s’exprime par une pro-babilité. Elle n’est donc pas mesurable, et pas toujoursfacile à estimer sauf par calcul et avec un certain nombred’hypothèses.

Il n’empêche que la probabilité de bon fonctionne-ment d’un bien quel qu’il soit est une caractéristiquefort importante car elle conditionne le succès d’une mis-sion ou, suivant le cas, la marge d’une entreprise deproduction. . .ou de services. Mais, en fait, succès de mis-sion ou marge de l’entreprise ne dérivent pas de la seulefiabilité et très vite on a donné son plein rôle à la mainte-nance.

Cette dernière met en jeu deux éléments.

(1) L’un qui, tout comme la fiabilité, résulte directe-ment des bureaux d’études et des ateliers de fabrication

213

G. Peyrache

du constructeur de l’équipement (ou du bien considéré) etqui, tout comme la fiabilité, doit figurer parmi les caracté-ristiques du cahier des charges — fonctionnel ou non —imposé par le client. . . c’est la maintenabilité intrinsèquequi exprime la facilité de réparation.

(2) L’autre qui dépend entièrement, lui, de l’exploi-tant du bien et met en cause sa « politique maintenance »et le soutien logistique qu’il est disposé à consacrerau bien en question. Ce soutien logistique concerne leshommes — nombre et formation/compétence — et leséléments consommables ou pièces détachées utiles voirenécessaires au fonctionnement sans à coup : c’est lamaintenabilité extrinsèque.

Ainsi donc, en schématisant un peu, on parvient à cer-ner le nouveau concept de disponibilité, qui combine à lafois la fiabilité et la maintenabilité. De la disponibilité onpasse sans difficulté à la notion d’optimum économique,de « coût global de possession » ou delife cycle costpourles Américains. En effet, il y a de nombreux compromisà définir, et c’est là tout l’art de l’ingénieur, dans l’étuded’un bien nouveau, que de choisir les bons compromis.On peut, dans certains cas, privilégier la fiabilité au détri-ment de la maintenabilité ; dans d’autres cas, on préférerale contraire. Par exemple le développement de l’électro-nique modulaire encartable correspond très exactement àune facilité de dépannage au risque d’un abaissement dela fiabilité dû aux connecteurs. Le mépris — ancien — dela maintenabilité avait permis à des constructeurs d’auto-mobiles de construire des voitures dont le moteur étaitdisposé de telle façon que plusieurs éléments étaient dif-ficilement accessibles. . . et lorsqu’il s’agissait de chan-ger les bougies. . . Ce sont aujourd’hui de mauvais sou-venirs, chacun est conscient que facilité de réparationet d’entretien et soutien logistique sont indispensablesà une exploitation optimale d’un parc de machines parexemple.

Il importe, rappelons le, d’intégrer dans le coût glo-bal de possession, le coût de la mise au rebut du « bien ».Les développements les plus récents de la réglementa-tion sont là pour nous rappeler l’importance de cettephase de « l’après vie » du produit. Mais il importe aussi,est-ce utile de le rappeler, lorsqu’on veut faire un bilanéconomique, d’évaluer correctement le coût des pannes,manques à gagner, frais supplémentaires induits. . . Notrepassage de la fiabilité au coût global de possession s’ap-plique presque bien à toutes les entreprises manufactu-rières et donc a fortiori aux entreprises mécaniciennes.Mais pourquoi presque bien ?

Deux éléments sont venus compléter le tableau.

(1) Le premier nous fait passer du dysfonctionnementau danger.

(2) Le second nous fait passer du risque technologi-que, du risque industriel au risque de toute nature.

Le danger est lié au fait que certaines défaillances ontdes répercussions d’un autre ordre que le simple arrêt-machine. Il s’agit des défaillances qui affectent directe-ment l’opérateur ou le voisinage. . . Il peut s’agir ici dedéfaillances humaines mais aussi de défaillances liéesaux biens, aux machines, ou encore de la combinaisondes deux. Dans ces conditions, comment évaluer le coûtd’une défaillance ? Certains ont été longtemps tentés dedire : « la solution c’est le risque zéro ». Aujourd’hui,plus personne n’accepte de défendre ce point de vue, parcontre la question reste : comment évaluer le risque ac-ceptable ?

On voit donc qu’à la notion de probabilité de dé-faillance c’est à dire de fiabilité, s’est substituée celle durisque.

Un risque, quel qu’il soit, allant du simple retard de li-vraison au risque de cataclysme dû au mauvais fonction-nement d’un système est, en définitive, la combinaison detrois facteurs :

(1) la probabilité d’apparition du dysfonctionnementque nous étudions,

(2) la gravité des conséquences de ce dysfonctionne-ment (on parle parfois d’événement non désiré END ounon souhaité ENS),

(3) dans la mesure où certains dysfonctionnementspeuvent rester cachés et ne se manifester qu’après uncertain temps, on peut avoir intérêt à introduire un3ème facteur qui mesure la détectabilité de la défaillancesurvenue.

Toutes ces notions peuvent paraître bien abstraites etpeu utilisables. En fait, dans bien des cas, les chosespeuvent être grandement simplifiées, car quel est levrai fond du problème? C’est de disposer d’outils quifacilitent le choix entre plusieurs solutions, des outilsd’aide à la décision qui permettront de hiérarchiser lesrisques et de savoir dans quel ordre les traiter voire leséliminer.

Dans une expérience récente que j’ai suivie dansune entreprise moyenne de découpage, emboutissage, lejeune ingénieur stagiaire qui a conduit l’étude a travaillépar classes. Par exemple, pour qualifier la probabilitéd’apparition du dysfonctionnement, il s’est contenté de

214

De la fiabilité à la maîtrise des risques

prévoir cinq classes d’occurrence ainsi définies :

Très souvent= 1 fois/jour : note : 5

Souvent= 1 fois/semaine : note : 4

Parfois= 1 fois/mois : note : 3

Rarement= 1 fois/trimestre : note : 2

Extrêmement rarement= 1 fois/an : note : 1

Pour la gravité des conséquences, cinq classes égale-ment, ainsi définies :

Mineure : note : 1

Peu importante : note : 2

Importante : note : 3

Très importante : note : 4

Capitale : note : 5

Pour la détectabilité, il a utilisé cinq classes encoreavec comme critère « le risque de laisser le dysfonction-nement (ou le défaut) » :

Très peu détectable

(risque compris entre 1/20 et 1) : note : 5

Peu détectable

(risque compris entre 1/100 et 1/50) : note : 4

Détectable

(risque compris entre 1/500 et 1/200) : note : 3

Facilement détectable

(risque compris entre 1/2 000 et 1/1 000) : note : 2

Immédiat

(risque compris entre 1/20 000 et 1/10 000) : note : 1

On voit déjà que, pour le dernier critère, il serait sansdoute pertinent que soit assurée une continuité entre lesdiverses classes, mais peu importe.

Pour un dysfonctionnement donné, il suffit de multi-plier les notes correspondantes. On obtient ainsi un clas-sement des risques et ce sont ceux à plus fort produit des 3notes qui seront à étudier en priorité.

Il sera bien souvent impossible d’éliminer totalementun risque donné mais, par contre, il sera fréquemmentpossible de réduire soit la probabilité d’apparition soit lesconséquences de ce dysfonctionnement.

On arrive ainsi à la maîtrise des risques, et dans ce quenous avons vu jusqu’ici, des risques industriels — ou desrisques technologiques. Mais c’est là le second élémentannoncé plus haut ; la même démarche peut s’appliquer àbien d’autres risques.

Rappelons en effet les principales étapes de cettedémarche.

(1) Identifier les risques potentiels par tous moyensdisponibles (retour d’expérience, remue-méninges. . .).Évaluer leur détectabilité éventuelle.

(2) Les caractériser par leurs conséquences et lagravité de ces dernières.

(3) Choisir les risques que l’on veut maîtriser et lesordonner.

(4) Identifier et caractériser les vraies causes desrisques.

(5) Définir et mettre en œuvre le plan d’actionspermettant de traiter ces causes.

(6) Mettre en place le retour d’expérience, après éli-mination des causes, afin de vérifier le bien fondé des dis-positions prises. En effet, on espère bien qu’avec les dis-positions adoptées le « bien/service » sera amélioré, soitle « bien/service » existant, soit la génération suivante.

Certains spécialistes sont très sensibilisés par lesrisques qui mettent en cause santé, sécurité, et environ-nement. Ils s’intéressent à la cyndinique, la science desdangers. Pour nous, à l’Institut de sûreté de fonctionne-ment, nous sommes plus sensibles à la chasse aux dys-fonctionnements quelle qu’en soit la nature, et un retardde livraison peut être résultant d’un dysfonctionnementgrave et être traité avec autant d’attention qu’une pannede machine.

Ce qui nous importe, c’est de montrer aux indus-triels manufacturiers en général, mécaniciens en parti-culier, qu’il peut être tout à fait bénéfique pour leur en-treprise d’investir un peu dans ces outils de la sûreté defonctionnement. Qu’ils s’appellent analyse fonctionnelle(AF), analyse préliminaire des risques (APR), analysedes modes de défaillances et leur criticité (AMDEC) oucalcul prévisionnel de fiabilité, tous sont au service de lacompétitivité de vos entreprises.

215