Risques Majeurs INERIS

RAPPORT DÈTUDE 13/10/2006
N INERIS-DRA-2006-P46055-CL47569
FormaIisation du savoir et des outiIs dans Ie
domaine des risques majeurs
(DRA-35)
-7
Mthodes d'anaIyse des risques gnrs par
une instaIIation industrieIIe
Ministre de I'EcoIogie et du DveIoppement
DurabIe (MEDD)
Rf. : INERIS - DRA - 2006-P46055-CL47569 : 7 : Mthodes d'analyse des risques gnrs
par une installation industrielle
Page 1 sur 119
FormaIisation du savoir et des outiIs dans Ie domaine des risques majeurs
(DRA-35)
-7
Mthodes d'anaIyse des risques gnrs par une instaIIation industrieIIe
Direction des Risques Accidentels
Ministre de l'Ecologie et du Dveloppement Durable (MEDD)
Liste des personnes ayant particip l'tude :
B.DEBRAY, S.CHAUMETTE, S. DESCOURERE, V. TROMMETER
Page 2 sur 119
PREAMBULE
Le prsent document a t tabli :
- au vu des donnes scientifiques et techniques disponibles ayant fait l'objet
d'une publication reconnue ou d'un consensus entre experts,
- au vu du cadre lgal, rglementaire ou normatif applicable.
l s'agit de donnes et informations en vigueur la date de l'dition du document,
en septembre 2006.
Le prsent document comprend des propositions ou recommandations. l n'a en
aucun cas pour objectif de se substituer au pouvoir de dcision du ou des
gestionnaire(s) du risque ou d'une partie prenante.
PAGE DE VALIDATION
Mthodes d'analyse des risques gnrs par une installation industrielle
Rvision
Auteur de Ia mise
jour 2006
Vrificateur Approbateur
Bruno DEBRAY Nelson RODRGUES Didier GASTON
Responsable du
programme
Dlgu appui technique
l'administration
Directeur Adjoint Direction
des Risques Accidentels
Page 3 sur 119
REPERTOIRE DES MODIFICATIONS
Rvision Relecture Application Modifications
PROJET Novembre
2001
Cration du document
Version 1 Mai 2003 Auteurs E. Bernuchon, O. SaIvi
Version 2 Juin 2006 Ajout des mthodes intgres
Page 5 sur 119
TABLE DES MATIERES
1 OBJECTIF ET DOMAINE D'APPLICATION.................................................... 7
1.1 Objet du programme DRA-35 ....................................................................... 7
1.2 Domaine d'application et contexte................................................................ 7
1.3 Dmarche observe ..................................................................................... 9
2 PLACE DE L'ANALYSE DANS LA GESTION DES RISQUES..................... 11
2.1 Principes pour la gestion des risques ......................................................... 11
2.2 Danger, risque, ala, vulnrabilit, diffrentes faons de considrer le risque
.................................................................................................................... 13
2.3 Analyse des risques.................................................................................... 14
2.4 Evaluation du risque ................................................................................... 15
2.5 Rduction du risque.................................................................................... 17
3 DMARCHE POUR L'ANALYSE DES RISQUES ASSOCIS DES
INSTALLATIONS INDUSTRIELLES ............................................................. 19
3.1 Dfinition du systme et des objectifs atteindre....................................... 20
3.2 Recueil des informations indispensables l'analyse des risques............... 21
3.3 Dfinition de la dmarche mettre en oeuvre ............................................ 25
3.4 Mise en ouvre de l'analyse des risques en groupe de travail .................... 34
3.5 Remarque................................................................................................... 35
4 LES MTHODES CLASSIQUES D'ANALYSE DES RISQUES.................... 37
4.1 Analyse Prliminaire des Risques (APR).................................................... 38
4.2 AMDE et AMDEC ....................................................................................... 41
4.3 HAZOP ....................................................................................................... 47
4.4 What-F....................................................................................................... 52
4.5 Arbre des Dfaillances................................................................................ 53
4.6 Arbre des Evnements ............................................................................... 64
4.7 Noud papillon ............................................................................................ 71
5 MTHODES INTGRES D'ANALYSE DES RISQUES............................... 75
5.1 ARAMS...................................................................................................... 75
5.2 LOPA.......................................................................................................... 83
5.3 MOSAR....................................................................................................... 85
Page 6 sur 119
5.4 QRA............................................................................................................ 87
6 DMARCHE D'ANALYSE DE RISQUES PRATIQUE PAR L'INERIS DANS
LES TUDES DE DANGERS........................................................................ 91
6.1 L'analyse prliminaire des risques.............................................................. 91
6.2 L'tude dtaille des risques ...................................................................... 93
7 POINTS FORTS ET LIMITES DES MTHODES D'ANALYSE DES RISQUES
....................................................................................................................... 95
7.1 Points forts des mthodes classiques d'analyse des risques ..................... 95
7.2 Limites inhrentes aux mthodes classiques d'analyse des risques .......... 96
7.3 Points forts des mthodes intgres d'analyse de risques ......................... 97
7.4 Limites des mthodes intgres d'analyse de risques................................ 98
7.5 Synthse des avantages et domaines d'aplication des mthodes prsentes
.................................................................................................................... 98
8 CONCLUSION ............................................................................................. 103
9 GLOSSAIRE ................................................................................................ 105
9.1 Risque et danger ...................................................................................... 105
9.2 Consquences et accidents majeurs........................................................ 107
9.3 Dfaillances, drives et vnements redouts ......................................... 108
9.4 Evnements et situations de dangers....................................................... 109
10 SIGLES ET ABRVIATIONS....................................................................... 111
11 BIBLIOGRAPHIE......................................................................................... 113
12 LISTE DES ANNEXES................................................................................. 119
Page 7 sur 119
1 OBJECTIF ET DOMAINE D'APPLICATION
1.1 OBJET DU PROGRAMME DRA-35
Depuis plusieurs annes, le Ministre en charge de l'Environnement (actuellement,
Ministre de l'Ecologie et du Dveloppement Durable) finance un programme
d'tudes et de recherches intitul Formalisation du savoir et des outils dans le
domaine des risques majeurs .
L'objet du premier volet de ce programme est de raliser un recueil formalisant
l'expertise de l'NERS dans le domaine des risques accidentels majeurs. Ce
recueil sera constitu de diffrents rapports consacrs aux thmes suivants :
les phnomnes physiques impliqus en situation accidentelle (incendie,
explosion, BLEVE.)
l'analyse et la matrise des risques,
les aspects mthodologiques pour la ralisation de prestations rglementaires
(tude de dangers, analyse critique..)
Chacun de ces documents reoit un identifiant propre du type -X afin de
faciliter le suivi des diffrentes versions ventuelles du document.
n fine, ces documents dcrivant les mthodes pour l'valuation et la prvention
des risques accidentels, constitueront un recueil des mthodes de travail de
l'NERS dans le domaine des risques accidentels.
1.2 DOMAINE D'APPLICATION ET CONTEXTE
Le prsent rapport rfrenc -7 prsente quelques-uns des outils permettant
d'identifier a priori les risques gnrs par des installations industrielles. l s'inscrit
dans une dmarche de valorisation du savoir-faire de l'NERS auprs des
pouvoirs publics, des industriels et du public. Une premire version de ce rapport a
t crite en 2001 (E.Bernuchon, O.Salvi). La prsente version intgre des
complments relatifs aux mthodes intgres d'analyse des risques. Elle tient
compte aussi des volutions rglementaires rcentes en vue de l'application de la
loi du 30 juillet 2003
1
et de l'volution de la pratique de l'NERS en matire
d'analyse de risques dans les tudes de dangers.

1
loi du 30 juillet 2003 relative la prvention des risques technologiques et naturels et la
rparation des dommages, JO du 31 juillet 2003
Page 8 sur 119
1.2.1 CONTEXTE
Tout systme industriel est susceptible de gnrer des risques de nature varie. Le
guide SO/CE 73 dfinit le risque comme la "combinaison de probabilit d'un
vnement et de ses consquences". D'un point de vue gnral, les consquences
peuvent tre positives ou ngatives. Dans le domaine de la scurit, on s'intresse
plus particulirement aux consquences ngatives, qui se traduisent par un
dommage caus un lment vulnrable. Dans ce cas le risque est dfini comme
la "combinaison de la probabilit d'un dommage et de sa gravit" [guide SO/CE
51].
Grer un risque est un processus itratif qui a pour objectif d'identifier, d'analyser
et de rduire au maximum le risque ou de le maintenir dans des limites
acceptables. La gestion des risques est une des composantes fondamentales de
la gestion d'un systme. Elle est essentielle la russite des entreprises, que ce
soit en terme conomique ou environnemental. L'analyse de risques est une tape
cl du processus de gestion des risques. Sa ralisation ncessite de mettre en
ouvre une dmarche structure systmatique. C'est ce quoi sont destines les
mthodes que nous prsentons dans ce rapport. Celles-ci sont applicables une
varit de risques d'origine technique, en particulier aux risques industriels majeurs
auxquels la collection dans laquelle s'inscrit ce document est particulirement
consacre.
Le risque industriel majeur est le risque qui rsulte de l'exploitation d'installations
industrielles dangereuses et qui est plus particulirement relatif la possibilit
d'occurrence d'un accident majeur : Evnement tel qu'une mission, un incendie
ou une explosion d'importance majeure rsultant de dveloppements incontrls
survenus au cours de l'exploitation d'un tablissement, entranant pour les intrts
viss l'article L.511-1 du code de l'environnement, des consquences graves,
immdiates ou diffres, et faisant intervenir une ou plusieurs substances ou des
prparations dangereuses. (arrt du 10 mai 2000 modifi
2
)
La lgislation sur les installations classes (livre V du code de l'environnement)
prvoit, entre autres, que l'exploitation d'une installation classe soumise
autorisation est subordonne la ralisation d'une tude de dangers qui prsente
une analyse de risques. C'est notamment pour permettre aux acteurs concerns
de rpondre cette obligation que l'NERS a entrepris la rdaction de ce rapport.
L'article 4 alina 2 de l'arrt du 10 mai 2000
2
prcise les attentes de
l'administration en matire d'analyse de risques.
"L'analyse de risques, au sens de l'article L. 512-1 du code de l'environnement,
constitue une dmarche d'identification et de rduction des risques ralise sous la
responsabilit de l'exploitant. Elle dcrit les scnarios qui conduisent aux
phnomnes dangereux et accidents potentiels. Aucun scnario ne doit tre ignor
ou exclu sans justification pralable explicite.

2
arrt du 10 mai 2000 modifi relatif la prvention des accidents majeurs impliquant des
substances ou des prparations dangereuses prsentes dans certaines catgories d'installations
classes pour la protection de l'environnement soumises autorisation
Page 9 sur 119
Cette dmarche d'analyse de risques vise principalement qualifier ou quantifier
le niveau de matrise des risques, en valuant les mesures de scurit mises en
place par l'exploitant, ainsi que l'importance des dispositifs et dispositions
d'exploitation, techniques, humains ou organisationnels, qui concourent cette
matrise.
Elle porte sur l'ensemble des modes de fonctionnement envisageables pour les
installations, y compris les phases transitoires, les interventions ou modifications
prvisibles susceptibles d'affecter la scurit, les marches dgrades prvisibles,
de manire d'autant plus approfondie que les risques ou les dangers sont
importants. Elle conduit l'exploitant des installations identifier et hirarchiser les
points critiques en termes de scurit, en rfrence aux bonnes pratiques ainsi
qu'au retour d'exprience de toute nature."
l existe, l'heure actuelle, de nombreuses mthodes ddies l'analyse des
risques et il serait illusoire de vouloir les dcrire toutes dans le dtail. Le parti a t
pris dans ce document de prsenter quelques-unes des mthodes dont l'usage est
particulirement rpandu ainsi que quelques mthodes intgres, qui rgissent
l'utilisation des mthodes simples dans une dmarche globale d'valuation des
risques.
Soulignons galement que les mthodes prsentes dans ce document sont
ddies prioritairement l'identification des risques gnrs par une installation
industrielle sur son environnement. Dans le cadre d'une dmarche exhaustive
d'analyse des risques, il convient galement de caractriser les risques
d'agressions externes de l'environnement sur cette installation (par exemple,
catastrophes naturelles, effets dominos.). Pour ce faire, il existe des mthodes
spcifiques qui ne seront pas dcrites dans ce document. Le lecteur peut
cependant utilement se rapporter aux rapports rdigs dans le cadre du
programme "Analyse des risques et prvention des accidents majeurs" (dra-34)
dont l'opration f porte sur "l'Examen des consquences pour les nstallations
Classes pour la Protection de l'Environnement des risques naturels et de la faon
de les intgrer dans l'analyse des risques" [Valle 2003], [Valle 2004] et
l'opration e porte sur les "Concepts et mthodes de dtermination des effets
domino" [Hubin 2005].
1.3 DEMARCHE OBSERVEE
Les mthodes d'analyse des risques ne sont que des outils d'aide la rflexion et,
en ce sens, leur qualit est fortement lie leurs contexte et conditions de mise en
ouvre. l est donc indispensable de se pencher brivement sur les raisons qui
justifient l'utilisation de telles mthodes. Le chapitre 2 s'attache donc prsenter
les liens existant entre l'analyse et la gestion des risques.
Le chapitre 3 dcrit, quant lui, la dmarche gnrale de l'analyse de risques,
dans laquelle viennent s'insrer les outils d'analyse des risques prsents dans ce
document.
Page 10 sur 119
Le chapitre 4 est ddi la description des mthodes de base suivantes :
l'Analyse Prliminaire des Risques (APR),
l'Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit
(AMDEC),
la mthode HAZOP,
la mthode What-if ? , qui en est une volution,
l'analyse par arbre des dfaillances,
l'analyse par arbres d'vnements,
le Noud Papillon.
Le chapitre 5 prsente quatre mthodes intgres d'analyse de risques, qui traitent
l'ensemble du processus d'analyse de risque en faisant appel plusieurs
mthodes simples :
la mthode MOSAR,
la mthode LOPA,
la mthode ARAMS,
le QRA.
Le chapitre 6 dcrit de faon synthtique la mthode applique le plus
frquemment par l'NERS dans le cadre des tudes de dangers. Cette mthode
est, par ailleurs, dcrite en dtail dans le rapport Omga 9 relatif aux tudes de
dangers [Joly 2006].
Le chapitre 7 prsente les avantages et les limites des mthodes d'analyse des
risques en gnral. Ceux-ci sont synthtiss dans un tableau qui permet de
positionner les mthodes entre elles.
Enfin, pour la clart du document, un glossaire est prsent au chapitre 1. l
reprend les dfinitions des termes relatifs l'analyse des risques et fait, le cas
chant, rfrence des normes et des textes rglementaires ainsi qu'au glossaire
technique des risques technologiques publi par le SE du MEDD et joint la
circulaire du 7 octobre 2005
3
. Ce glossaire est un document indicatif visant
clairer la lecture des textes publis postrieurement sa publication et
harmoniser le vocabulaire utilis par les services d'inspection des installations
classes. l est disponible avec le texte de la circulaire sur le site ADA de l'NERS
(http://aida.ineris.fr).

3
Circulaire n DPPR/SE2/MM-05-0316 du 7 octobre 2005 relative aux nstallations classes -
Diffusion de l'arrt ministriel relatif l'valuation et la prise en compte de la probabilit
d'occurrence, de la cintique, de l'intensit des effets et de la gravit des consquences des
accidents potentiels dans les tudes de dangers des installations classes soumises autorisation
Page 11 sur 119
2 PLACE DE L'ANALYSE DANS LA GESTION DES RISQUES
Ce chapitre s'appuie en partie sur les Guides SO/CE 51 :1999 : Aspects lis
la scurit Principes directeurs pour les inclure dans les normes et SO/CE
72 : 2002 : Management du risque Vocabulaire Principes directeurs pour
l'utilisation dans les normes ainsi que sur le fascicule de documentation FD X 50-
252 dit par l'AFNOR Management du risque, lignes directrices pour
l'estimation des risques et le glossaire annex la circulaire du 7 octobre 2005
relative aux installations classes
1
. l est essentiel de souligner ds maintenant que
le vocabulaire de la gestion des risques souffre encore de nombreuses
divergences, les mmes termes prenant souvent des sens diffrents suivant le
contexte dans lequel il sont utiliss. Ce qui est vrai dans une langue l'est encore
plus lorsqu'il s'agit de traduire des termes utiliss dans des langues trangres.
Pourtant il apparat qu'au-del du vocabulaire, les concepts utiliss sont
universels. Ce chapitre a pour objectif de clarifier ce que nous entendons par
analyse de risques, expliquer comment celle-ci se distingue et s'articule avec les
autres tapes de la gestion des risques.
2.1 PRINCIPES POUR LA GESTION DES RISQUES
La gestion des risques ou management des risques peut tre dfinie comme
l'ensemble des activits coordonnes menes en vue de rduire les risques un
niveau jug tolrable ou acceptable un moment donn et dans un contexte
donn. l existe actuellement plusieurs rfrentiels dfinissant le vocabulaire du
management des risques qui prsentent encore entre eux des diffrences
relativement importantes sur les termes, comme l'illustre la Figure 1. Cependant,
au-del des mots, il est important de souligner que tous ces documents dcrivent
un processus de gestion identique dans son essence. Au sein de ce processus,
l'analyse de risques occupe une place centrale, mme si elle n'est pas toujours
nomme explicitement.
Manager les risques implique d'abord de dfinir le systme auquel le management
s'applique, d'identifier les acteurs impliqus : les parties intresses, les dcideurs.
La phase qui suit est nomme diffremment suivant les auteurs ou les sources de
rfrence. Ainsi dans la version Franaise du guide SO CE 73 elle est appele
apprciation du risque, dans le fascicule de documentation AFNOR FD X50-252,
estimation des risques. Cette phase se dcompose en plusieurs tapes qui
conduisent finalement caractriser le risque prsent par le systme tudi.
Celle-ci inclut l'identification des lments qui sont l'origine du danger et ceux qui
peuvent en subir les consquences, la dtermination des scnarios potentiels qui
conduisent la ralisation d'un danger, l'estimation des grandeurs reprsentatives
du risque : gravit des consquences potentielles, probabilit associe. L'anaIyse
de risque teIIe que nous Ia dcrivons dans Ia suite du document s'inscrit
dans cette phase. EIIe vise en particuIier identifier et dcrire Ies scnarios
qui peuvent conduire une situation accidenteIIe et en estimer Ia
probabiIit ainsi qu'un ordre de grandeur de gravit. La quantification fine des
Page 12 sur 119
consquences est considre traditionnellement comme ne faisant pas partie de
l'analyse de risques. Elle fait appel des mthodes, modles et outils qui ne sont
pas dcrits dans le prsent document. De mme, dans le contexte du risque
accidentel, la dtermination de la relation entre le danger et la gravit des
dommages potentiels peut tre considre comme un pralable l'analyse de
risques (dtermination des seuils d'effet des phnomnes dangereux).
Processus de management des risques (Guide SO
CE 73)
Processus de management des risques (Fascicule de
documentation AFNOR FD X50-252)
Management du risque Management du risque
Dcision de commanditer une tude de
risques
Apprciation du risque Estimation du risque
Analyse de risques Dfinition du champ de
l'tude de risque
dentification des
sources de danger
dentification des dangers
et des lments
vulnrables
Dtermination de la
relation entre le danger et
la gravit des dommages
potentiels
(dtermination des)
Scnarios d'exposition et
estimation de l'exposition
au danger
Estimation du risque
Elabora-
tion des
critres
de
dcision
ou
d'aide
la
dcision
Dtermination du risque
estim
Evaluation du risque Evaluation du risque
Traitement du risque Dcision
Refus du risque
Optimisation du risque
Mise en ouvre des dcisions
Suivi de l'efficacit des dcisions
Commu-
nication
Transfert du risque
Prise de risque
Acceptation du risque
Communication relative au risque
Figure 1: deux reprsentations du processus de management du risque dcrits dans le guide ISO
CEI 73 et dans le fascicule de documentation AFNOR FD X50-252. Dans cette figure, les
cellules grises correspondent aux activits typiques de l'analyse de risques.
Page 13 sur 119
L'approche de l'analyse de risques telle qu'elle se prsente dans les mthodes
intgres comme ARAMS ou LOPA correspond l'ensemble de la dmarche
d'estimation du risque dcrite dans le fascicule de documentation AFNOR. Celle
que permettent les outils classiques comme l'APR, l'AMDEC ou l'HAZOP
correspond de faon plus restrictive aux tapes d'identification des dangers et des
lments vulnrables, de description des scnarios d'accident et des mesures de
matrise du risque et d'estimation de la probabilit. Dans le contexte du risque
accidentel, la dtermination de la relation entre le danger et la gravit des
dommages potentiels peut tre considre comme un pralable l'analyse de
risques accidentels (dtermination des seuils d'effet des phnomnes dangereux).
A l'issue de la phase d'apprciation (ou estimation) des risques, la phase
d'valuation consiste comparer le risque estim des critres de dcision. Cette
phase peut revtir diverses formes : comparaison des risques un niveau
d'acceptabilit du risque, hirarchisation des scnarios pour identifier les scnarios
devant faire l'objet d'un traitement en priorit.
l est important de souligner que l'analyse des risques est une tape qui intervient
en amont de l'tape nomme ici valuation (mme si ce terme est aussi souvent
employ la place d'apprciation ou estimation), qui consiste comparer le risque
estim des critres de dcision dont l'laboration fait l'objet d'un processus
spar mais qui conditionnent nanmoins le format des rsultats de l'analyse des
risques. Celle-ci s'inscrit dans un processus de dcision et rpond aux besoins
d'acteurs (commanditaire, dcideur) qu'il est essentiel de bien identifier.
2.2 DANGER, RISQUE, ALEA, VULNERABILITE, DIFFERENTES FAONS DE
CONSIDERER LE RISQUE
Les textes rglementaires qui ont suivi la parution de la loi du 30 juillet 2003 ont
mis en avant les notions d'ala et de vulnrabilit des enjeux pour qualifier le
risque technologique. l s'agit d'une volution qui amne considrer le risque
d'une faon un peu diffrente des approches traditionnelles qui considrent
uniquement la probabilit et la gravit d'un dommage. En pratique il s'agit d'une
faon diffrente d'oprer le regroupement des composantes principales qui
permettent de caractriser le risque. Ainsi, lorsque les paramtres sont agrgs, il
demeure quivalent de dire que le risque est la combinaison de la probabilit et de
la gravit ou de l'ala et de la vulnrabilit, comme l'illustre la Figure 2. En
revanche, suivant les dcisions qui doivent tre prises, il peut tre plus utile
d'adopter l'une ou l'autre des dfinitions.
Risque = Probabilit ntensit Vulnrabilit
Gravit
Ala
Figure 2 : Les composantes du risque
Page 14 sur 119
Dans les problmatiques d'amnagement autour des sites risques, il est
essentiel de connatre l'ala afin de rduire ou de supprimer la vulnrabilit par des
mesures de renforcement du bti, voire des mesures foncires, ou de l'empcher
d'augmenter par des mesures de matrise de l'urbanisation. Ces dcisions sont
cependant bien prises en considrant la probabilit et la gravit potentielle d'un
phnomne dangereux qui exposerait des lments vulnrables dont la prsence
rsulterait des dcisions de matrise de l'urbanisation.
2.3 ANALYSE DES RISQUES
L'analyse des risques vise donc tout d'abord identifier les sources de dangers et
les situations associes qui peuvent conduire des dommages sur les personnes,
l'environnement ou les biens.
Suivant les outils ou mthodes employs, la description des situations
dangereuses est plus ou moins approfondie et peut conduire l'laboration de
vritables scnarios d'accident.
L'analyse des risques permet aussi de mettre en lumire les barrires de scurit
existantes en vue de prvenir l'apparition d'une situation dangereuse (barrires de
prvention) ou d'en limiter les consquences (barrires de protection).
Conscutivement cette identification, il s'agit d'estimer les risques en vue de
hirarchiser les risques identifis au cours de l'analyse et de pouvoir comparer
ultrieurement ce niveau de risque aux critres de dcision.
L'estimation du risque implique la dtermination :
d'un niveau de probabilit que le dommage survienne,
d'un niveau de gravit de ce dommage.
l peut aussi tre exprim en termes de :
niveau de probabilit qu'un phnomne dangereux se produise,
niveau d'intensit du phnomne en question,
prsence d'enjeux ou lments vulnrables exposs,
vulnrabilit des enjeux.
L'estimation de ces grandeurs peut tre qualitative, quantitative ou semi-
quantitative, suivant le contexte, les exigences des dcideurs et les outils et
donnes disponibles.
Page 15 sur 119
Avec la loi n 2003-699 du 30 juillet 2003
4
et la rglementation qui en dcoule, la
probabilit acquiert un poids qu'elle n'avait pas jusqu'alors dans la dcision
publique. l devient encore plus crucial qu'auparavant de pouvoir l'estimer l'aide
de mthodes fiables et reconnues. Les outils d'analyse de risque prsents dans
la suite de ce document permettent un approche plus ou moins dtaille de la
probabilit. Parmi ceux-l, les arbres de dfaillance et d'vnement sont les outils
le plus adapts aux calculs probabilistes. Cependant, leur mise en oeuvre
purement quantitative se heurte encore bien souvent une absence totale de
donnes. Elle ncessite aussi de construire des arbres trs dtaills, ce qui rend
les tudes longues et coteuses. Pour palier cette difficult, l'NERS prconise le
recours une approche semi-quantitative, qualifie parfois "d'approche barrire",
qui met l'accent sur la dmonstration de la matrise des risques. Cette mthode est
brivement dcrite la fin du prsent rapport. Elle est dtaille dans le rapport
Omga 9 sur l'tude de dangers [Joly 2006]. Par ailleurs, l'estimation de la
probabilit a fait l'objet de deux rapports spcifiques rdigs dans le cadre du
programme DRA 34 [Bouissou 2006],[De Dianous 2006], auxquels nous
encourageons le lecteur se reporter.
2.4 EVALUATION DU RISQUE
Dans les diverses normes prsentes plus haut, l'valuation du risque dsigne
l'tape de comparaison du risque estim des critres de dcision face au risque.
La plupart du temps, il s'agit de dcider si le risque est acceptable ou s'il doit faire
l'objet de mesures supplmentaires de matrise. La dfinition de critres
d'acceptabilit du risque est ralise en amont ou en parallle au processus
d'analyse de risque. Elle implique des acteurs diffrents : les dcideurs, de
prfrence en concertation avec les parties intresses.
La dfinition de critres d'acceptabilit du risque ou, plus gnralement de critres
de dcision, est une tape cl dans le processus de gestion du risque dans la
mesure o elle va motiver la ncessit de considrer de nouvelles mesures de
rduction du risque et rtroactivement, influencer les faons de mener l'analyse et
l'valuation des risques.
Cette tape cruciale est bien souvent dlicate. l est entendu que ces critres sont
fonction du contexte de l'tablissement concern et des objectifs poursuivis dans
la gestion des risques.
A ce propos, la dfinition du risque tolrable donne dans le guide SO/CE
51 :1999 laisse transparatre la difficult de retenir des critres objectifs et
forfaitaires pour l'acceptation du risque :
Risque tolrable (Guide SO/CE 51 :1999)
Risque accept dans un certain contexte et fond sur les valeurs admises par la
socit.

4
Loi n 2003-699 du 30 juillet 2003 relative la prvention des risques technologiques et naturels
et la rparation des dommages, JO du 31 juillet 2003
Page 16 sur 119
Ainsi, l'acceptation du risque peut dpendre de facteurs thiques, moraux,
conomiques ou politiques. Pour ce qui concerne le domaine des risques
accidentels, la dcision d'acceptation des risques repose galement dans les
mains des autorits comptentes.
Quels que soient les critres d'acceptation retenus, il est indispensable qu'ils
soient connus et explicites pralablement toute phase d'analyse des risques.
Les critres de dcision ne font pas toujours rfrence explicitement la notion de
risque acceptable. Dans la rglementation applicable aux installations classes
5
,
par exemple, l'tude de dangers justifie que l'exploitant met en ouvre toutes les
mesures de matrise du risque internes l'tablissement, dont le cot n'est pas
disproportionn par rapport aux bnfices attendus, soit en termes de scurit
globale de l'installation, soit en termes de scurit pour les intrts viss l'article
L. 511-1 du code de l'environnement ou de cot de mesures vites pour la
collectivit (arrt du 10 mai 2000 modifi
6
). Le critre de dcision s'exprime ici en
termes de bnfices attendus des actions de matrise de risque par rapport au cot
qu'elles engendrent et ne fait pas rfrence, au moins explicitement, un risque
acceptable. l s'apparente plus la notion d'ALARP (As Low As Reasonably
Practicable) c'est dire aussi bas que raisonnablement atteignable.
L'administration est ensuite en charge d'apprcier le niveau de matrise des
risques. Les volutions rglementaires rcentes faisant suite l'adoption du la loi
n 2003-699 du 30 juillet 2003 ont permis, ce niveau, de clarifier la notion de
risque acceptable pour les installations classes. Ainsi, deux textes apportent des
lments d'information : la Circulaire du 29 septembre 2005 relative aux critres
d'apprciation de la dmarche de matrise des risques d'accidents susceptibles de
survenir dans les tablissements dits SEVESO , viss par l'arrt du 10 mai
2000 modifi
7
et le guide PPRT
8
.
La circulaire du 29 septembre 2005 mentionne au paragraphe prcdent contient
une grille qui dfinit les niveaux de probabilit et de gravit au-del desquels des
mesures de matrise du risque additionnelles doivent tre appliques pour une
matrise du risque la source.

5
Article 3 du dcret du 21 septembre 1977 pris pour l'application de la loi n 76-663 du 19 juillet
1976 relative aux nstallations Classes pour la Protection de l'Environnement modifi : " 5 L'tude
de dangers prvue l'article L. 512-1 du code de l'environnement. Elle justifie que le projet permet
d'atteindre, dans des conditions conomiquement acceptables, un niveau de risque aussi bas que
possible, compte tenu de l'tat des connaissances et des pratiques et de la vulnrabilit de
l'environnement de l'installation. "
6
Arrt du 10 mai 2000 relatif la prvention des accidents majeurs impliquant des substances ou
des prparations dangereuses prsentes dans certaines catgories d'installations classes pour la
protection de l'environnement soumises autorisation, JO du 20 juin 2000
7
BOMEDD n 05/21 du 15 novembre 2005
8
PLAN DE PREVENTON DES RSQUES TECHNOLOGQUES, Guide Mthodologique, MEDD-
DPPR-SE, MTETM-DGUHC, Dcembre 2005, accessible sur
http://www.ecologie.gouv.fr/MG/pdf/Guide_PPRT_16-12-2005-2.pdf
Page 17 sur 119
Le guide PPRT prcise les niveaux d'ala pour lesquels des mesures de matrise
de l'urbanisation doivent tre dcides, ventuellement l'issue d'un processus de
concertation, pour rduire encore plus le risque li l'exposition des enjeux
prsents proximit du site certains phnomnes dangereux. Le guide prcise
aussi les conditions suivant lesquelles certains phnomnes peuvent ne pas tre
pris en compte ce stade du fait de leur faible probabilit intrinsque et de la
fiabilit des moyens de matrise des risques la source additionnels mis en ouvre.
2.5 REDUCTION DU RISQUE
La rduction du risque (ou matrise du risque) dsigne l'ensemble des actions ou
dispositions entreprises en vue de diminuer la probabilit ou la gravit des
dommages associs un risque particulier.
De telles mesures doivent tre envisages ds lors que le risque considr est
jug inacceptable.
De manire trs gnrale, les mesures de matrise du risque se rpartissent en
9
:
mesures (ou barrires) de prvention : mesures visant viter ou limiter la
probabilit d'un vnement indsirable, en amont du phnomne dangereux.
mesures (ou barrires) de limitation : mesures visant limiter l'intensit des
effets d'un phnomne dangereux.
mesures (ou barrires) de protection : mesure visant limiter les consquences
sur les cibles potentielles par diminution de la vulnrabilit.
Des mesures de rduction du risque doivent tre envisages et mises en ouvre
tant que le risque est jug inacceptable.
Les mesures de rduction du risque consistent souvent mettre en place des
barrires de scurit, dispositifs techniques ou organisationnels qui assurent la
matrise du risque. La rduction du risque effectivement apporte par les barrires
de scurit dpend de leur efficacit, de leur temps de rponse et de leur fiabilit
caractrise par un niveau de confiance. L'ensemble de ces critres est dcrit
dans le rapport Omga 10 relatif l'valuation des performances des barrires
techniques de scurit accessible sur le site nternet de l'NERS. Ce sont ces
critres qui permettent d'estimer in fine la probabilit d'un scnario dans le cadre
de l'approche barrire mentionne plus haut. L'NERS est en train de formaliser
dans un nouveau rapport Omga l'application de ces critres aux barrires
humaines de scurit (interventions humaines destines rduire le risque
d'accident ou les consquences d'un accident). Ce document sera prochainement
disponible sur le site nternet de l'NERS.

9
Glossaire technique des risques technologiques annex la Circulaire n DPPR/SE2/MM-05-
0316 du 7 octobre 2005 relative aux nstallations classes
Page 19 sur 119
3 DEMARCHE POUR L'ANALYSE DES RISQUES ASSOCIES A
DES INSTALLATIONS INDUSTRIELLES
Les paragraphes suivants prsentent la dmarche adopte pour l'analyse des
risques associs l'exploitation d'installations industrielles. Cette dmarche se
dcompose gnralement en plusieurs tapes :
Dfinition du systme tudier et des objectifs atteindre.
Cette tape prliminaire permet de dfinir clairement le cadre de l'analyse des
risques.
Recueil des informations indispensables l'analyse des risques.
Cette seconde tape vise collecter l'ensemble des informations pertinentes pour
mener le travail d'analyse de faon efficace. Outre la description fonctionnelle de
l'installation tudier et de son environnement, il est indispensable d'avoir
clairement identifi :
- les dangers associs aux installations et aux substances qu'elles
contiennent, transforment ou produisent,
- les risques d'agressions externes sur l'installation tudie,
- l'analyse des accidents survenus sur des installations similaires,
- la vulnrabilit de l'environnement.
Dfinition de la dmarche adopter
Dans cette tape, il est notamment question de choisir un ou plusieurs outils ou
mthodes pour mener l'analyse des risques et de retenir, si ncessaire, des
chelles de cotation des risques et une grille de criticit.
Mise en ouvre de l'analyse de risques, de prfrence dans le cadre d'un
groupe de travail (en respectant cependant le principe de proportionnalit
10
).
- Dans le cas de l'analyse de risques d'accident majeurs, le fait de raliser
cette valuation en groupe de travail permet de rpondre aux objectifs
suivants :
- L'analyse des risques doit tenir compte des spcificits de chaque
tablissement en matire d'environnement, d'exploitation ou de stratgie de
scurit. Ces renseignements sont disponibles auprs des personnes
travaillant au quotidien sur les installations tudies ou ayant une
connaissance approfondie des installations (cas des projets).

10
Suivant ce principe, par exemple, "Le contenu de l'tude de dangers doit tre en relation avec
l'importance des risques engendrs par l'installation et compte tenu de la vulnrabilit des intrts
viss par les articles L.211.1 et L.511.11 du Code de l'Environnement (Art.3 - 5 du dcret n77-
1133 du 21 septembre 1977 modifi)
Page 20 sur 119
- Les accidents majeurs sont gnralement des sinistres rares rsultant
d'enchanements et de combinaisons d'vnements parfois difficiles
prdire. Une rflexion mene en commun par plusieurs personnes de
sensibilits et comptences diffrentes favorise un examen plus riche des
circonstances pouvant conduire un accident majeur.
- L'analyse des risques en groupe de travail est un outil participant
l'appropriation de l'tude de dangers par l'exploitant, dans le cas o il ne la
ralise pas lui-mme, et la communication entre certains services.
3.1 DEFINITION DU SYSTEME ET DES OBJECTIFS A ATTEINDRE
3.1.1 DEFINITION DU SYSTEME
L'analyse des risques est un travail qui peut s'avrer complexe et mobiliser des
ressources importantes. Ds lors, il est indispensable d'identifier clairement le
systme tudier et de dterminer sans ambiguts les limites de l'tude.
l peut, par exemple, s'agir d'tudier les risques associs une nouvelle installation
devant tre implante, d'identifier les risques associs la modification d'un
procd existant ou de passer en revue les risques l'chelle d'un site industriel
complet.
Cette dfinition permet notamment de limiter la description du systme aux
informations ncessaires et suffisantes au champ de l'tude.
3.1.2 DEFINITION DES OBJECTIFS A ATTEINDRE
La dfinition des objectifs de l'analyse des risques est une tape essentielle qui
permet notamment de dfinir les critres d'acceptabilit des risques.
l peut par exemple tre ncessaire de mener une analyse des risques dans l'un
des buts particuliers suivants :
analyser les risques d'accidents de manire gnrale et les vnements
pouvant nuire la bonne marche du procd (pannes, incidents.),
analyser plus spcifiquement les risques aux postes de travail, raliser une
tude ATEX (Code du travail),
analyser les risques d'accidents majeurs (cas de l'tude des dangers).
Selon les objectifs poursuivis, la dmarche et les outils utiliss pourront tre
significativement diffrents.
Page 21 sur 119
3.2 RECUEIL DES INFORMATIONS INDISPENSABLES A L'ANALYSE DES RISQUES
Le recueil des informations ncessaires l'analyse des risques est probablement
une des phases les plus longues du processus mais galement une des plus
importantes.
Avant de mettre en ouvre la dmarche d'analyse des risques, il est gnralement
ncessaire de respecter les tapes suivantes :
description fonctionnelle et technique du systme,
description de son environnement,
identification des potentiels de dangers internes et externes,
analyse des incidents/accidents passs.
3.2.1 DESCRIPTION FONCTIONNELLE ET TECHNIQUE DU SYSTEME
La description fonctionnelle vise notamment collecter l'ensemble des
informations indispensables pour mener l'analyse.
De manire trs gnrale, il s'agit de traiter les points suivants :
identifier les fonctions du systme tudi,
caractriser la structure du systme,
dfinir les conditions de fonctionnement du systme,
dcrire les conditions d'exploitation du systme.
3.2.1.1 FONCTONS DU SYSTEME
Des questions classiques du type A quoi sert. ? permettent d'identifier
simplement les fonctions du systme tudi.
L'identification de ces fonctions permet de caractriser les dfaillances possibles
du systme. La dfaillance d'un systme peut tre dfinie comme la cessation de
l'aptitude d'une entit accomplir une fonction requise.
Notons ici que, selon le systme tudi (units de process, stockages.), une
dfaillance du systme (perte de la fonction) n'induit pas automatiquement la
possibilit d'un phnomne dangereux (a fortiori d'un accident majeur).
L'identification des fonctions globales du systme s'avre utile pour dcrire par la
suite la structure du systme et les fonctions de chacun de ses composants.
3.2.1.2 STRUCTURE DU SYSTEME
La dfinition de la structure du systme vise dcrire les diffrents lments qui le
composent et plus prcisment :
leurs fonctions, performances et gammes de fonctionnement,
leurs connexions et interactions,
Page 22 sur 119
leurs localisations respectives.
Dans le mme temps, il faut lister les substances prsentes ou susceptibles d'tre
prsentes dans le systme tudi ainsi que les ractions chimiques mises en
ouvre. Cette partie sera complte par l'identification des dangers (voir 3.2.3.1).
Cette tape permet galement de runir les plans et schmas des installations et
de s'assurer de leur mise jour le cas chant.
3.2.1.3 CONDTONS DE FONCTONNEMENT DU SYSTEME
Cette description vise caractriser les tats de fonctionnement du systme ainsi
que de ses composants, en particulier les tats suivants : arrt, fonctionnement
normal, dmarrage aprs un arrt court ou prolong.
l est ainsi primordial de dcrire le mode de gestion de transition du systme ou de
ses composants depuis un tat vers un autre. De faon gnrale, il faut identifier
les procdures de conduite du systme, les consignes spcifiques en cas
d'incident, .
Cette tape doit galement permettre de dfinir les conditions dans lesquelles se
trouvent les substances mises en jeu pour ces diffrents tats (phase,
temprature, pression.).
3.2.1.4 CONDTONS D'EXPLOTATON
Les conditions d'exploitation regroupent les lments qui concernent les conditions
de surveillance du systme (alarmes, inspections, vrification, tests priodiques)
ainsi que les conditions d'intervention (maintenance prventive, corrective.).
3.2.2 ENVIRONNEMENT DU SYSTEME
La description de l'environnement du systme est importante double titre :
l'environnement peut tre une source d'agressions pour le systme,
l'environnement constitue gnralement un ensemble d'lments vulnrables
pouvant tre affects en cas d'accident.
3.2.2.1 ELEMENTS VULNERABLES
11
PRESENTS DANS L'ENVRONNEMENT
Afin d'apprcier la gravit d'un accident ou incident potentiel, il est indispensable
de bien identifier les lments de l'environnement qui pourraient tre affects. En
rgle gnrale, il convient de reprer les lments suivants :

11
Le terme cible a longtemps t utilis pour dsigner les lments potentiellement atteints par
l'accident. Dans le glossaire annex la circulaire du 7 octobre 2005, le Ministre de l'Ecologie et
du Dveloppement Durable prconise maintenant l'emploi des termes Iment vuInrabIe ou
enjeu.
Page 23 sur 119
les personnes (personnel du site concern, populations habitant ou travaillant
autour de sites industriels),
les installations et quipements externes au champ de l'tude et pouvant tre
l'origine d'accidents (quipements dangereux),
certains quipements indispensables pour maintenir le niveau de scurit des
installations (quipements de scurit critiques comme une salle de contrle,
un local pomperie incendie, un rseau torche.),
les biens et les structures dans l'environnement des installations,
l'environnement naturel (nappes phratiques, cours d'eau, sols.),
d'autres parties des installations, en fonction des objectifs particuliers de
l'analyse des risques.
3.2.2.2 SOURCES D'AGRESSONS EXTERNES
Les sources d'agressions externes peuvent, quant elles, tre multiples. l est
difficile d'en donner un inventaire exhaustif. Nanmoins, voici quelques-unes des
sources d'agressions qu'il convient gnralement de reprer :
Les sources d'agressions sur le site tudi :
- autres installations et quipements dangereux,
- zones de circulation, de travaux.
- malveillance,
- pertes d'utilit.
Les sources d'agressions naturelles :
- conditions mtorologiques extrmes (gel, vent, neige, brouillard.),
- mouvements de terrain et sismes,
- foudre,
- inondations.
Les sources d'agressions lies l'activit humaine autour du site tudi :
- prsence d'tablissements industriels proches,
- transport de matires dangereuses sur des voies de communication
proches, et canalisations de transport,
- prsence d'aroports, arodromes,
- malveillance.
Elments exceptionnels (barrages, oliennes.).
Page 24 sur 119
3.2.3 IDENTIFICATION DES POTENTIELS DE DANGERS
3.2.3.1 POTENTELS DE DANGERS NTERNES
La dfinition des potentiels de dangers internes doit tre ralise de la faon la
plus exhaustive possible en tudiant entre autres :
les dangers lis aux produits (ou, plus exactement, les substances et
prparations). l s'agit alors de qualifier les dangers (inflammabilit, toxicit..)
prsents par les produits prsents ou susceptibles d'tre prsents sur le site
en quantit suffisante pour tre l'origine d'un accident majeur. Dans le cadre
de cet examen, il est galement indispensable d'tudier les incompatibilits
entre produits.
les conditions opratoires. l s'agit d'identifier les conditions opratoires pouvant
prsenter un danger intrinsque ou augmenter la gravit d'un accident
potentiel. Par exemple, il convient de reprer les installations fonctionnant des
pressions leves ou encore les quipements intgrant des pices tournant
avec une nergie cintique importante (compresseur par exemple).
les ractions chimiques. Pour les procds mettant en jeu des ractions
physico-chimiques, une classification des ractions permet de mettre en
lumire les ractions prsentant des risques d'emballement ou des ractions
incontrles dangereuses. l est alors important de spcifier les conditions
(temprature, pression, mlange.) partir desquelles les ractions chimiques
peuvent devenir dangereuses.
12
L'analyse des risques lis aux ractions
chimiques n'est pas spcifiquement traite dans le prsent document, mme si
elle peut tre partiellement aborde avec une mthode comme l'Hazop. En
revanche le lecteur peut se rfrer plusieurs rapports NERS disponibles sur
le sujet dont [Demissy 2005].
3.2.3.2 POTENTELS DE DANGERS EXTERNES
L'identification des potentiels de dangers externes doit permettre de caractriser
les risques d'agressions externes sur le systme.
Si parfois un examen rapide de ces potentiels de dangers externes apporte des
lments de rponse satisfaisants, dans d'autres cas, il est ncessaire de mettre
en ouvre des outils spcifiques. Cela peut notamment tre le cas pour :
les risques d'agressions sismiques,
les risques d'inondation,
les risques lis la foudre (cf. Arrt du 28 janvier 1993 concernant la
protection contre la foudre de certaines installations classes)
13
,
les synergies d'accidents ou effets dominos.

12
On peut utiliser cet effet la fiche raction donne en annexe du cahier technique de l'UC n13
[UC 1998].
13
JO du 26 fvrier 1993
Page 25 sur 119
Les mthodes permettant d'examiner ces risques ne sont pas traites dans ce
document mais font ou feront l'objet de documents spcifiques. Pour ce qui
concerne les risques lis la foudre, le lecteur pourra se reporter au rapport de
l'NERS " -3 : Le risque foudre et les nstallations Classes pour la Protection de
l'Environnement " [Gruet 2001]. l existe de mme un "Guide pour la prise en
compte du risque inondation" accessible sur le site de l'NERS [Valle 2004].
3.2.4 ANALYSE DES INCIDENTS/ACCIDENTS PASSES
L'analyse des accidents passs joue un rle fondamental dans l'analyse des
risques de nombreux titres :
Elle permet d'identifier a priori les incidents ou accidents susceptibles de se
produire partir :
- des accidents ou incidents s'tant dj produits sur le site tudi,
- des accidents survenus sur des installations comparables celles tudies.
Elle met en lumire les causes les plus frquentes d'accidents et donne des
renseignements prcieux concernant les performances de certaines barrires
de scurit.
Elle constitue une base de travail pertinente pour l'analyse des risques en
groupe de travail qui devra identifier a priori des scnarios d'accidents.
Cette analyse porte la fois sur les incidents et accidents survenus sur les
installations tudies ou sur des installations similaires.
3.3 DEFINITION DE LA DEMARCHE A METTRE EN OEUVRE
La dfinition prcise de la dmarche d'analyse des risques mettre en ouvre
demande notamment de choisir le ou les outils les mieux adapts, de dfinir le
groupe de travail qui participera la rflexion et, le cas chant, de fixer des
chelles de cotation des risques et une grille de criticit.
3.3.1 CHOIX DES METHODES D'ANALYSE DES RISQUES
l existe un grand nombre d'outils ou mthodes
14
ddis l'identification des
dangers et des risques associs un procd ou une installation.
En 1990, M.Monteau et M. Favaro en avaient identifi une quinzaine
particulirement adapts l'analyse des risques professionnels. Tixier et al. en ont
recens 67 en 2002 en tendant le champ de l'analyse de risques diffrentes
situations et types de dangers.

14
Les termes mthode et outil sont utilis dans ce document avec un sens similaire en considrant
que les mthodes d'analyse de risques constituent une catgorie d'outils disposition de l'expert ou
de l'industriel pour analyser les risques, au mme titre que des modles ou des rfrentiels. l existe
par ailleurs des outils informatiques qui permettent ou facilitent la mise en ouvre des mthodes
dcrites dans ce document. l ne sera pas ici question de ce genre d'outils.
Page 26 sur 119
Quelques-unes des mthodes les plus frquemment utilises sont :
l'Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit
(AMDEC),
l'Analyse des risques sur schmas type HAZOP,
la mthode What-if ? qui est une adaptation de la mthode HAZOP,
l'Analyse par arbre des dfaillances,
l'Analyse par arbre d'vnements,
l'Analyse par Noud Papillon.
Ces mthodes prises individuellement ou de faon combine permettent le plus
souvent de rpondre aux objectifs d'une analyse des risques portant sur un
procd ou une installation.
D'une manire gnrale, le choix de retenir une mthode particulire d'analyse des
risques s'effectue partir de son domaine d'application et de ses caractristiques.
Le Tableau 1 prsent au 3.3.1.3 peut tre utilis cette fin. Au chapitre 1, le
Tableau 16 apporte aussi des lments de comparaison des mthodes simples et
des mthodes intgres d'valuation des risques.
3.3.1.1 APPROCHE DEDUCTVE / NDUCTVE
l existe deux grands types de dmarches en vue d'analyser les risques : la
dmarche inductive et la dmarche dductive.
Dans une approche inductive, une dfaillance ou une combinaison de dfaillances
est l'origine de l'analyse. l s'agit alors d'identifier les consquences de cette ou
ces dfaillances sur le systme ou son environnement. On dit gnralement que
l'on part des causes pour identifier Ies effets. Les principales mthodes
inductives utilises dans le domaine des risques accidentels sont : l'Analyse
Prliminaire des Risques, l'Analyse des Modes de Dfaillance, de leurs Effets et de
leurs Criticit (AMDEC), l'HAZOP, l'analyse par arbre d'vnements et What-f.
A l'inverse, dans une approche dductive, le systme est suppos dfaillant et
l'analyse porte sur l'identification des causes susceptibles de conduire cet tat.
On part aIors des effets pour remonter aux causes. L'analyse par arbre des
dfaillances constitue une des principales mthodes dductives.
Page 27 sur 119
3.3.1.2 DEFALLANCES NDEPENDANTES OU COMBNEES
La plupart des mthodes inductives (APR, AMDEC, HAZOP.) prsentes dans
ce document considre gnralement des dfaillances simples et indpendantes
d'un lment ou composant du systme.
l s'agit d'une hypothse qui permet de simplifier une dmarche souvent complexe
d'identification des sources de dangers potentielles. Elle correspond une image
biaise de la ralit dans la mesure o l'analyse d'accidents met en lumire que
les sinistres surviennent gnralement suite aux dfaillances combines de
plusieurs composants ou quipements.
Notons toutefois que ces mthodes peuvent tre adaptes en vue de prendre en
compte des combinaisons de dfaillances et d'identifier des modes communs de
dfaillanc
15
.
L'utilisation de mthodes arborescentes (arbre de dfaillances ou d'vnements)
permet de prendre en compte la succession ou la simultanit de dfaillances de
plusieurs quipements ou composants, conduisant in fine un accident potentiel.
De telles approches peuvent s'avrer particulirement lourdes mettre en place
pour des systmes complexes et sont gnralement rserves l'tude de points
critiques mis en lumire par une premire analyse plus simple.
Notons au passage que les mthodes s'appuyant sur l'utilisation d'arbres (de
dfaillances et/ou d'vnements) permettent une valuation quantitative de la
probabilit des risques identifis condition que les donnes de base sur la
frquence des vnements initiateurs ou les taux de dfaillance des quipements
soient disponibles.
3.3.1.3 DOMANES D'APPLCATON
Les outils d'analyse des risques doivent tre choisis en fonction des
caractristiques des installations tudier et du niveau de dtail recherch.
Ainsi, il est possible de diffrencier les mthodes telles que l'APR rserve une
analyse en surface des risques ou des installations peu complexes et les
mthodes ddies une analyse plus dtaille et gnralement centre sur des
sous-systmes bien dfinis, comme l'AMDEC, par exemple.
Bien entendu, le domaine d'application et le niveau de dtail sont galement
fonction des comptences et de l'exprience des personnes qui mneront ce
travail. En d'autres termes, certains outils peuvent tre adapts afin d'tre utiliss
dans un domaine d'application sensiblement diffrent de leur domaine d'origine.
Ces diffrentes informations sont synthtises dans le Tableau 1, pour les
principales mthodes d'analyse des risques dans le domaine des risques
accidentels.

15
Un mode commun de dfaillance dsigne un vnement qui, en raison de dpendances,
provoque simultanment les dfaillances de plusieurs composants du systme.
Page 28 sur 119
Mthodes Approche Dfaillances
envisages
Niveau de
dtail
Domaines d'application
privilgis
APR nductive ndpendantes + nstallations les moins
complexes
Etape prliminaire d'analyse
HAZOP nductive ndpendantes ++ Systmes thermo-
hydrauliques
What-if nductive ndpendantes ++ Systmes thermo-
hydrauliques
AMDEC nductive ndpendantes ++ Sous-ensembles techniques
bien dlimits
Arbre
d'vnements
nductive Combines +++ Dfaillances pralablement
identifies
Arbre des
dfaillances
Dductive Combines +++ Evnements redouts ou
indsirables pralablement
identifis
Noud papillon nductive
Dductive
Combines +++ Scnarios d'accidents jugs
les plus critiques
Tableau 1 : Critres de choix pour les principales mthodes d'analyse des risques
En dfinitive, iI n'y a pas de bonne ou mauvaise mthode d'anaIyse
des risques. Ces mthodes ne sont que des aides guidant la rflexion et il
convient donc de retenir celles qui sont les mieux adaptes aux cas traiter.
D'ailleurs, ces mthodes peuvent tre tout fait complmentaires. En effet, une
phase prliminaire d'analyse des risques mene grce une APR, par exemple,
permet d'identifier les parties d'une installation pour lesquelles l'utilisation de
mthodes plus dtailles comme l'AMDEC ou l'HAZOP s'avre pertinente. De la
mme faon, la mise en ouvre d'une AMDEC par exemple est souvent
particulirement utile en vue de construire un arbre des dfaillances.
Enfin, signalons que, pour des installations particulirement simples, une
dmarche systmatique d'identification des risques peut tout fait convenir, mme
si elle n'est pas rfrence de manire formelle dans la littrature. Pour ces
systmes simples, l'usage de listes de contrle (check-lists) permet en gnral de
rpondre de faon satisfaisante aux objectifs de l'analyse des risques.
3.3.2 CONSTITUTION D'UN GROUPE DE TRAVAIL
De manire gnrale, les mthodes d'analyse des risques sont destines tre
mises en ouvre dans le cadre d'un groupe de travail. Si leur utilisation par une
personne seule n'est pas impossible, les rsultats obtenus risquent nanmoins de
perdre de leur pertinence. Leur intrt rside en majeure partie dans la
confrontation d'avis et de remarques de personnes ayant des expriences et des
connaissances complmentaires. Cette richesse de points de vue permet
gnralement de tendre vers un examen le plus exhaustif possible des situations
de dangers.
Au sein de l'quipe, il convient de distinguer les personnes assurant un rle
d'encadrement et d'orientation (animateur, secrtaire.) des autres membres du
groupe de travail apportant une contribution uniquement technique.
Page 29 sur 119
3.3.2.1 CONTRBUTON TECHNQUE
L'quipe doit tre pIuridiscipIinaire. Pour cela, elle doit tre compose des
personnes travaillant au quotidien sur les installations tudies ou ayant une
connaissance approfondie des installations (cas des projets).
La composition habituelle des participants contribuant sur les aspects techniques
peut tre, titre d'exemple, la suivante :
responsable du projet,
personne charge de la scurit,
personne spcialiste du procd, ingnieur procd,
personne charge de la maintenance,
spcialiste de l'automation et des systmes, instrumentistes, automaticiens.
personne travaillant en production, exploitant.
La composition du groupe de travail est souvent fonction de l'installation tudie. A
ce titre, il peut tre fait appel des personnes travaillant dans le domaine
lectrique ou le gnie civil. Nanmoins, il faut garder l'esprit qu'une quipe ne
doit pas comporter plus de sept ou huit personnes au total pour tre efficace.
3.3.2.2 ENCADREMENT
Un animateur intervient, lors des sessions de travail, la fois dans le rle
d'animation et de garant de la mthode. l est gnralement accompagn d'une
personne, charge du rle de secrtaire et assurant la prise de notes.
L'animateur a un rle cl durant l'analyse. l guide l'quipe au travers de questions
systmatiques durant les sessions. l doit veiller faire participer tout le monde et
faire en sorte que l'ambiance soit toujours sereine et la productivit maximale. l
doit avoir le souci permanent d'obtenir un consensus et viter d'tre trop directif.
Enfin, certains membres du groupe de travail peuvent se sentir mal l'aise en
considrant que leurs comptences ou savoir-faire pourraient tre remis en cause
lors des discussions. De ce fait, il est important que l'animateur n'hsite pas
mettre en avant les aspects positifs dj existants (choix d'quipements, mise en
place de plans de maintenance, installations de dispositifs de scurit,...).
En pratique, le rle d'animateur ou de secrtaire ne se limite gnralement pas
qu' animer le groupe de travail. Grce leur connaissance des situations
accidentelles (causes, consquences,.) et des moyens d'y faire face, ces
personnes sont souvent mme de participer efficacement la rflexion. Ainsi, ils
peuvent apporter des complments au groupe de travail compos de personnes
connaissant bien le systme tudi mais n'tant pas forcment familires des
situations accidentelles (phnomnes physiques, analyse des accidents
passs.).
Page 30 sur 119
La tche finale de l'animateur et du secrtaire est de raliser le compte-rendu des
sances en synthtisant le travail ralis par le groupe.
Les tapes de l'analyse des risques dcrites prcdemment ont conduit
l'identification des risques associs un site complet, une installation, un
quipement particulier, ainsi qu' celle des barrires (quipements ou activits
humaines) permettant de matriser ces risques.
Cette tape essentiellement qualitative est riche d'enseignements puisqu'elle
permet d'aborder de manire systmatique les vnements pouvant conduire un
accident majeur, et en consquence, d'identifier les mesures et quipements
prvus ou envisager en vue de matriser les risques associs.
Dans le domaine des risques accidentels, il est souvent indispensable de
complter cette dmarche par une approche quantitative visant estimer le niveau
de risque des situations mises en lumire.
3.3.3 ECHELLES DE COTATION DES RISQUES
Dans ces cas, il faut dfinir en amont de l'analyse des chelles de cotation des
risques en termes de probabilit et de gravit ainsi qu'une grille de criticit
explicitant les critres d'acceptabilit sur lesquels le groupe de travail se fondera
pour proposer des mesures de matrise supplmentaires.
Notons que l'NERS prconise cette estimation semi-quantitative dans le cadre de
l'analyse des risques d'accidents majeurs ralise dans l'tude des dangers [Joly
2006].
3.3.3.1 ECHELLES DE PROBABLTE, D'NTENSTE ET DE GRAVTE
Les chelles de probabilit, de gravit et/ou d'intensit(cf.2.2), utilises pour une
valuation quantitative simplifie des risques doivent tre adaptes l'installation
tudie. A cet gard, les exploitants possdant la meilleure connaissance de leurs
installations, il est lgitime de retenir les chelles de cotation qu'ils proposent. l
faut nanmoins s'assurer que ces dernires sont bien adaptes la problmatique
traiter (tude des dangers, risques au poste de travail.). En particulier, lorsque
les rsultats de l'analyse de risque sont destins tre utiliss dans un cadre
rglementaire, comme c'est le cas pour l'tude de dangers, il est essentiel de
s'assurer de la compatibilit des chelles utilises avec celles dfinies dans les
textes. La dfinition des chelles de cotation doit tre accepte par le groupe de
travail avant le dbut de l'analyse, en correspondance avec les objectifs
atteindre.
Les tableaux suivants prsentent des exemples d'chelles de cotation en
probabilit, intensit et gravit que l'NERS peut utiliser pour l'analyse des risques
d'accidents majeurs dans le cadre de l'tude des dangers.
Page 31 sur 119
Tableau 2 : Exemple d'chelle de cotation en probabilit
Figure 3 : Exemple d'chelle d'intensit utilise pour les tudes de dangers
L'chelle de gravit prsente dans le Tableau 3 en page suivante est issue de
l'arrt du 29 septembre 2005 relatif l'valuation et la prise en compte de la
probabilit d'occurrence, de la cintique, de l'intensit des effets et de la gravit
des consquences des accidents potentiels dans les tudes de dangers des
installations classes soumises autorisation. Elle se rfre aux seuils d'effet qui
constituent des valeurs de rfrence pour l'estimation de l'intensit.
Les seuils des effets irrversibles (SE) dlimitent la zone des dangers
significatifs pour la vie humaine .
Les seuils des effets ltaux (SEL) correspondant une CL 1 % dlimitent la
zone des dangers graves pour la vie humaine .
Les seuils des effets ltaux significatifs (SELS) correspondant une CL 5 %
dlimitent la zone des dangers trs graves pour la vie humaine .

4 Forte intensit (ex:seuil d'effet ltal) du phnomne
l'extrieur du site
3 Phnomne peut sortir du site avec intensit limite l'extrieur
2 Effets dominos possibles, ou atteinte des quipements
de scurit l'intrieur du site
1 Pas d'atteinte des quipements de scurit l'intrieur du site
S
U
R

S
I
T
E
H
O
R
S

S
I
T
E
Intensit
"Evnement
extrment
peu probable"
"Evnement
trs improbable"
"Evnemen
timprobable"
"Evnement
probable"
"Evnemen
t courant"
6 5 4 3 2 1 0
qualitative :
semi-quantitative
: CLASSE
DE PROBABILITE
(de 0 6)
10
-5
10
-4
10
-3
10
-2
10
-1
1
10
-6
Page 32 sur 119
Niveau de gravit des
consquences
Zone dlimite par le seuil
des effets ltaux
significatifs
des effets ltaux
des effets irrversibles sur
la vie humaine
Dsastreux Plus de 10 personnes
exposes
(1)
Plus de 100 personnes
exposes
Plus de 1000 personnes
exposes
Catastrophique Moins de 10 personnes
exposes
Entre 10 et 100
personnes exposes.
Entre 100 et 1000
personnes exposes.
mportant Au plus 1 personne
expose
Entre 1 et 10 personnes
exposes.
Entre 10 et 100
personnes exposes.
Srieux Aucune personne
expose
Au plus 1 personne
expose
Moins de 10 personnes
exposes
Modr Pas de zone de ltalit hors de l'tablissement Prsence humaine
expose des effets
irrversibles infrieure
une personne
(1)
Personnes exposes en tenant compte le cas chant des mesures constructives visant protger les
personnes contre certains effets et la possibilit de mise l'abri des personnes en cas d'occurrence d'un
phnomne dangereux si la cintique de ce dernier et de la propagation de ses effets le permettent
Tableau 3 : Echelle de gravit dfinie par l'arrt du 29 septembre 2005
16
L'chelle de gravit prsente en Tableau 3 ne considre que les dommages
causs aux personnes l'extrieur de l'tablissement. Suivant le contexte, il est
pertinent de considrer des chelles du mme type pour les dommages causs
l'environnement ou aux travailleurs de l'tablissement.
3.3.3.2 GRLLE DE CRTCTE
La grille de criticit permet au groupe de travail de dfinir les couples (Probabilit ;
Gravit) ou (Probabilit; ntensit) correspondant des risques jugs
inacceptables ou devant faire l'objet d'action de matrise des risques de faon
prioritaire. l faut noter qu'il n'est pas ncessairement dans le mandat du groupe de
travail de statuer sur l'acceptabilit d'un risque et de se prononcer sur la ncessit
de mettre en place des mesures de scurit supplmentaire. l peut tre amen
positionner les scnario dans une grille ne contenant aucune information sur le
niveau d'acceptabilit ou proposer des mesures de rduction du risque qui ne
seront pas retenues en application par exemple du critre ALARP du fait de leur
cot excessif au regard du bnfice attendu. Dans le contexte de l'tude de
dangers, c'est in fine l'administration qui se prononce sur la ncessit de mettre en
place des mesures supplmentaires.
Le Tableau 4 prsente un exemple de grille de criticit gnrique classique. Les
chelles d'intensit et de probabilit utilises sont celles prsentes en Tableau 2
et Figure 3.

16
Arrt du 29 septembre 2005 relatif l'valuation et la prise en compte de la probabilit
d'occurrence, de la cintique, de l'intensit des effets et de la gravit des consquences des
accidents potentiels dans les tudes de dangers des installations classes soumises autorisation,
JO n 234 du 7 octobre 2005
Page 33 sur 119
Dans cette grille, le domaine gris fonc dsigne les couples (intensit ; probabilit)
des scnarios d'accidents qui sont considrs comme inacceptables.
L'objectif final de l'analyse des risques consiste ici dmontrer qu'aucun scnario
d'accident ne se trouve dans cette zone grce aux barrires de scurit mises en
place ou proposes au cours de l'tude.
Le domaine gris clair reprsente les risques jugs critiques pour lesquels les
mesures de scurit mises en place ont t juges suffisantes en regard des
risques. Nanmoins, compte tenu de l'intensit de ces accidents potentiels, un
niveau de matrise optimal doit tre maintenu pour assurer les performances des
barrires de scurit mises en place.
Dans le cadre de la matrise des accidents majeurs, cela passe notamment par
des actions humaines et l'identification d'lments mportants Pour la Scurit
(PS).
Niveau
d'intensit
4
3
2
1
6 5 4 3 Niveau de
probabilit
Risques jugs inacceptables
Risques critiques
Tableau 4 : Exemple de grille de criticit
Page 34 sur 119
3.4 MISE EN DUVRE DE L'ANALYSE DES RISQUES EN GROUPE DE TRAVAIL
3.4.1 MISE EN CONDITION DU GROUPE DE TRAVAIL
Les personnes composant le groupe de travail ont t retenues pour leurs
comptences (connaissances et exprience) dans des domaines techniques
spcifiques. Elles ne sont pas obligatoirement familiarises avec l'usage d'outils
d'analyse des risques.
En consquence, il est indispensable, avant d'entamer toute rflexion de :
rappeler les objectifs de la runion de travail,
dcrire prcisment la dmarche et les outils d'analyse qui ont t retenus,
prsenter, le cas chant, les chelles de cotation des risques et la grille de
criticit qui pourront tre utilises en vue d'estimer les risques.
Ces tches incombent l'animateur qui veillera obtenir l'accord du groupe de
travail avant d'entamer l'analyse.
De plus, il est souhaitable de rappeler les principales caractristiques du systme
tudi (description fonctionnelle, substances et produits, environnement.),
d'examiner rapidement les plans qui serviront de base l'analyse et de raliser
une nouvelle visite des installations lorsqu'il ne s'agit pas d'un projet de
construction nouvelle.
Par ailleurs, une synthse des accidents survenus sur des installations similaires
est prsente au groupe de travail. Ce dernier point permet une premire
estimation des risques et de montrer, le cas chant, que des installations
semblables ont effectivement pu tre l'objet d'accidents plus ou moins graves.
3.4.2 MISE EN OEUVRE
L'analyse des risques en groupe de travail s'apparente un travail de remue-
mninges ( brainstorming ). l s'agit d'envisager de la faon la plus exhaustive
l'ensemble des risques gnrs en s'appuyant sur des mthodes systmatiques
d'analyse.
Lors de l'analyse des risques en groupe, quel que soit l'outil utilis, il s'agit
d'identifier une drive ou dfaillance de dpart, d'en identifier l'ensemble des
causes et enfin, d'en caractriser l'ensemble des consquences ( savoir les effets
sur les lments vulnrables). Pour chaque cause et consquence, le groupe de
travail doit ensuite identifier l'ensemble des barrires de scurit existantes.
Sur la base de cette identification, le groupe de travail estime le risque en termes
de probabilit et gravit de faon quantitative ou semi-quantitative, voire
qualitative. l peut ensuite valuer si les risques sont matriss ou non. Pour cela, il
peut s'appuyer sur une grille de criticit qu'il aura pralablement approuve ou qui
lui aura t fournie par le dcideur.
Si les risques sont jugs insuffisamment matriss, le groupe de travail peut
proposer des mesures de rduction des risques supplmentaires jusqu' un niveau
de risques acceptable.
Page 35 sur 119
La dmarche est ensuite de nouveau mise en ouvre en considrant une nouvelle
drive ou dfaillance de dpart.
3.4.3 SYNTHESE DE L'ANALYSE
Suite aux rflexions du groupe de travail, une synthse des travaux doit tre
ralise. Cette synthse permet de mettre en lumire les principales conclusions
du groupe et d'identifier clairement les points critiques qui devraient tre tudis de
faon plus dtaille l'aide d'outils plus spcifiques.
La mise au propre des notes prises au cours des runions de travail est galement
primordiale pour assurer la traabilit des travaux.
3.5 REMARQUE
La dmarche d'analyse des risques propose dans ce chapitre se veut
volontairement gnrale. Dans le cadre particulier de la prvention des accidents
majeurs et de l'tude des dangers, le lecteur est invit se reporter au document
de l'NERS consacr l'tude des dangers (voir le rapport Omga 9 Etude des
dangers d'une nstallation Classe pour la Protection de l'Environnement [Joly
2009] ).
Ce document dcrit dans le dtail la dmarche particulire mettre en ouvre pour
identifier et dmontrer la matrise des risques d'accidents majeurs.
Page 37 sur 119
4 LES METHODES CLASSIQUES D'ANALYSE DES RISQUES
Les principales mthodes d'analyse des risques d'accidents sont :
l'Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit
(AMDEC),
l'Analyse des risques sur schmas type HAZOP,
la mthode What-if ? ,
l'Analyse par arbres des dfaillances,
l'Analyse par arbres d'vnements,
l'Analyse par Noud Papillon.
l existe bien entendu de nombreuses autres mthodes qui ne seront pas
prsentes en dtail dans ce document. Nanmoins, pour plus de prcisions, le
lecteur pourra consulter utilement l'article de Jerme Tixier [Tixier 2002] et les
deux articles crits par Marc Favaro et Michel Monteau de l'NRS [Monteau 1990]
dj cits.
La description des outils prsents dans ce chapitre a t ralise notamment
partir des ouvrages suivants :
Suret de Fonctionnement des systmes industriels
A. VLLEMEUR, Collection de la Direction des Etudes et Recherches
d'Electricit de France, n67, Ed. Eyrolles, 1988
Cahiers de scurit n13 : Scurit des nstallations mthodologie de
l'analyse des risques
Union des ndustries Chimiques, Document Technique DT 54, Mars 1998
Guidelines for Hazard Evaluation Procedures
Center for Chemical Process Safety, American nstitute of Chemical Engineers
(ACHE), 1992
Norme CE 60812: 1985:
Techniques d'Analyse de la Fiabilit des Systmes Procdure d'Analyse
des Modes de Dfaillances et de leurs Effets (AMDE)
Norme CE 61882 : 2001
Etudes de danger et d'exploitabilit (tudes HAZOP) Guide d'application
Page 38 sur 119
4.1 ANALYSE PRELIMINAIRE DES RISQUES (APR)
4.1.1 HISTORIQUE ET DOMAINE D'APPLICATION
L'Analyse Prliminaires des Risques (Dangers) a t dveloppe au dbut des
annes 1960 dans les domaines aronautiques et militaires. Elle est utilise depuis
dans de nombreuses autres industries. L'Union des ndustries Chimiques (UC)
recommande son utilisation en France depuis le dbut des annes 1980.
L'Analyse Prliminaire des Risques (APR) est une mthode d'usage trs gnral
couramment utilise pour l'identification des risques au stade prliminaire de la
conception d'une installation ou d'un projet. En consquence, cette mthode ne
ncessite gnralement pas une connaissance approfondie et dtaille de
l'installation tudie.
En ce sens, elle est particulirement utile dans les situations suivantes :
au stade de la conception d'une installation, lorsque la dfinition prcise du
procd n'a pas encore t effectue. Elle fournit une premire analyse de
scurit se traduisant par des lments constituant une bauche des futures
consignes d'exploitation et de scurit. Elle permet galement de choisir les
quipements les mieux adapts (avant projet sommaire).
dans le cas d'une installation complexe existante, au niveau d'une dmarche
d'analyse des risques. Comme l'indique son nom, l'APR constitue une tape
prliminaire, permettant de mettre en lumire des lments ou des situations
ncessitant une attention plus particulire et en consquence l'emploi de
mthodes d'analyses de risques plus dtailles. Elle peut ainsi tre complte
par une mthode de type AMDEC, HAZOP ou arbre des dfaillances par
exemple.
dans le cas d'une installation dont le niveau de complexit ne ncessite pas
d'analyses plus pousses au regard des objectifs fixs au dpart de l'analyse
des risques.
4.1.2 PRINCIPE
L'Analyse Prliminaire des Risques ncessite dans un premier temps d'identifier
les lments dangereux de l'installation. Ces lments dangereux dsignent le
plus souvent :
des substances ou prparations dangereuses, que ce soit sous forme de
matires premires, de produits finis, d'utilits.,
des quipements dangereux comme, par exemple, des stockages, zones de
rception-expdition, racteurs, fournitures d'utilits (chaudire.),
des oprations dangereuses associes au procd.
L'identification de ces lments dangereux est fonction du type d'installation
tudie. L'APR peut-tre mise en ouvre sans ou avec l'aide de liste de risques
types ou en appliquant les mots guides Hazop (drives de paramtres de
fonctionnement). A titre indicatif, on pourra se rfrer la liste fournie en Annexe 1.
Page 39 sur 119
l est galement noter que l'identification de ces lments se fonde sur la
description fonctionnelle ralise avant la mise en ouvre de la mthode.
A partir de ces lments dangereux, l'APR vise identifier, pour un lment
dangereux, une ou plusieurs situations de danger. Dans le cadre de ce
document, une situation de danger est dfinie comme une situation qui, si elle
n'est pas matrise, peut conduire l'exposition d'enjeux un ou plusieurs
phnomnes dangereux.
Le groupe de travail doit alors dterminer les causes et les consquences de
chacune des situations de danger identifies puis identifier les scurits existantes
sur le systme tudi. Si ces dernires sont juges insuffisantes vis--vis du
niveau de risque identifi dans la grille de criticit, des propositions d'amlioration
doivent alors tre envisages.
4.1.3 DEROULEMENT
L'utilisation d'un tableau de synthse constitue un support pratique pour mener la
rflexion et rsumer les rsultats de l'analyse. Pour autant, l'analyse des risques
ne se limite pas remplir cote que cote un tableau. Par ailleurs, ce tableau doit
parfois tre adapt en fonction des objectifs fixs par le groupe de travail
pralablement l'analyse.
Le tableau ci-dessous est donc donn titre d'exemple.
Fonction ou systme :
Date :
1 2 3 4 5 6 7 8
N Produit ou
quipement
Situation de
danger
Causes Consquences Scurits
existantes
Propositions
d'amlioration
Observations
Tableau 5 : Exemple de tableau de type APR
Pour chaque fonction identifie dans la phase de description des installations, les
produits ou quipements sont passs en revue, en examinant les situations de
danger potentielles de manire systmatique. Pour cela, il est fait appel
l'exprience et l'imagination de chacun. L'analyse d'accidents constitue de plus
une source d'information privilgier.
Page 40 sur 119
Le groupe de travail peut alors adopter une dmarche systmatique sous la forme
suivante :
Slectionner le systme ou la fonction tudier sur la base de la description
fonctionnelle ralise.
Choisir un quipement ou produit pour ce systme ou cette fonction
(colonne 2).
Pour cet quipement, considrer une premire situation de danger (colonne 3)
Pour cette situation de danger, envisager toutes les causes et les
consquences possibles (colonnes 4 et 5).
Pour un enchanement cause - situation de danger - consquences donn,
identifier alors les barrires de scurit existantes sur l'installation (colonne 6)
Si le risque ainsi estim est jug inacceptable, formuler des propositions
d'amliorations en colonne 7. La dernire colonne (colonne 8) est rserve
d'ventuels commentaires. Elle est particulirement importante pour faire
apparatre les hypothses effectues durant l'analyse ou les noms de
personnes devant engager des actions complmentaires.
Envisager alors un nouvel enchanement cause - situation de danger -
consquences pour la mme situation de danger et retourner au point 5).
Si tous les enchanements ont t tudis, envisager une nouvelle situation de
danger pour le mme quipement et retourner au point 4).
Lorsque toutes les situations de danger ont t passes en revue pour
l'quipement considr, retenir un nouvel quipement et retourner au point 3)
prcdent.
Le cas chant, lorsque tous les quipements ont t examins, retenir un
nouveau systme ou fonction et retourner au point 2).
Une des premires difficults rencontres en pratique au cours d'une APR tient
dans la dfinition du terme situation de danger . l n'est en effet pas rare de
constater au cours de l'analyse que des causes ou consquences d'une situation
de danger soient leur tour identifies comme situations de danger plus tard lors
de l'analyse. Cette difficult peut rendre dlicate l'appropriation de la mthode par
le groupe de travail. Toutefois, elle ne doit pas tre considre comme un frein
pour l'analyse des risques mais au contraire, comme un moyen pour tendre vers
plus d'exhaustivit.
Prenons l'exemple d'un rservoir de liquide inflammable type essence. Le groupe
de travail identifie dans un premier temps comme situation de danger, un feu se
dveloppant dans la cuvette de rtention. La cause de cet incendie serait
l'pandage de combustible dans la cuvette associ la prsence d'une source
d'inflammation. Si ensuite le groupe de travail considre l'pandage seul
d'essence comme situation de danger, il identifiera probablement en terme de
consquences le feu de nappe mais galement la formation d'un nuage
inflammable suite l'vaporation de la nappe.
Prcisons enfin que des colonnes peuvent tre ajoutes au Tableau 5 afin de
recueillir les rsultats de l'estimation des risques ralise en groupe de travail.
Page 41 sur 119
4.1.4 LIMITES ET AVANTAGES
Le principal avantage de l'Analyse Prliminaire des Risques est de permettre un
examen relativement rapide des situations dangereuses sur des installations. Par
rapport aux autres mthodes prsentes ci-aprs, elle apparat comme
relativement conomique en terme de temps pass et ne ncessite pas un niveau
de description du systme tudi trs dtaill. Cet avantage est bien entendu
relier au fait qu'elle est gnralement mise en ouvre au stade de la conception
des installations.
En revanche, l'APR ne permet pas de caractriser finement l'enchanement des
vnements susceptibles de conduire un accident majeur pour des systmes
complexes.
Comme son nom l'indique, il s'agit la base d'une mthode prliminaire d'analyse
qui permet d'identifier des points critiques devant faire l'objet d'tudes plus
dtailles. Elle permet ainsi de mettre en lumire les quipements ou installations
qui peuvent ncessiter une tude plus fine mene grce des outils tels que
l'AMDEC, l'HAZOP ou l'analyse par arbre des dfaillances. Toutefois, son
utilisation seule peut tre juge suffisante dans le cas d'installations simples ou
lorsque le groupe de travail possde une exprience significative de ce type
d'approches.
4.2 AMDE ET AMDEC
L'Analyse des Modes de Dfaillance et de leurs Effets (AMDE) a t employe
pour la premire fois dans le domaine de l'industrie aronautique durant les
annes 1960.
Son utilisation s'est depuis largement rpandue d'autres secteurs d'activits tels
que l'industrie chimique, ptrolire ou le nuclaire.
De fait, elle est essentiellement adapte l'tude des dfaillances de matriaux et
d'quipements et peut s'appliquer aussi bien des systmes de technologies
diffrentes (systmes lectriques, mcaniques, hydrauliques.) qu' des systmes
alliant plusieurs techniques.
Page 42 sur 119
4.2.2 PRINCIPE
L'Analyse des Modes de Dfaillance et de leurs Effets repose notamment sur les
concepts de :
dfaillance, soit la cessation de l'aptitude d'un lment ou d'un systme
accomplir une fonction requise,
mode de dfaillance, soit l'effet par lequel une dfaillance est observe sur un
lment du systme,
cause de dfaillance, soit les vnements qui conduisent aux modes de
dfaillances,
effet d'un mode de dfaillance, soit les consquences associes la perte de
l'aptitude d'un lment remplir une fonction requise.
En pratique, il est souvent difficile de bien distinguer ces diffrentes notions. La
matrise de ce vocabulaire est nanmoins primordiale pour une bonne utilisation de
cet outil.
Pour illustrer ces diffrents concepts, prenons l'exemple d'une pompe. Dans des
conditions normales d'exploitation, la fonction de cette pompe est dfinie comme
son aptitude fournir un dbit donn sa sortie. Si le dbit en sortie de pompe est
nul ou nettement infrieur ou suprieur ce dbit dfini, la pompe sera dite
dfaillante .
Si, en cours d'exploitation, la pompe s'arrte de faon non dsire, on assistera
bien une dfaillance de la pompe. Le fait que la pompe s'arrte constitue donc
un effet par lequel une dfaillance est observe ; il s'agit d'un mode de dfaillance.
La coupure de courant qui a entran l'arrt de la pompe sera alors dfinie comme
une des causes de ce mode de dfaillance. L'arrt de l'approvisionnement du
racteur aliment par cette pompe suivi d'une dgradation du produit de synthse
constitueront des consquences de cette dfaillance.
L'AMDE est une mthode inductive d'analyse qui permet :
d'valuer les effets et la squence d'vnements provoqus par chaque mode
de dfaillance des composants d'un systme sur les diverses fonctions de ce
systme,
dterminer l'importance de chaque mode de dfaillance sur le fonctionnement
normal du systme et en valuer l'impact sur la fiabilit et la scurit du
systme considr,
hirarchiser les modes de dfaillance connus suivant la facilit que l'on a les
dtecter et les traiter.
Lorsqu'il est ncessaire d'valuer la criticit d'une dfaillance (probabilit et
gravit), l'Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit
(AMDEC) apparat comme une suite logique l'AMDE. L'AMDEC reprend en effet
les principales tapes de l'AMDE et y ajoute une valuation semi-quantitative de la
criticit. Cette dernire peut, par exemple, tre ralise sur la base des chelles
proposes au paragraphe 3.3.3.1.
Page 43 sur 119
4.2.3 DEROULEMENT
De manire trs schmatique, une AMDEC se droule sous la forme suivante :
Dans un premier temps, choisir un Iment ou composant du systme.
Retenir un tat de fonctionnement (fonctionnement normal, arrt.).
Pour cet lment ou composant et pour cet tat, retenir un premier mode de
dfaiIIance.
dentifier les causes de ce mode de dfaillance ainsi que ses consquences
tant au niveau du voisinage du composant que sur tout le systme.
Examiner les moyens permettant de dtecter le mode de dfaillance d'une
part, et ceux prvus pour en prvenir I'occurrence ou en Iimiter Ies effets.
Procder l'valuation de la criticit de ce mode de dfaillance en terme de
probabilit et de gravit.
Prvoir des mesures ou moyens suppImentaires si l'valuation du risque en
montre la ncessit.
Vrifier que le couple (P,G) peut tre jug comme acceptable.
Envisager un nouveau mode de dfaiIIance et reprendre l'analyse au point 4).
Lorsque tous les modes de dfaillances ont t examins, envisager un
nouveI tat de fonctionnement et reprendre l'analyse au point 3).
Lorsque tous les tats de fonctionnement ont t considrs, choisir un nouveI
Iment ou composant du systme et reprendre l'analyse au point 2).
Dans les faits, il est intressant de se doter de tableaux tant en qualit de support
pour mener la rflexion que pour la prsentation des rsultats. Un exemple de
tableau est fourni ci-dessous.
1 2 3 4 5 6 7 8 9 10 11
Equipement
Repre
Fonctions,
tats
Mode de
dfaillance
Causes de
dfaillance
Effet local Effet final Moyens de
dtection
Dispositions
compensatoires
P G Remarques
Tableau 6 : Exemple d'un tableau de type AMDEC
Les cases de ce tableau s'utilisent de la faon suivante :
4.2.3.1 EQUPEMENT (COLONNE 1)
Dans cette premire colonne, il s'agit de passer en revue chaque quipement ou
composant identifi lors de la description fonctionnelle.
l est gnralement utile de reprer l'quipement considr partir des donnes
fournies dans des diagrammes ou autres plans.
Page 44 sur 119
4.2.3.2 FONCTONS ET ETATS (COLONNE 2)
Pour chacun des quipements, il s'agit de lister ses fonctions et tats de
fonctionnement.
Ces fonctions et tats sont normalement identifis au cours de la description
fonctionnelle. Afin de mener l'analyse de la manire la plus complte possible, il
est indispensable de considrer l'ensemble des tats susceptibles de survenir au
cours de l'exploitation (ex. fonctionnement normal, arrt, dmarrage, stand-by.)
4.2.3.3 MODES DE DEFALLANCE (COLONNE 3)
Pour chaque quipement et en fonction de l'tat de fonctionnement, le groupe de
travail doit envisager de manire systmatique les modes de dfaillance possibles
(Colonne 3).
La dfinition des modes possibles de dfaillance pour un quipement peut tre
ralise partir du retour d'exprience associ l'exploitation d'quipements
similaires, de tests ou essais.
Par ailleurs, les modes de dfaillance considrs devront tenir compte :
des utilisations du systme,
des caractristiques de l'quipement considr,
du mode de fonctionnement,
des spcifications relatives au fonctionnement,
des dlais fixs,
de l'environnement.
Quel que soit le type d'quipement considr, la liste suivante tire de la norme
CE 60812:1985 : Techniques d'analyse de la fiabilit des systmes Procdure
d'analyse des modes de dfaillance et de leurs effets (AMDE) facilite
l'identification des modes de dfaillance par le groupe de travail.
1 Fonctionnement prmatur
2 Ne fonctionne pas au moment prvu
3 Ne s'arrte pas au moment prvu
4 Dfaillance en fonctionnement
Tableau 7 : Modes de dfaillance gnraux (extrait du tableau II de la norme CEI 60812:1985)
Page 45 sur 119
1 Dfaillance structurelle (rupture) 18 Mise en marche errone
2 Blocage physique ou coincement 19 Ne s'arrte pas
3 Vibrations 20 Ne dmarre pas
4 Ne reste pas en position 21 Ne commute pas
5 Ne s'ouvre pas 22 Fonctionnement prmatur
6 Ne se ferme pas 23 Fonctionnement aprs le dlai prvu
(retard)
7 Dfaillance en position ouverte 24 Entre errone (augmentation)
8 Dfaillance en position ferme 25 Entre errone (diminution)
9 Fuite interne 26 Sortie errone (augmentation)
10 Fuite externe 27 Sortie errone (diminution)
11 Dpasse la limite suprieure tolre 28 Perte de l'entre
12 Est en dessous de la limite
infrieure tolre
29 Perte de la sortie
13 Fonctionnement intempestif 30 Court-circuit (lectrique)
14 Fonctionnement intermittent 31 Circuit ouvert (lectrique)
15 Fonctionnement irrgulier 32 Fuite (lectrique)
16 ndication errone
17 Ecoulement rduit
33 Autres conditions de dfaillance
exceptionnelles suivant les
caractristiques du systme, les
conditions de fonctionnements et les
contraintes oprationnelles
Tableau 8 : Modes de dfaillance gnriques (extrait du tableau II de la norme CEI 60812:1985 )
De plus, cette mme norme propose une liste-guide de modes de dfaillance
gnriques (Tableau 8), qui permet d'aider le groupe de travail dans l'analyse.
Cette liste est reprise ci-aprs. Elle prsente une srie de modes de dfaillance
gnriques pouvant s'appliquer en thorie tous les cas de figure envisageables.
Nanmoins, elle pourra tre utilement complte en vue de tenir compte des
spcificits du systme tudi.
4.2.3.4 CAUSES DE DEFALLANCE (COLONNE 4)
Pour chaque mode de dfaillance, le groupe de travail doit ensuite identifier les
causes potentielles conduisant ce mode de dfaillance. Un mode de dfaillance
peut rsulter de plusieurs causes, qu'il convient donc d'inventorier et de numroter
pour plus de facilit.
La liste prsente dans le Tableau 8 prcdent permet galement de prciser des
causes de dfaillance dans la mesure o ces causes peuvent parfois s'apparenter
des modes de dfaillance.
Par exemple, un mode de dfaillance d'une vanne devant se fermer peut tre Ne
se ferme pas (mode de dfaillance n6). Une des causes de ce mode de
Page 46 sur 119
dfaillance peut tre un blocage physique ou coincement (mode de
dfaillance n2).
Enfin, il convient de tenir compte des dfaillances possibles sur les quipements
adjacents du systme. L'valuation des effets d'une dfaillance d'un lment peut
effectivement conduire l'occurrence d'un mode de dfaillance sur un autre
lment du systme. l est ainsi ncessaire de veiller l'adquation entre les effets
de dfaillance considrs au cours de l'analyse et les causes d'autres modes de
dfaillance envisags.
4.2.3.5 EFFETS DE LA DEFALLANCE (COLONNES 5 ET 6)
De la mme faon que le groupe de travail s'est attach identifier les causes
potentielles de dfaillance, il doit examiner les consquences de cette dfaillance,
au niveau du composant lui-mme tout d'abord (colonne 5) puis au niveau du
systme global (colonne 6).
4.2.3.6 MOYENS DE DETECTON (COLONNE 7)
Pour le mode de dfaillance envisag, le groupe de travail examine et consigne
ensuite les moyens prvus pour dtecter ce mode de dfaillance.
4.2.3.7 DSPOSTONS COMPENSATORES (COLONNE 8)
Toutes les dispositions prises, par exemple au niveau de la conception de
l'installation, en vue de prvenir ou attnuer l'effet du mode de dfaillance doivent
alors tre examines. Cette tape, dont les rsultats sont consigns en colonne 8,
vise d'une certaine faon caractriser le comportement du systme lorsqu'un de
ses composants est affect par un mode de dfaillance.
4.2.3.8 EVALUATON DE LA CRTCTE (COLONNES 9

ET 10)
Les colonnes 9 et 10 permettent de consigner les estimations ralises par le
groupe de travail de la probabilit du mode de dfaillance (P) et de la gravit
associe ses consquences (G). Cette approche permet de mesurer l'influence
des barrires de scurit mises en place et de juger de la pertinence d'envisager
de nouvelles barrires au regard du risque prsent.
En pratique, il est parfois difficile de disposer de donnes prcises et fiables pour
procder de manire fine cette valuation. On pourra alors se rfrer utilement
des chelles de cotations plusieurs niveaux de probabilit et de gravit,
semblables celles prsentes au paragraphe 3.3.3.1. Rappelons que les
chelles de gravit et probabilit quels que soient les formats finalement retenus,
doivent tre prsentes et acceptes en dbut d'analyse.
Page 47 sur 119
L'AMDEC s'avre trs efficace lorsqu'elle est mise en ouvre pour l'analyse de
dfaillances simples d'lments conduisant la dfaillance globale du systme.
De par son caractre systmatique et sa maille d'tude gnralement fine, elle
constitue un outil prcieux pour l'identification de dfaillances potentielles et les
moyens d'en limiter les effets ou d'en prvenir l'occurrence.
Comme elle consiste examiner chaque mode de dfaillance, ses causes et ses
effets pour les diffrents tats de fonctionnement du systme, l'AMDEC permet
d'identifier les modes communs de dfaillances pouvant affecter le systme tudi.
Les modes communs de dfaillances correspondent des vnements qui de par
leur nature ou la dpendance de certains composants, provoquent simultanment
des tats de panne sur plusieurs composants du systme. Les pertes d'utilits ou
des agressions externes majeurs constituent par exemple, en rgle gnrale, des
modes communs de dfaillance.
Dans le cas de systmes particulirement complexes comptant un grand nombre
de composants, l'AMDEC peut tre trs difficile mener et particulirement
fastidieuse compte tenu du volume important d'informations traiter. Cette
difficult est dcuple lorsque le systme considr comporte de nombreux tats
de fonctionnement.
Par ailleurs, l'AMDEC considre des dfaillances simples et peut tre utilement
complte, selon les besoins de l'analyse, par des mthodes ddies l'tude de
dfaillances multiples comme l'analyse par arbre des dfaillances par exemple.
4.3 HAZOP
La mthode HAZOP, pour HAZard OPerability, a t dveloppe par la socit
mperial Chemical ndustries (C) au dbut des annes 1970. Elle a depuis t
adapte dans diffrents secteurs d'activit utilisant des systmes thermo-
hydrauliques (chimie, ptrochimie.). L'Union des ndustries Chimiques (UC) a
publi en 1980 une version franaise de cette mthode dans son cahier de
scurit n2 intitul Etude de scurit sur schma de circulation des fluides .
Considrant de manire systmatique les drives des paramtres d'une installation
en vue d'en identifier les causes et les consquences, cette mthode est
particulirement utile pour l'examen de systmes thermo-hydrauIiques, pour
lesquels des paramtres comme le dbit, la temprature, la pression, le niveau, la
concentration. sont particulirement importants pour la scurit de l'installation.
De par sa nature, cette mthode requiert notamment l'examen de schmas et
plans de circulation des fluides ou schmas P&D (Piping and nstrumentation
Diagram).
Page 48 sur 119
4.3.2 PRINCIPE
La mthode de type HAZOP est ddie I'anaIyse des risques des systmes
thermo-hydrauIiques pour lesquels il est primordial de matriser des paramtres
comme la pression, la temprature, le dbit.
L'HAZOP suit une procdure assez semblable celle propose par l'AMDE.
L'HAZOP ne considre plus des modes de dfaillances mais les drives
potentielles (ou dviations) des principaux paramtres lis l'exploitation de
l'installation. De ce fait, elle est centre sur le fonctionnement du procd la
diffrence de l'AMDE qui est centre sur le fonctionnement des composants de
l'installation. Les deux mthodes se rejoignent dans la mesure o les causes et les
consquences de drives de paramtres peuvent tre des dfaillances de
composants et rciproquement.
Pour chaque partie constitutive du systme examin (ligne ou maille), la gnration
(conceptuelle) des drives est effectue de manire systmatique par la
conjonction :
de mots-cl comme par exemple Pas de , Plus de , Moins de , Trop
de
des paramtres associs au systme tudi. Des paramtres couramment
rencontrs sont la temprature, la pression, le dbit, la concentration, mais
galement le temps ou des oprations effectuer.
Le groupe de travail doit ainsi s'attacher dterminer les causes et les
consquences potentielles de chacune de ces drives et identifier les moyens
existants permettant de dtecter cette drive, d'en prvenir l'occurrence ou d'en
limiter les effets. Le cas chant, le groupe de travail pourra proposer des mesures
correctives engager en vue de tendre vers plus de scurit.
A l'origine, l'HAZOP n'a pas t prvue pour procder une estimation de la
probabilit d'occurrence des drives ou de la gravit de leurs consquences. Cette
mthode est donc parfois qualifie de qualitative. En pratique, elle peut tre
couple, comme l'AMDE, une estimation de la criticit.
Nanmoins, dans le domaine des risques accidentels majeurs, une estimation a
priori de la probabilit et de la gravit des consquences des drives identifies
s'avre souvent ncessaire. Dans ce contexte, l'HAZOP doit donc tre complte
par une analyse de la criticit des risques sur les bases d'une technique
quantitative simplifie. Dans une premire approche, une dmarche semi-
quantitative similaire celle prsente au paragraphe 3.3.3 pourra tre retenue.
Cette adaptation semi-quantitative de l'HAZOP est d'ailleurs mentionne dans la
norme CE :61882 Etudes de danger et d'exploitabilit (tudes HAZOP) Guide
d'application .
Mot-cI + Paramtre = Drive
Page 49 sur 119
4.3.3 DEROULEMENT
Le droulement d'une tude HAZOP est sensiblement similaire celui d'une
AMDE. l convient, pour mener l'analyse, de suivre les tapes suivantes :
Dans un premier temps, choisir une Iigne ou une maiIIe. Elle englobe
gnralement un quipement et ses connexions, l'ensemble ralisant une
fonction dans le procd identifie au cours de la description fonctionnelle ;
Choisir un paramtre de fonctionnement ;
Retenir un mot-cI et tudier la drive associe ;
Vrifier que Ia drive est crdibIe. Si oui, passer au point 5, sinon revenir au
point 3 ;
dentifier les causes et les consquences potentielles de cette drive ;
Examiner les moyens visant dtecter cette drive ainsi que ceux prvus
pour en prvenir I'occurrence ou en Iimiter Ies effets ;
Proposer, le cas chant, des recommandations et amliorations ;
Retenir un nouveau mot-cI pour le mme paramtre et reprendre l'analyse au
point 3) ;
Lorsque tous les mots-cl ont t considrs, retenir un nouveau paramtre et
reprendre l'analyse au point 2) ;
Lorsque toutes les phases de fonctionnement ont t envisages, retenir une
nouveIIe Iigne et reprendre l'analyse au point 1).
La dmarche prsente ici est globalement cohrente avec la dmarche prsente
dans la norme CE :61882 Etudes de danger et d'exploitabilit (tudes HAZOP)
Guide d'application .
Notons de plus que, dans le domaine des risques accidentels, il est souvent
ncessaire de procder une estimation de la criticit des drives identifies.
Enfin, comme le prcise la norme CE :61882, il est galement possible de
drouler l'HAZOP, en envisageant en premier lieu un mot-cl puis de lui affecter
systmatiquement les paramtres identifis.
Tout comme pour l'APR et l'AMDEC prsentes dans les paragraphes prcdents,
un tableau de synthse se rvle souvent utile pour guider la rflexion et collecter
les rsultats des discussions menes au sein du groupe de travail.
Un exemple de tableau pouvant tre utilis est prsent et comment dans les
paragraphes suivants.
Page 50 sur 119
Date :
Ligne ou quipement :
1 2 3 4 5 6 7 8 9
N Mot cl Paramtre Causes Consquences Dtection Scurits
existantes
Propositions
d'amlioration
Observations
Tableau 9 : Exemple de tableau pour l'HAZOP
4.3.3.1 DEFNTON DES MOTS-CLE (COLONNE 2)
Les mots-cl, accols aux paramtres importants pour le procd, permettent de
gnrer de manire systmatique les drives considrer. La norme CE : 61882
propose des exemples de mots-cl dont l'usage est particulirement courant. Ces
mots-cl sont repris dans le tableau ci-dessous, inspir du Tableau 3 de la norme
pr-cite.
Type de
dviation
Mot-Guide Exemples d'interprtation
Ngative NE PAS FARE Aucune partie de l'intention n'est remplie
PLUS Augmentation quantitative Modification
quantitative
MONS Diminution quantitative
EN PLUS DE Prsence d'impurets Excution simultane d'une autre
opration/tape
Modification
qualitative
PARTE DE Une partie seulement de l'intention est ralise
NVERSE S'applique l'inversion de l'coulement dans les
canalisations ou l'inversion des ractions chimiques
Substitution
AUTRE QUE Un rsultat diffrent de l'intention originale est obtenu
PLUS TOT Un vnement se produit avant l'heure prvue Temps
PLUS TARD Un vnement se produit aprs l'heure prvue
AVANT Un vnement se produit trop tt dans une squence Ordre
squence
APRES Un vnement se produit trop tard dans une squence
Tableau 10 : Exemples de mots-cl pour l'HAZOP (norme CEI : 61882)
Page 51 sur 119
4.3.3.2 DEFNTON DES PARAMETRES (COLONNE 3)
Les paramtres auxquels sont accols les mots-cls dpendent bien sr du
systme considr. Gnralement, l'ensemble des paramtres pouvant avoir une
incidence sur la scurit de l'installation doit tre slectionn. De manire
frquente, les paramtres sur lesquels porte l'analyse sont :
la temprature,
la pression,
le dbit,
le niveau,
la concentration,
l'agitation,
la quantit,
l'absorption,
la composition,
la sparation,
l'homognit,
la viscosit.
La combinaison de ces paramtres avec les mots cl prcdemment dfinis
permet donc de gnrer des drives de ces paramtres.
Par exemple :
Plus de et Temprature = Temprature trop haute ,
Moins de et Pression = Pression trop basse ,
nverse et Dbit = Retour de produit ,
Pas de et Niveau = Capacit vide .
4.3.3.3 CAUSES ET CONSEQUENCES DE LA DERVE (COLONNES 4 ET 5)
De la mme faon que pour une AMDE, le groupe de travail, une fois la drive
envisage, doit identifier les causes de cette drive, puis les consquences
potentielles de cette drive.
En pratique, il peut tre difficile d'affecter chaque mot cl (et drive) une portion
bien dlimite du systme et en consquence, l'examen des causes potentielles
peut s'avrer, dans certains cas, complexe.
Afin de faciliter cette identification, il est utile de se rfrer des listes guides telles
que celle prsente en Annexe 3 titre illustratif.
Page 52 sur 119
4.3.3.4 MOYENS DE DETECTON, SECURTES EXSTANTES ET PROPOSTONS (COLONNES
6, 7 ET 8)
La mthode HAZOP prvoit d'identifier pour chaque drive les moyens accords
sa dtection et les barrires de scurit prvues pour en rduire l'occurrence ou
les effets.
Si les mesures mises en place paraissent insuffisantes au regard du risque
encouru, le groupe de travail peut proposer des amliorations en vue de pallier ces
problmes ou du moins dfinir des actions engager pour amliorer la scurit
quant ces points prcis.
L'HAZOP est un outil particulirement efficace pour les systmes thermo-
hydrauliques. Cette mthode prsente tout comme l'AMDE un caractre
systmatique et mthodique. Considrant, de plus, simplement les drives de
paramtres de fonctionnement du systme, elle vite entre autres de considrer,
l'instar de l'AMDE, tous les modes de dfaillances possibles pour chacun des
composants du systme.
En revanche, l'HAZOP ne permet pas dans sa version classique d'analyser les
vnements rsultant de la combinaison simultane de plusieurs dfaillances.
Par ailleurs, il est parfois difficile d'affecter un mot cl une portion bien dlimite
du systme tudier. Cela complique singulirement l'identification exhaustive des
causes potentielles d'une drive. En effet, les systmes tudis sont souvent
composs de parties interconnectes si bien qu'une drive survenant dans une
ligne ou maille peut avoir des consquences ou l'inverse des causes dans une
maille voisine et inversement. Bien entendu, il est possible a priori de reporter les
implications d'une drive d'une partie une autre du systme. Toutefois, cette
tche peut rapidement s'avrer complexe.
Enfin, L'HAZOP traitant de tous types de risques, elle peut tre particulirement
longue mettre en oeuvre et conduire une production abondante d'information
ne concernant pas des scnarios d'accidents majeurs.
4.4 WHAT-IF
La mthode dite What if est une mthode drive de l'HAZOP. Elle suit donc
globalement la mme procdure. Cependant la mthode What-if prvoit une
analyse moins profonde des vnements, se contentant d'en considrer les
consquences sans en examiner les causes. Elle prvoit en revanche les actions
d'amlioration entreprendre.
Une autre diffrence concerne la gnration des drives des paramtres de
fonctionnement. Ces drives ne sont plus dans ce cas envisages en tant que
combinaison d'un mot cl et d'un paramtre, mais fondes sur une succession de
questions de la forme : QUE (What) se passe-t-il S (F) tel paramtre ou le
comportement de tel composant est diffrent de celui normalement attendu ? .
Page 53 sur 119
L'identification des paramtres ou des composants objet des questions est libre et
ne repose pas comme dans l'Hazop sur des listes guides utiliser
systmatiquement. l apparat ainsi que l'efficacit de la mthode What if est
encore plus dpendante de l'exprience des personnes runies au sein du groupe
de travail.
Cette mthode parat donc moins fastidieuse mener que l'HAZOP mais est
rserve une quipe exprimente et demeure limite en termes de profondeur
d'analyse, en particulier des causes de drives. Elle s'apparente plus une
mthode de brainstorming.
Que se passe-
t-il si . ?
Rponse Probabilit/
vraissemblance
Consquences Recommandations
Tableau 11 : Exemple de tableau d'application de la mthode What-if
17
4.5 ARBRE DES DEFAILLANCES
L'analyse par arbre des dfaillances fut historiquement la premire mthode mise
au point en vue de procder un examen systmatique des risques. Elle a t
labore au dbut des annes 1960 par la compagnie amricaine Bell Telephone
et fut exprimente pour l'valuation de la scurit des systmes de tir de missiles.
Visant dterminer l'enchanement et les combinaisons d'vnements pouvant
conduire un vnement redout pris comme rfrence, l'analyse par arbre des
dfaillances est maintenant applique dans de nombreux domaines tels que
l'aronautique, le nuclaire, l'industrie chimique,.
Elle est galement utilise pour analyser a posteriori les causes d'accidents qui se
sont produits. Dans ces cas, l'vnement redout final est gnralement connu car
observ. On parle alors d'analyse par arbre des causes, l'objectif principal tant de
dterminer les causes relles qui ont conduit l'accident.
4.5.2 PRINCIPE
L'analyse par arbre de dfaillances est une mthode de type dductif. En effet, il
s'agit, partir d'un vnement redout dfini a priori, de dterminer les
enchanements d'vnements ou combinaisons d'vnements pouvant finalement
conduire cet vnement. Cette analyse permet de remonter de causes en
causes jusqu'aux vnements de base susceptibles d'tre l'origine de
l'vnement redout.

17
d'aprs Chemical Engineering Processes Laboratory, Course Manual, MT, 1999, Appendix V.
http://web.mit.edu/course/10/10.27/www/1027CourseManual/1027CourseManual-AppV.html
Page 54 sur 119
Les vnements de base correspondent gnralement des :
vnements lmentaires qui sont gnralement suffisamment connus et
dcrits par ailleurs pour qu'il ne soit pas utile d'en rechercher les causes.
Certains de ces vnements lmentaires peuvent tre suffisamment frquents
pour qu'il soit possible d'en estimer une probabilit future sur la base d'une
analyse statistique. Ce n'est cependant pas toujours le cas et la probabilit des
vnements lmentaire demeure une donne difficile tablir.
vnements ne pouvant tre considrs comme lmentaires mais dont les
causes ne seront pas dveloppes faute d'intrt ;
vnements dont les causes seront dveloppes ultrieurement au gr d'une
nouvelle analyse par exemple ;
vnements survenant normalement et de manire rcurrente dans le
fonctionnement du procd ou de l'installation.
Quelle que soit la nature des lments de base identifis, l'analyse par arbre des
dfaillances est fonde sur les principes suivants :
ces vnements sont indpendants ;
ils ne seront pas dcomposs en lments plus simples faute de
renseignements, d'intrt ou bien parce que cela est impossible ;
leur frquence ou leur probabilit d'occurrence peut tre estime.
Ainsi, l'analyse par arbre des dfaillances permet d'identifier les successions et les
combinaisons d'vnements qui conduisent des vnements de base jusqu'
l'vnement indsirable retenu.
Les liens entre les diffrents vnements identifis sont raliss grce des portes
logiques (de type ET et OU par exemple). Cette mthode utilise une
symbolique graphique particulire qui permet de prsenter les rsultats dans une
structure arborescente.
Le lecteur peut, par exemple se reporter aux conventions de prsentation
proposes dans la norme CE 61025 :1990 Analyse par Arbre de Panne (APP) .
A l'aide de rgles mathmatiques et statistiques, il est alors thoriquement possible
d'valuer la probabilit d'occurrence de l'vnement final partir des probabilits
des vnements de base identifis.
L'analyse par arbre des dfaillances d'un vnement redout peut se dcomposer
en trois tapes successives :
dfinition de l'vnement redout tudi,
laboration de l'arbre,
exploitation de l'arbre.
l convient d'ajouter ces tapes, une tape prliminaire de connaissance du
systme. Nous verrons que cette dernire est primordiale pour mener l'analyse et
qu'elle ncessite le plus souvent une connaissance pralable des risques.
Page 55 sur 119
4.5.3 DEFINITION DE L'EVENEMENT REDOUTE
La dfinition de l'vnement final, qui fera l'objet de l'analyse, est une tape
cruciale pour la construction de l'arbre. On conoit que plus cet vnement est
dfini de manire prcise, plus simple sera l'laboration de l'arbre des dfaillances.
Par ailleurs, s'agissant d'une mthode qui peut se rvler rapidement lourde
mener, elle doit tre rserve des vnements jugs particulirement critiques.
En ce sens, l'utilisation pralable de mthodes inductives (APR, AMDEC, HAZOP)
permet d'identifier les vnements qui mritent d'tre retenus pour une analyse par
arbre des dfaillances et d'identifier certains vnements initiateurs qui pourront
tre dvelopps dans l'arbres de dfaillance.
De manire classique, les vnements considrs peuvent concerner le rejet
l'atmosphre de produits toxiques ou inflammables, le risque d'incendie,
d'explosion.
4.5.4 ELABORATION DE L'ARBRE
La construction de l'arbre des dfaillances vise dterminer les enchanements
d'vnements pouvant conduire l'vnement final retenu. Cette analyse se
termine lorsque toutes les causes potentielles correspondent des vnements
lmentaires.
L'laboration de l'arbre des dfaillances suit le droulement prsent en Figure 4.
La recherche systmatique des causes immdiates, ncessaires et suffisantes
(NS) est donc la base de la construction de l'arbre. l s'agit probablement de
l'tape la plus dlicate et il est souvent utile de procder cette construction au
sein d'un groupe de travail pluridisciplinaire. De plus, la mise en ouvre pralable
d'autres mthodes d'analyse des risques de type inductif facilite grandement la
recherche des dfaillances pour l'laboration de l'arbre, en particulier en cas de
systme complexe.
Afin de slectionner les vnements intermdiaires, il est indispensable de
procder pas pas en prenant garde bien identifier les causes directes et
immdiates de l'vnement considr et se poser la question de savoir si ces
causes sont bien ncessaires et suffisantes. Faute de quoi, l'arbre obtenu pourra
tre partiellement incomplet voire erron.
Page 56 sur 119

Point de depart :
Evenement Final
Recherche des causes (INS)
Immediates
Necessaires
SuIIisantes
DeIinition des premiers
evenements intermediaires
(liens par portes logiques)
Tous les evenements
intermediaires sont-ils des
evenements de base ?
Recherche des Causes INS pour
chaque evenement intermediaire
(non elementaire)
DeIinition de nouveaux
evenements intermediaires
(liens par portes logiques)
Fin de lèlaboration de
làrbre des deIaillances
Traitement de làrbre
NON
OUI
Figure 4 : Dmarche pour l'laboration d'un arbre des dfaillances. Cette dmarche est facilite par
l'application pralable d'une mthode de type APR, Hazop ou AMDEC
Page 57 sur 119
Enfin, il est ncessaire de respecter certaines rgles supplmentaires observer
durant la construction de l'arbre savoir (4) :
vrifier que le systme est cohrent, c'est--dire que :
- la dfaillance de tous ses composants entrane la dfaillance du systme,
- le bon fonctionnement de tous ses composants entrane le bon
fonctionnement du systme,
- lorsque le systme est en panne, le fait de considrer une nouvelle
dfaillance ne rtablit pas le fonctionnement du systme,
- lorsque le systme fonctionne correctement, la suppression d'une
dfaillance ne provoque pas la dfaillance du systme.
l peut en effet arriver qu'une dfaillance survenant sur un composant
annule les effets d'une dfaillance antrieure et permette ainsi le
fonctionnement du systme. Dans un tel cas de figure (systme non
cohrent), le deuxime composant doit tre suppos, dans l'analyse, en
fonctionnement lorsque la premire dfaillance survient.
s'assurer que tous les vnements d'entre d'une porte logique ont bien t
identifis avant d'analyser leurs causes respectives,
viter de connecter directement deux portes logiques,
ne slectionner que les causes antrieures l'existence de l'vnement
considr.
En dfinitive, l'application de ces rgles aux rflexions menes au sein d'un groupe
de travail conduit la construction d'un arbre de la forme suivante.
Page 58 sur 119

A B
ER
Evenement Redoute
E1 E2
A
E3
B C
C
E4
E1 Evenement intermediaire
X
DeIaillance premiere
Porte ET Porte Ou
Figure 5 : Exemple d'arbre des dfaillances (VILLEMEUR, 1988)
4.5.5 EXPLOITATION DE L'ARBRE DES DEFAILLANCES
L'analyse par arbre des dfaillances permet d'estimer la probabilit d'occurrence
d'un vnement et de s'assurer que toutes les mesures possibles ont
effectivement t envisages en vue de prvenir le risque associ cet
vnement. A la diffrence des mthodes inductives prsentes prcdemment,
l'arbre des dfaillances est directement conu afin de pouvoir considrer des
combinaisons de dfaillances et de vrifier que toutes les causes potentielles ont
bien t prises en compte.
Cette exploitation de l'arbre des dfaillances peut tre ralise de manire
qualitative et quantitative. Elle ncessite au pralable de traiter les rsultats fournis
au cours de la construction de l'arbre. Dans l'exemple prcdent (Figure 5), les
vnements A, B et C apparaissent plusieurs fois dans l'arbre : il n'y a donc pas
indpendance des vnements de base. Ainsi, iI est indispensabIe d'Iiminer
ces fausses redondances praIabIement I'expIoitation de cet arbre.
L'limination des fausses redondances fait appel aux notions de coupes minimales
et de rduction d'arbres.
Page 59 sur 119
4.5.5.1 COUPES MNMALES REDUCTON D'ARBRE
Une coupe minimale reprsente la plus petite combinaison d'vnements pouvant
conduire l'vnement indsirable ou redout. On parle parfois galement de
chemin critique .
Dans l'exemple prcdent, l'occurrence simultane des vnements A, B et C
conduit effectivement l'vnement final. l ne s'agit cependant pas d'une coupe
minimale puisque la combinaison A.B seule peut tre l'origine de l'vnement
final.
La recherche des coupes minimales est effectue partir des rgles de l'algbre
de BOOLE en considrant que :
chaque vnement de base correspond une variable boolenne,
l'vnement de sortie d'une porte ET est associ au produit des variables
boolennes correspondant aux vnements d'entre,
l'vnement de sortie d'une porte OU est associ la somme des variables
boolennes correspondant aux vnements d'entre,
Quelques-unes des principales rgles de l'algbre de BOOLE sont rsumes dans
le tableau suivant :
Proprits Produi (ET)t Somme (OU)
Commutativit A.B = B.A A + B = B + A
dempotence A . A =A A + A = A
Absorption A . (A+B) = A A + A.B = A
Associativit A . (B . C) = (A . B) . C A + (B + C) = (A + B) + C
Distributivit A . (B + C) = A.B + A.C A + B.C = (A+B) . (A+C)
Tableau 12: principales rgles de l'algbre de BOOLE
Ainsi, dans l'exemple prcdent, la recherche des coupes minimales peut
s'effectuer comme suit :
ER = E1 . E2
E1 = A +E3 avec E3 = B + C
E2 = C + E4 avec E4 = A . B
Au total, nous avons donc :
ER = (A+B+C) . (C+A.B) = A.C + A.B + B.C + A.B + C +C.A.B
Or, A.C + C =C et A.B+ A.B.C = A.B (par absorption)
ER = C + A.B + B.C + A.B
De plus, A.B + A.B = AB (dempotence) et C + B.C = C (Absorption)
D'o ER = C + A.B
Page 60 sur 119
Ainsi, l'vnement C seul ou la combinaison des vnements A.B conduisent
l'vnement redout. l n'existe pas de combinaison plus petite conduisant cet
vnement. L'arbre prsent en exemple admet donc deux coupes minimales : C
ainsi que A.B.
L'ordre d'une coupe est alors dfini comme le nombre d'vnements combins qui
figurent dans cette coupe.
Finalement, cet arbre comporte :
une coupe minimale d'ordre 1 : C,
une coupe minimale d'ordre 2 : A.B.
L'arbre reprsentant ces coupes minimales est appel arbre rduit . Pour
l'exemple considr dans la Figure 5, l'arbre rduit est le suivant.
A B
ER
Evenement Redoute
E5
C
Figure 6 : Rduction de l'arbre des dfaillances pris en exemple (VILLEMEUR, 1988)
La recherche des coupes minimales peut s'avrer fastidieuse pour des arbres de
taille importante. Certains outils informatiques permettent heureusement
d'automatiser cette dmarche. Ces outils dmontrent toute leur utilit pour la
rduction d'arbres complexes. Leur utilisation ne doit cependant pas faire oublier
que la dfinition prcise de l'vnement final constitue la premire tape en vue de
limiter la complexit de l'arbre des dfaillances.
4.5.5.2 EXPLOTATON QUALTATVE DE L'ARBRE DES DEFALLANCES
L'exploitation qualitative de l'arbre vise examiner dans quelle proportion une
dfaillance correspondant un vnement de base peut se propager dans
l'enchanement des causes jusqu' l'vnement final. Pour cela, tous les
vnements de base sont supposs quiprobables et on tudie le cheminement
travers les portes logiques d'vnement ou de combinaisons d'vnements jusqu'
l'vnement final.
Page 61 sur 119
De manire intuitive, une dfaillance se propageant travers le systme en ne
rencontrant que des portes OU est susceptible de conduire trs rapidement
l'vnement final. A l'inverse, un cheminement s'oprant exclusivement travers
des portes ET indique que l'occurrence de l'vnement final partir de
l'vnement ou la combinaison d'vnements de base est moins probable et
dmontre ainsi une meilleure prvention de l'vnement final.
La dfinition des coupes minimales permet d'accder directement aux vnements
et combinaisons d'vnements les plus critiques pour le systme considr. Ainsi,
plus l'ordre d'une coupe minimale est petit, plus l'occurrence de l'vnement final
suivant ce chemin critique peut paratre probable. Un moyen de prvenir les
vnements indsirables ou redouts vise modifier l'arbre des dfaillances en
vue d'obtenir des coupes minimales d'ordre le plus lev possible, par
l'introduction de portes ET par exemple.
Cette approche qualitative repose nanmoins sur l'hypothse relativement forte
que les vnements de base sont quiprobables. l peut cependant arriver qu'une
coupe minimale d'ordre 1 corresponde un vnement extrmement peu probable
alors qu'une coupe minimale d'ordre suprieur peut correspondre des
combinaisons d'vnements trs probables.
4.5.5.3 EXPLOTATON QUANTTATVE DE L'ARBRE DES DEFALLANCES
L'exploitation quantitative de l'arbre des dfaillances vise estimer, partir des
probabilits d'occurrence des vnements de base, la probabilit d'occurrence de
l'vnement final ainsi que des vnements intermdiaires. l ne s'agit pas d'une
dmarche qui permet d'accder avec exactitude la probabilit de chaque
vnement. Elle doit tre mise en ouvre dans l'optique de hirarchiser les
diffrentes causes possibles et de concentrer les efforts en matire de prvention
sur les causes les plus vraisemblables.
En pratique, il est souvent difficile d'obtenir des valeurs prcises de probabilits
des vnements de base. En vue de les estimer, il est possible de faire appel :
des bases de donnes,
des jugements d'experts,
des essais lorsque cela est possible,
au retour d'exprience sur l'installation ou des installations analogues.
A partir des probabilits des vnements de base, il s'agit de remonter dans l'arbre
des dfaillances en appliquant les rgles suivantes.
18

18
Cette hypothse considre le systme comme irrparable, c'est--dire que les dfaillances
subsistent une fois survenues.
Page 62 sur 119
Porte OU Porte ET
P(S) = P(E1) + P(E2) P(E1).P(E2)
(Thorme de PONCARRE)
P(S) = P(E1).P(E2)
Lorsque la probabilit des vnements
de base est faible, il est possible de
ngliger le produit P(E1).P(E2) et de
considrer :
P(S) P(E1) + P(E2)
A titre d'exemple, appliquons cette dmarche l'arbre rduit prsent en Figure 6,
en supposant les probabilits des vnements de base connues :
P(A) = 10
-3
,
P(B) = 10
-2
,
P(C) = 10
-6
.

EF
1,1 . 10
-5
C
10
-6

A
10
-3

B
10
-2

E5
10
-5
Figure 7 : Dtermination de la probabilit de l'vnement final
S
P(S)
E
1
P(E
1
)
E
2
P(E
2
)
S
P(S)
E
1
P(E
1
)
E
2
P(E
2
)
Page 63 sur 119
Cette exploitation quantitative de l'arbre, au mme titre que son exploitation
qualitative, ne peut tre effectue qu' partir d'un arbre rduit.
Par ailleurs, notons, que pour des lments de base de faible probabilit, la
probabilit de l'vnement final est sensiblement gale la somme des
probabilits affectes aux coupes minimales.
Dans l'exemple prcdent, nous avons donc :
P(EF) = P(C + A.B) = P(C) + P(A).P(B) - P(A).P(B).P(C) (thorme de
PONCARRE)
d'o P(EF) P(C) + P(A).P(B)
Les logiciels informatiques dvelopps depuis une quinzaine d'annes permettent
de dterminer automatiquement les probabilits tout au long de l'arbre.
L'examen des probabilits des vnements intermdiaires conduisant
l'vnement final permet de hirarchiser les priorits de modifications du systme
en identifiant les causes les plus probables d'un vnement indsirable ou final.
La rduction de la probabilit de cet vnement final peut alors tre envisage de
plusieurs manires :
en supprimant ou rduisant la probabilit d'occurrence des vnements de
base,
en amliorant la fiabilit du systme par l'ajout de portes ET entre
l'vnement final et les vnements de base. Les portes ET places au
plus proche de l'vnement final permettent de traiter un maximum de coupes
minimales et, le cas chant, de traiter certaines causes qui n'auraient pas t
envisages.
Cette dernire stratgie correspond en pratique l'ajout de barrires de scurit.
L'vnement final ne peut alors se produire que si l'vnement de base se produit
et si la barrire de scurit destine le compenser est elle-mme dfaillante.
Le principal avantage de l'analyse par arbre des dfaillances est qu'elle permet de
considrer des combinaisons d'vnements pouvant conduire in fine un
vnement redout. Cette possibilit permet une bonne adquation avec l'analyse
d'accidents passs qui montre que les accidents majeurs observs rsultent le
plus souvent de la conjonction de plusieurs vnements qui seuls n'auraient pu
entraner de tels sinistres.
Par ailleurs, en visant l'estimation des probabilits d'occurrence des vnements
conduisant l'vnement final, elle permet de disposer de critres pour dterminer
les priorits pour la prvention d'accidents potentiels.
Page 64 sur 119
L'analyse par arbre des dfaillances porte sur un vnement particulier et son
application tout un systme peut s'avrer fastidieuse. En ce sens, il est conseill
de mettre en ouvre au pralable des mthodes inductives d'analyse des risques.
Ces outils permettent d'une part d'identifier les vnements les plus graves qui
pourront faire l'objet d'une analyse par arbre des dfaillances et, d'autre part, de
faciliter la dtermination des causes immdiates, ncessaires et suffisantes au
niveau de l'laboration de l'arbre.
Depuis une quinzaine d'annes, des logiciels informatiques sont commercialiss
afin de rendre plus aise l'application de l'arbre des dfaillances. Ces outils se
montrent trs utiles pour la recherche des coupes minimales, la dtermination des
probabilits ainsi que pour la prsentation graphique des rsultats sous forme
arborescente.
4.6 ARBRE DES EVENEMENTS
L'analyse par arbre d'vnements a t dveloppe au dbut des annes 1970
pour l'estimation du risque li aux centrales nuclaires eau lgre.
Particulirement utilise dans le domaine du nuclaire, son utilisation s'est tendue
d'autres secteurs d'activit.
De par sa complexit proche de celle de l'analyse par arbre des dfaillances, cette
mthode s'applique sur des sous-systmes bien dtermins. Elle apporte une aide
prcieuse pour traiter des systmes comportant de nombreux dispositifs de
scurit et de leurs interactions. A l'instar de l'analyse par arbre des dfaillances
dont elle s'inspire, elle permet d'estimer les probabilits d'occurrence de
squences accidentelles condition de disposer de la probabilit d'occurrence de
l'vnement initial et de la probabilit de dfaillance des barrires de scurit.
Cette mthode est aussi utilise dans le domaine de l'analyse aprs accidents en
vue d'expliquer les consquences observes rsultant d'une dfaillance du
systme.
4.6.2 PRINCIPE
L'analyse par arbre des dfaillances, comme nous l'avons vu prcdemment, vise
dterminer, dans une dmarche dductive, les causes d'un vnement
indsirable ou redout retenu a priori. A l'inverse, l'analyse par arbre d'vnements
suppose la dfaillance d'un composant ou d'une partie du systme et s'attache
dterminer les vnements qui en dcoulent.
A partir d'un vnement initiateur ou d'une dfaillance d'origine, l'analyse par arbre
d'vnements permet donc d'estimer la drive du systme en envisageant de
manire systmatique le fonctionnement ou la dfaillance des dispositifs de
dtection, d'alarme, de prvention, de protection ou d'intervention.
Page 65 sur 119
Ces dispositifs peuvent concerner aussi bien des moyens automatiques
qu'humains.
4.6.3 DEROULEMENT
La dmarche gnralement retenue pour raliser une analyse par arbre
d'vnements est la suivante :
dfinir l'vnement initiateur considrer,
identifier les fonctions de scurit prvues pour y faire face,
construire l'arbre,
dcrire et exploiter les squences d'vnements identifies.
Les paragraphes suivants dcrivent ces diffrentes tapes en suivant un exemple
inspir de l'ouvrage Guidelines for Hazard Evaluation Procedures , cit en
rfrences.
4.6.3.1 DEFNTON DE L'EVENEMENT NTATEUR
l s'agit d'une tape importante pour l'analyse par arbre d'vnements. Etant
donn qu'il s'agit d'une approche qui peut vite se rvler lourde mener, il est
gnralement bon de slectionner un vnement initiateur qui peut effectivement
conduire une situation critique. Ceci suppose donc de connatre, au moins de
manire partielle, les principaux risques associs l'installation considre. Pour
une analyse aprs accidents, ces risques sont de fait connus. Ce cas mis part, il
est pertinent d'laborer un arbre d'vnements suite une premire analyse qui a
mis en lumire les accidents potentiels envisager. En ce sens, cette mthode
apparat complmentaire de mthodes telles que l'APR par exemple.
L'exemple trait dans les paragraphes suivants considre un racteur dans
lequelle s'opre une raction exothermique
19
. Le maintien en temprature du
systme est assur par un systme de rfrigration (ACHE).
Pour ce cas simple, il est ais d'identifier le risque d'emballement de raction. Cet
emballement pourrait notamment rsulter de la dfaillance du systme de
refroidissement.
Cet vnement sera considr comme vnement initiateur pour la construction
d'un arbre d'vnements.

19
Produisant de la chaleur
Page 66 sur 119
4.6.3.2 DENTFCATON DES FONCTONS DE SECURTE
Les fonctions de scurit doivent tre assures par des barrires en rponse
l'vnement initiateur. Elles ont en gnral pour objectif d'empcher que
l'vnement initiateur soit l'origine d'un accident majeur.
Elles se dclinent le plus souvent en :
fonctions de dtection de l'vnement initiateur,
fonctions d'alarme signifiant l'occurrence de l'vnement initiateur,
fonctions de limitation visant empcher que l'vnement initiateur ne perdure
dans le temps,
fonction d'attnuation s'attachant rduire les effets de l'vnement initiateur.
Cette liste n'est, bien sr, pas exhaustive. De plus, ces fonctions peuvent tre
ralises par des dispositifs automatiques ou bien des actions effectues par des
oprateurs conformment des procdures.
Dans l'exemple du racteur chimique, en rponse la dfaillance du systme de
refroidissement, les fonctions de scurit suivantes ont t prvues :
dtecter la monte en temprature dans le racteur,
alarmer un oprateur de la monte en temprature,
rtablir le fonctionnement du systme de refroidissement,
stopper la raction.
Bien entendu, ces fonctions n'interviennent gnralement pas simultanment. l est
particulirement important de dterminer dans quel ordre elles vont intervenir suite
l'vnement initiateur et donc d'identifier les seuils commandant leur mise en
ouvre.
Ces informations permettent ainsi de donner des indications quant au temps
ncessaire pour la mise en place de ces mesures de scurit.
En conclusion de cette seconde tape, il est judicieux de dresser un tableau
chronologique des fonctions de scurit faisant figurer entre autres les systmes
ou quipements prvus pour assurer ces fonctions.
Page 67 sur 119
Fonctions Mesure de la
temprature
dans le
racteur
Alarme Rtablisseme
nt du systme
de
rfrigration
par un
oprateur
Arrt de la raction
Dispositifs
assurant la
fonction
Sonde de
temprature
dans le
racteur
Signaux
sonores et
lumineux aux
postes de
travail
Oprateur
selon une
procdure
ntroduction
automatique d'un
inhibiteur de la
raction
Paramtre
ou
nformation
dclenchant
la fonction
Permanent T T
1
Alarme T T
2
Dlai Continu 1 mn Si possible,
estim 5 mn
Estim 10 mn
(De T
1
T
2
)
Tableau 13 : Exemple de tableau dfinissant les fonctions de scurit
Nota : Dans cet exemple, il sera suppos que la mme sonde fournit les
informations de temprature pour l'alarme et le dclenchement automatique
de l'inhibition de la raction.
4.6.3.3 CONSTRUCTON DE L'ARBRE
La construction de l'arbre consiste alors, partir de l'vnement indsirable,
envisager soit le bon fonctionnement soit la dfaillance de la premire fonction de
scurit. L'vnement initiateur est reprsent schmatiquement par un trait
horizontal. Le moment o doit survenir la premire fonction de scurit est
reprsent par un noud. La branche suprieure correspond gnralement au
succs de la fonction de scurit, la branche infrieure la dfaillance de cette
fonction.
Evnement nitiateur
Dfaillance du
systme de
refroidissement
Mesure de
temprature
dans le racteur
Alarme signifiant la
monte de la
temprature un
oprateur T T
1
Rtablissement du
systme de
refroidissement
par un oprateur
nhibition
automatique de la
raction T T
2
Succs
Dfaillance
Page 68 sur 119
La suite de la mthode consiste alors examiner le dveloppement de chaque
branche de manire itrative en considrant systmatiquement le fonctionnement
ou la dfaillance de la fonction de scurit suivante.
Cette dmarche temporelle permet d'identifier des squences d'vnements
susceptibles de conduire ou non un accident potentiel. Elle n'est cependant
gnralement pas suffisante en vue de construire un arbre. l est ainsi
indispensable durant la construction de l'arbre d'observer les points suivants :
- Si le succs d'une fonction dpend du succs d'autres fonctions, elle doit
tre considre aprs les fonctions dont elle dpend.
- Dans le mme ordre d'ide, si l'chec d'une fonction implique
automatiquement l'chec d'autres fonctions, le succs de ces dernires
n'est pas considrer. Ainsi, dans notre exemple, si la sonde de
temprature est dfaillante, il n'y a pas lieu d'tudier le fonctionnement de
l'alarme ou le dclenchement automatique de l'inhibition de la raction.
- Si le succs d'une fonction agit sur le paramtre dclenchant d'autres
fonctions ultrieures, le succs ou la dfaillance de cette fonction ne doivent
pas tre envisags dans le dveloppement de cette branche. Ainsi, si
l'oprateur parvient rtablir le systme de refroidissement avant que la
temprature dans le racteur ne dpasse T2, il n'y a pas lieu de considrer
l'inhibition automatique de la raction.
- Si la dfaillance d'un sous-systme entrane la dfaillance commune de
plusieurs systmes assurant des fonctions de scurit, ce sous-systme
doit tre considr avant ces systmes. Ce cas de figure envisage ainsi les
modes communs de dfaillances. Elles se rapportent souvent des pertes
d'utilits (lectricit, air comprim.) ou des agressions externes majeures.
Dans notre exemple, si l'alimentation lectrique est commune tous les
systmes considrs, il convient de considrer juste aprs l'vnement
initiateur une fonction du type Maintien de l'alimentation lectrique . Nous
considrerons ici que tous ces systmes ont une alimentation distincte. De
la mme faon, la dfaillance de la sonde de temprature dans le racteur
est suppose entraner la dfaillance commune du systme d'alarme et
d'inhibition de raction. Elle a donc t considre en premier lieu.
Le respect de ces rgles et l'limination des branches physiquement impossibles
conduisent l'laboration d'un arbre d'vnements rduit, semblable celui
prsent ci-dessous relativement au cas de figure pris en exemple.
Page 69 sur 119
Evnement
nitiateur
Dfaillance du
systme de
refroidisseme
nt
Mesure de la
temprature
dans le racteur
Alarme signifiant
la monte de la
temprature un
oprateur T T
1
Rtablissement du
systme de
refroidissement par
un oprateur
nhibition
automatique de
la raction T
T
2
Squences
conduisant
Succs Retour au
fonctionnement
normal:
Dfaillance
Mise en scurit de
l'installation (arrt des
oprations)
Emballement de
raction
Mise en scurit de
oprations)
Emballement de
raction
Emballement de
raction
Figure 8 : Exemple d'arbre d'vnements rduit
4.6.3.4 EXPLOTATON DE L'ARBRE
La ralisation d'un arbre d'vnements permet en dfinitive de dterminer la
probabilit d'occurrence des diffrentes consquences partir des squences
identifies.
Cette dernire ne peut tre effectue qu' partir d'un arbre d'vnements
praIabIement rduit. La rduction de l'arbre concourt entre autres liminer les
chemins non physiquement possibles ainsi qu' identifier les modes communs de
dfaillances. Cette opration est ncessaire pour assurer l'indpendance des
vnements intermdiaires prsents.
La probabilit d'occurrence d'une consquence suite une squence particulire
peut alors tre estime, pour des vnements indpendants, comme le produit de
la probabilit d'occurrence de l'vnement initiateur et de la probabilit de
dfaillance ou de fonctionnement selon le cheminement des vnements
intermdiaires.
Page 70 sur 119
La Figure 9 permet d'expliciter cette dtermination des probabilits pour un arbre
d'vnements rduit. Rappelons qu'un arbre des vnements ne doit pas tre
considr comme un outil visant dterminer la probabilit d'un vnement avec
exactitude mais comme un outil pour caractriser l'enchanement des actions et
des vnements pouvant conduire ou non un accident.
Evnement
nitiateur
Dfaillance du
systme de
refroidisseme
nt
Mesure de la
temprature
dans le racteur
Alarme signifiant
la monte de la
temprature un
oprateur T T
1
Rtablissement du
systme de
refroidissement par
un oprateur
nhibition
automatique de
la raction T
T
2
Squences
conduisant
Succs P
4
Dlai = 5 mn
Retour au
fonctionnement
normal
P
1.
P
2.
P
3.
P
4
Dlai = 6 mn
P
3
P
5
Dfaillance Dlai = 1 mn 1-P
4
Dlai = 10 mn
Mise en scurit de
oprations)
P
1.
P
2.
P
3.
(1-P
4
).P
5
Dlai = 11 mn
1-P
5
P
2
Emballement de
raction
P
1.
P
2.
P
3.
(1-P
4
).(1-P
5
)
Dlai = 0
P
5
1-P
3
Mise en scurit de
oprations)
P
1.
P
2.
(1-P
3).
P
5
Dlai = 11 mn
P
1
1-P
5
Emballement de
raction
P
1.
P
2.
(1-P
3).
(1-P
5
)
1-P
2
Emballement de
raction
P
1
. (1-P
2
)
Figure 9 : Exemple d'exploitation d'un arbre d'vnements
Page 71 sur 119
L'analyse par arbre d'vnements est une mthode qui permet d'examiner, partir
d'un vnement initiateur, l'enchanement des vnements pouvant conduire ou
non un accident potentiel. Elle trouve ainsi une utilit toute particulire pour
l'tude de l'architecture des moyens de scurit (prvention, protection,
intervention) existants ou pouvant tre envisags sur un site. A ce titre, elle peut
tre utilise pour l'analyse d'accidents a posteriori.
Cette mthode peut s'avrer lourde mettre en ouvre. En consquence, il faut
dfinir avec discernement l'vnement initiateur qui fera l'objet de cette analyse.
4.7 NDUD PAPILLON
Le Noud Papillon est une approche de type arborescente largement utilise
dans les pays europens comme les Pays-Bas qui possdent une approche
probabiliste de la gestion des risques. Le Noud Papillon est utilis dans diffrents
secteurs industriels par des entreprises comme SHELL qui a t l'origine du
dveloppement de ce type d'outils.
Dans ce document, l'NERS prsente une version particulire du Noud Papillon
qu'il a t amen adapter.
4.7.2 PRINCIPE
Le noud papillon est un outil qui combine un arbre de dfaillances et un arbre
d'vnements reprsents de faon un peu diffrente de celle dcrite dans les
paragraphes prcdents. La Figure 10 en donne une reprsentation schmatique
sous la forme suivante o les barrires sont figures par des barres verticales.
Arbre d'vnements Arbre d'vnements Arbre d'vnements Arbre d'vnements
Ein 1
Ein 2
Ein 3
Ein 4
Ein 5
EC 6
Ein 7
EIn 8
EI
EI
EI
EI
ERC
ERS
ERS
Ph D
Ph D
Ph D
EM
EM
EM
EM
EM
EM
8CENARO8 8CENARO8 8CENARO8 8CENARO8
Arbre de dfaillances Arbre de dfaillances Arbre de dfaillances Arbre de dfaillances
Barrires de dfense
Prvention
Protection
Ph D ET
ET
OU
OU
OU
Figure 10 : Reprsentation de scnarios d'accident selon le modle du nud papillon
Page 72 sur 119
Dsignatio
n
Signification Dfinition Exemples
EIn Evnement
Indsirable
Drive ou dfaillance sortant du
cadre des conditions d'exploitation
usuelles dfinies.
Le surremplissage ou un dpart
d'incendie proximit d'un quipement
dangereux peuvent tre des
vnements initiateurs
EC Evnement
Courant
Evnement admis survenant de
faon rcurrente dans la vie d'une
installation.
Les actions de test, de maintenance ou
la fatigue d'quipements sont
gnralement des vnements courants.
EI Evnement
Initiateur
Cause directe d'une perte de
confinement ou d'intgrit physique.
La corrosion, l'rosion, les agressions
mcaniques, une monte en pression
sont gnralement des vnements
initiateurs
ERC Evnement
Redout
Central
Perte de confinement sur un
quipement dangereux ou perte
d'intgrit physique d'une
substance dangereuse
Rupture, Brche, Ruine ou
Dcomposition d'une substance
dangereuse dans le cas d'une perte
d'intgrit physique
ERS Evnement
Redout
Secondaire
Consquence directe de l'vnement
redout central, l'vnement redout
secondaire caractrise le terme
source de l'accident
Formation d'une flaque ou d'un nuage
lors d'un rejet d'une substance
diphasique
Ph D Phnomne
Dangereux
Phnomne physique pouvant
engendrer des dommages majeurs
Incendie, Explosion, Dispersion d'un
nuage toxique
EM Effets
Majeurs
Dommages occasionns au niveau
des lments vulnrables
(personnes, environnement ou
biens) par les effets d'un phnomne
dangereux
Effets ltaux ou irrversibles sur la
population
Synergies d'accident
Barrires ou Mesures de
Prvention
Barrires ou mesures visant
prvenir la perte de confinement ou
d'intgrit physique
Peinture anti-corrosion, Coupure
automatique des oprations de
dpotage sur dtection d'un niveau trs
haut.
Barrires ou Mesures de
Protection
Barrires ou mesures visant limite
les consquences de la perte de
confinement ou d'intgrit physique
Vannes de sectionnement automatiques
asservies une dtection (gaz,
pression, dbit), Moyens d'intervention.
Tableau 14 : Lgende des vnements figurant sur le modle du nud papillon
Le point central du Noud Papillon, appel ici Evnement Redout Central,
dsigne gnralement une perte de confinement ou une perte d'intgrit physique
(dcomposition). La partie gauche du Noud Papillon s'apparente alors un arbre
des dfaillances s'attachant identifier les causes de cette perte de confinement.
La partie droite du Noud Papillon s'attache quant elle dterminer les
consquences de cet vnement redout central tout comme le ferait un arbre
d'vnements.
Sur ce schma, les barrires de scurit sont reprsentes sous la forme de
barres verticales pour symboliser le fait qu'elles s'opposent au dveloppement d'un
scnario d'accident. En pratique, ajouter une barrire dans l'arbre correspond
ajouter un vnement dfaillance de la barrire li par une porte ET
l'vnement qui la prcde.
Page 73 sur 119
De fait, dans cette reprsentation, chaque chemin conduisant d'une dfaillance
d'origine (vnements indsirable ou courant) jusqu' l'apparition de dommages
au niveau des lments vulnrables (effets majeurs) dsigne un scnario
d'accident particulier pour un mme vnement redout central.
Cet outil permet d'apporter une dmonstration renforce de la bonne matrise des
risques en prsentant clairement l'action de barrires de scurit sur le
droulement d'un accident.
4.7.3 DEROULEMENT
Le Noud Papillon, s'inspirant directement des arbres des dfaillances et
d'vnements, doit tre labor avec les mmes prcautions.
S'agissant d'un outil relativement lourd mettre en place, son utilisation est
gnralement rserve des vnements jugs particulirement critiques pour
lesquels un niveau lev de dmonstration de la matrise des risques est
indispensable.
En rgle gnrale, un Noud Papillon est construit la suite d'une premire
analyse des risques mene l'aide de mthodes plus simples comme l'APR ou
l'HAZOP par exemple.
Le Noud Papillon offre une visualisation concrte des scnarios d'accidents qui
pourraient survenir en partant des causes initiales de l'accident jusqu'aux
consquences au niveau des lments vulnrables identifis.
De ce fait, cet outil met clairement en valeur l'action des barrires de scurit
s'opposant ces scnarios d'accidents et permet d'apporter une dmonstration
renforce de la matrise des risques.
En revanche, il s'agit d'un outil dont la mise en ouvre peut tre particulirement
coteuse en temps. Son utilisation doit donc tre dcide pour des cas justifiant
effectivement un tel niveau de dtail.
Page 75 sur 119
5 METHODES INTEGREES D'ANALYSE DES RISQUES
Le chapitre prcdent tait consacr la prsentation des mthodes de base de
l'analyse de risque. Celles-ci doivent tre mises en ouvre dans le cadre d'une
dmarche globale dont la version minimale est dcrite au chapitre 3. De nouvelles
mthodes ont vu le jour ou ont t plus largement utilises au cours des dernires
annes. l s'agit de mthodes intgres, qui visent rpondre travers une mme
dmarche plusieurs questions que se posent les acteurs de l'valuation des
risques et apporter des outils pour faciliter l'analyse et l'estimation des risques.
Ces mthodes intgrent donc diffrentes tapes d'identification des risques,
d'valuation des barrires ou d'valuation de la vulnrabilit de l'environnement,
par exemple.
5.1 ARAMIS
5.1.1 PRESENTATION, OBJECTIFS DU PROJET
ARAMS est un projet europen de recherche ralis dans le cadre du 5eme
PCRD entre janvier 2002 et dcembre 2004. ARAMS signifie A Risk Assessment
Methodology for ndustrieS. L'objectif du projet tait de dvelopper une nouvelle
mthodologie d'valuation des risques rpondant aux exigences de la directive
Seveso et constituant une solution alternative aux approches purement
dterministes ou purement probabilistes de l'valuation des risques alors en
vigueur en Europe.
A l'origine du projet il y avait le constat, renforc par l'accident de Toulouse en
dcembre 2001, que les mthodes d'valuation des risques disponibles n'taient
plus adaptes aux exigences de la directive et aux attentes qui mergeaient au
niveau des dcideurs publics et des populations.
Les pays ayant une approche purement dterministe se trouvaient confronts la
difficult de prendre des dcisions publiques sur la base d'valuations faisant
ressortir systmatiquement les scnarios majorants. Les rsultats d'une estimation
dterministe taient facilement communicables au public mais donnaient une
vision errone du risque. Les mthodes d'valuation associes n'taient pas non
plus un bon support pour la dmonstration de la matrise du risque par l'industriel
[Kirchsteiger 1999].
Pour les pays ayant une approche probabiliste le problme se posait autrement. Le
rsultat de l'estimation, libell en terme de risque socital tait peu communicable
car peu comprhensible par la population. Par ailleurs, il s'appuyait gnralement
sur des donnes statistiques. l ne refltait donc pas la ralit locale ni les efforts
de matrise du risque entrepris par l'exploitant.
Page 76 sur 119
Le projet ASSURANCE [Hourtolou 2002] avait par ailleurs montr que les
mthodes d'valuation des risques pratiques par des experts de diffrents pays
europens pouvaient donner des rsultats trs disperss. Ce projet avait fait
ressortir les sources d'incertitudes qui taient notamment lies au choix des
scnarios prendre en compte l'issue de l'valuation et pour lesquels
s'opposaient finalement les approches des pays ayant une vision probabiliste o
les scnarios les plus probables taient considrs comme les plus reprsentatifs
et ceux ayant une approche dterministe qui considraient les scnarios les plus
graves.
Le projet ARAMS avait donc pour objectif d'aboutir une mthode qui permettrait
d'estimer le risque en rsolvant les difficults exposes plus haut dans le contexte
de la directive SEVESO . Cette mthode devait fournir des rsultats exploitables
par les dcideurs publics et les industriels, communicables un public de non
spcialistes. L'estimation du risque produite devait aussi tenir compte des mesures
de rduction du risque mises en place par l'industriel et de l'influence du facteur
humain et de l'organisation sur l'efficacit de ces mesures de rduction du risque.
5.1.2 PRINCIPAUX RESULTATS DU PROJET ARAMIS [ARAMIS 2005]
5.1.2.1 CONCEPTS DE BASE
Pour atteindre ces objectifs, la premire tape a consist s'entendre sur les
composantes du risque et sur les lments identifier et mesurer pour les estimer.
l faut rappeler qu'il n'existait pas l'poque de dfinition du risque partage par
les pays de l'union europenne. La Figure 11 illustre la dfinition retenue. Le risque
y est dfini comme une combinaison de la probabilit de survenance d'un
phnomne dangereux, de son intensit et de la vulnrabilit du territoire expos.
L'estimation de la probabilit implique d'identifier les vnements initiateurs,
causes des phnomnes dangereux, et d'en estimer la frquence. Elle implique
aussi d'identifier et de qualifier les barrires de scurit qui s'opposent au
droulement du scnario accidentel depuis un vnement initiateur jusqu' un
phnomne dangereux.
La performance de ces barrires dpend non seulement de leurs caractristiques
intrinsques mais aussi de la qualit de l'organisation mise en place pour en
assurer la conception, l'installation, l'utilisation, la maintenance et l'amlioration. La
qualit de cette organisation est elle-mme directement influence par la culture
de scurit de l'entreprise.
L'valuation de l'intensit des phnomnes dangereux dpend certes des modles
employs mais aussi beaucoup, voire principalement, des hypothses retenues
pour caractriser le terme source de ces phnomnes. Ainsi, est-il essentiel de
prciser le mode de slection des scnarios (c'est dire l'ensemble des
hypothses de calcul) modliser pour estimer l'intensit de l'accident majeur
redout. Un nombre important de scnarios peuvent tre slectionns par ce
processus. l faut donc aussi se doter d'un moyen de reprsenter le risque
rsultant de l'agrgation de ces scnarios d'accident. Un indice de svrit,
associant intensit et frquence a t propos cet effet.
Page 77 sur 119
Risque = Probabilit ntensit Vulnrabilit
Consquence
Svrit
ProbabiIit (frquence)
F(vnement initiateur)
Efficacit des
barrires
Efficacit
du SMS
Intensit VuInrabiIit
CuIture du risque Nombre de
cibIes
vuInrabIes
Caractristiques
des ERC
= Substance en
cause,
quantit, dbit

Figure 11 : les composantes du risque et les lments analyser (SMS= systme de management
de la scurit, ERC= vnement redout central)
Enfin, la vulnrabilit du territoire est un sujet complexe qui peut tre abord
suivant de nombreuses dimensions. En premire approche, la vulnrabilit peut
tre considre comme le facteur permettant d'estimer l'impact global d'un
accident majeur.
5.1.2.2 DES OUTLS ET METHODES POUR L'EVALUATON DES RSQUES
A partir de ces dfinitions, le consortium d'ARAMS a dvelopp des mthodes et
des outils pour :
l'identification et la slection des quipements dangereux en fonction des
quantits de substances dangereuses qu'ils contiennent ;
l'identification des vnements redouts centraux et la construction des
scnarios accidentels. ARAMS utilise pour cela les nouds papillon (Figure 12),
association d'un arbre de dfaillance et d'un arbre d'vnement. Pour faciliter
cette analyse, des nouds papillons gnriques ont aussi t construits. ls
constituent un support de dpart pour l'analyse d'une installation spcifique ;
l'identification des fonctions et barrires de scurit ;
l'valuation des performances des barrires de scurit. Les outils proposs
cet effet par ARAMS sont volontairement inspirs des normes CE 61508 et
CE 61511 ;
l'estimation de la probabilit du scnario partir de la prise en compte des
frquences d'vnements initiateurs et des niveaux de confiance des barrires,
qualifie d'approche barrire ;
Page 78 sur 119
la qualification du systme de management de la scurit et son influence sur
le niveau de confiance des barrires ;
la qualification de la culture de scurit ;
la slection des scnarios de rfrence : ceux qui doivent tre modliss pour
tablir l'indice de svrit ;
le calcul et la cartographie de l'indice de svrit ;
le calcul et la cartographie de la vulnrabilit.
DC
DDC
DDC
DDC
DDC
UE
UE
UE
UE
UE
UE
UE
UE
and
or
or
or
and
or
NSC
DC
SCE
SCE
DP
DP
NE
NE
NE
DP NE
DP
NE
NE
TCE
TCE
TCE
Arbre de dfaillance
Arbre d'vnement
Evnement redout central
Barrires de scurit
Figure 12 : La reprsentation des scnarios d'accident sous forme de nud papillon est au cur
de la mthodologie ARAMIS
5.1.2.3 UNE APPROPRATON PAR DFFERENTS ACTEURS DE LA SECURTE NDUSTRELLE
Les concepts, outils et mthodes d'ARAMS ont t valus dans le cadre d'tudes
de cas qui ont permis de mettre en vidence leur pertinence et d'identifier les
lments d'amlioration possible. Depuis la fin du projet, chacun des partenaires a
eu l'occasion de continuer tester et amliorer ses rsultats, contribuant ainsi les
diffuser dans son propre pays. ARAMS a t identifi par de nombreuses autorits
comptentes des pays de l'UE et a commenc inspirer des volutions
rglementaires, prmices d'une convergence europenne en matire d'valuation
des risques. En France, les rsultats d'ARAMS ont en partie inspir les autorits
pour l'laboration de la rglementation en vue de la mise en ouvre des PPRT et
l'volution des exigences en matire d'tude de dangers. L'valuation spare de
l'ala et de la vulnrabilit, la rfrence l'approche barrire sont autant
d'lments qui font maintenant partie du cadre rglementaire franais de
l'valuation des risques technologiques majeurs. La reprsentation des scnarios
d'accident l'aide du noud papillon est maintenant largement adopte pour
rpondre aux nouveaux objectifs de l'tude de dangers.
Page 79 sur 119
5.1.2.4 DEROULEMENT DE LA METHODE
La mthode ARAMS est structure en six tapes (Figure 13) :
1. dentification des scnarios potentiels d'accident majeur (MMAH)
L'identification des scnarios d'accident repose sur l'utilisation d'une srie d'arbres
de dfaillance et d'arbres d'vnement gnriques correspondant aux diffrents
types d'quipements utiliss rgulirement dans l'industrie chimique.
L'identification des scnarios est prcde par une tape permettant de
slectionner les quipements, de l'installation tudie, qui doivent faire l'objet d'une
analyse. Cette slection est ralise en tenant compte de la nature et de la
quantit des substances ainsi que des conditions dans lesquelles elles sont mises
en ouvre.
Pour chaque couple form d'un quipement et de la substance qu'il contient, la
mthode permet de dfinir la liste des vnements critiques (EC), perte de
confinement ou perte d'intgrit physique, qu'il est susceptible de gnrer. A
chaque EC ARAMS associe un arbre de dfaillance gnrique qui sera ensuite
modifi pour correspondre aux spcificits de l'installation tudie. De mme,
partir d'un vnement critique et de la substance dangereuse implique, la
mthode permet de construire un arbre d'vnement type, qui, combin l'arbre
de dfaillance forme un noud papillon reprsentatif de plusieurs scnarios
d'accident. Ces arbres gnriques ne constituent naturellement qu'un guide pour
l'analyste qui doit exercer son expertise pour conserver ou liminer des
vnements, prolonger des branches lorsque c'est pertinent.
2. dentification des barrires de scurit et valuation de leurs performances
Une fois les scnarios d'accident potentiels identifis, la mthode ARAMS prvoit
d'identifier les barrires de scurit permettant de rduire la probabilit de
l'accident ou d'en rduire la gravit potentielle. Des listes de barrires sont
proposes pour aider l'utilisateur dans sa dmarche.
En parallle, un graphe de risque inspir de la norme CE 61508 permet de dfinir
les exigences de scurit associes un scnario donn et de dfinir ainsi le
niveau de confiance global que doivent avoir les barrires de scurit pour que le
scnario soit acceptable.
3. Evaluation de l'efficacit du management et de son influence sur les
performances des barrires de scurit
Deux questionnaires d'audit permettent de prendre en compte les performances du
management de l'usine et la culture de scurit sur le site. Les niveaux de
confiance des barrires de scurit sont affects par le management et la culture
de scurit et sont donc recalculs l'issue de cette valuation.
Page 80 sur 119
4. dentification des Scnarios de Rfrence (MRAS)
Une matrice de criticit est utilise ensuite pour dterminer les scnarios de
rfrence qui vont faire l'objet d'une modlisation des effets.
5. Estimation et cartographie de la svrit des scnarios de rfrence
La svrit des scnarios est alors value. Plusieurs indices de svrit ont t
dfinis. Un premier indice permet de reprsenter les effets potentiels d'un scnario
d'accident. l repose sur une normalisation des effets dans une chelle unique.
L'indice 100 correspondant au dbut des effets ltaux et l'indice 0 des effets nuls.
L'valuation des effets du scnario considr conduit calculer cinq distances
d'effet correspondant cinq seuils auxquels sont affects les indices 100, 75, 50,
25 et 0. Entre ces distances seuils, l'indice de svrit dcrot de faon linaire.
Un indice de svrit global a aussi t dfini. l permet de reprsenter le cumul
des svrits de l'ensemble des scnarios d'accident sur le site pondr par les
probabilits associes chaque scnario. A l'issue de ce calcul, il est donc
possible de tracer une carte de svrit autour du site.
6. Cartographie de la vulnrabilit
La carte de svrit, une fois trace, peut tre mise en regard de la carte de
vulnrabilit tablie dans la dernire tape de la mthode. La vulnrabilit est
estime en faisant l'inventaire des lments vulnrables potentiels (ou enjeux)
autour du site industriel. Chaque type d'enjeu (humain, matriel, environnemental)
est dcompos en diffrentes catgories dont la vulnrabilit relative diffrents
types d'effets a t value sur la base d'un jugement d'expert. La vulnrabilit
globale d'une zone est donc obtenue en effectuant une somme des diffrents types
d'enjeux pondre par leur vulnrabilit relative au type d'effet considr.
La mthode ARAMS a donc pour objectif de produire, in fine des rsultats utiles
la dcision en matire de matrise de l'urbanisation puisqu'elle permet de
reprsenter de faon synthtique le risque sous forme d'une carte de svrit
couple une carte de vulnrabilit. Elle vise aussi apporter des informations
utiles relatives la matrise du risque la source, en identifiant les scnarios
potentiels et les barrires qui permettent de les matriser. Enfin, elle constitue une
approche innovante de la quantification de l'influence du management sur la
scurit du site.
Les tudes de cas ralises au cours du projet ARAMS ainsi que les applications
qui ont t faites de la mthode depuis la fin du projet on montr son intrt mais
aussi certaines limites ou difficults d'application. Une partie de ces limites est lie
l'absence de critres de dcision permettant d'exploiter la reprsentation de la
svrit et de la vulnrabilit. Cette difficult a t en partie leve en France par
l'adoption des critres d'apprciation de la matrise des risques et des critres de
dfinition des zones de matrise de l'urbanisation dans le cadre des PPRT, sur la
base desquels l'indice de svrit peut tre rinterprt. De mme, l'valuation de
la performance des barrires de scurit faite dans ARAMS correspondait une
premire approche. Les connaissances en la matire ont bien volu depuis la fin
Page 81 sur 119
du projet, notamment l'NERS o deux rapports Omga ont t consacrs au
sujet [Ayrault 2005], [Mich et Prats 2006].
Des informations complmentaires sur la mthode ARAMS peuvent tre obtenues
sur le site du projet : http://aramis.jrc.it. Voir aussi [ARAMS 2005] et [Hourtolou
2004]
R
f
.

:

I
N
E
R
I
S

-

D
R
A

-

2
0
0
6
-
P
4
6
0
5
5
-
C
L
4
7
5
6
9

:

7

:

M
t
h
o
d
e
s

d
'
a
n
a
l
y
s
e

d
e
s

r
i
s
q
u
e
s

g
s

p
a
r

u
n
e

i
n
s
t
a
l
l
a
t
i
o
n

i
n
d
u
s
t
r
i
e
l
l
e
P
a
g
e

8
2

s
u
r

1
1
9
I
d
e
n
t
i
I
i
e
r

t
o
u
s

l
e
s

e
q
u
i
p
e
m
e
n
t
s

d
a
n
g
e
r
e
u
x
S
e
l
e
c
t
i
o
n
n
e
r

l
e
s

e
q
u
i
p
e
m
e
n
t
s

p
e
r
t
i
n
e
n
t
s
A
s
s
o
c
i
e
r

l
e
s

e
v
e
n
e
m
e
n
t
s

c
r
i
t
i
q
u
e
s

a
u
x

e
q
u
i
p
e
m
e
n
t
s
C
o
n
s
t
r
u
i
r
e

l
e
s

a
r
b
r
e
s

d
e

d
e
I
a
i
l
l
a
n
c
e
s
C
o
n
s
t
r
u
i
r
e

l
e
s

a
r
b
r
e
s

d
`
e
v
e
n
e
m
e
n
t
s
C
o
n
s
t
r
u
i
r
e

l
e
s

n
o
u
d
s

p
a
p
i
l
l
o
n
s
I
d
e
n
t
i
I
i
e
r

l
e
s

b
a
r
r
i
e
r
e
s

d
e

s
e
c
u
r
i
t
e
D
e
I
i
n
i
r

l
e

n
i
v
e
a
u

d
e

c
o
n
I
i
a
n
c
e

d
e
s

b
a
r
r
i
e
r
e
s
D
e
I
i
n
i
r

d
e
s
o
b
j
e
c
t
i
I
s

d
e
r
e
d
u
c
t
i
o
n

d
u
r
i
s
q
u
e
P
r
o
p
o
s
e
r

d
e
n
o
u
v
e
l
l
e
s

b
a
r
r
i
e
r
e
s
E
s
t
i
m
e
r

l
a

r
e
d
u
c
t
i
o
n

d
u

r
i
s
q
u
e
C
l
a
s
s
e
r

l
e
s

b
a
r
r
i
e
r
e
s
S
e
l
e
c
t
i
o
n
n
e
r

l
e
s

b
a
r
r
i
e
r
e
s

p
o
u
r

l
`
a
u
d
i
t
A
u
d
i
t

d
e
s

p
r
o
c
e
s
s
u
s

m
a
n
a
g
e
r
i
a
u
x

A
u
d
i
t

d
e

l
a

c
u
l
t
u
r
e
s
e
c
u
r
i
t
e
C
a
l
c
u
l

d
u

n
i
v
e
a
u

d
e

c
o
n
I
i
a
n
c
e

o
p
e
r
a
t
i
o
n
n
e
l
l
e
E
s
t
i
m
e
r

l
a

r
e
d
u
c
t
i
o
n

d
u

r
i
s
q
u
e
E
t
a
b
l
i
r

l
a

l
i
s
t
e

c
o
m
p
l
e
t
e

d
e
s

s
c
e
n
a
r
i
o
s
C
o
l
l
e
c
t
e
r

l
e
s

d
o
n
n
e
e
s

r
e
l
a
t
i
v
e
s
a
u
x

s
c
e
n
a
r
i
o
s
E
s
t
i
m
e
r

l
a

I
r
e
q
u
e
n
c
e

d
e
s
e
v
e
n
e
m
e
n
t
s

c
r
i
t
i
q
u
e
s

a

p
a
r
t
i
r
d
e

d
o
n
n
e
e
s

g
e
n
e
r
i
q
u
e
s
C
a
l
c
u
l
e
r

l
a

I
r
e
q
u
e
n
c
e

d
e
s
E
C

a

p
a
r
t
i
r

d
e
s

a
r
b
r
e
s

d
e
d
e
I
a
i
l
l
a
n
c
e
C
a
l
c
u
l
e
r

l
a

I
r
e
q
u
e
n
c
e

d
e
s

p
h
e
n
o
m
e
n
e
s

d
a
n
g
e
r
e
u
x
C
a
l
c
u
l
e
r

l
e
s

c
o
n
s
e
q
u
e
n
c
e
s

d
e
s
s
c
e
n
a
r
i
o
s

d
e

r
e
I
e
r
e
n
c
e
U
t
i
l
i
s
e
r

l
a

m
a
t
r
i
c
e

d
e

r
i
s
q
u
e

p
o
u
r

d
e
I
i
n
i
r

l
e
s
s
c
e
n
a
r
i
o
s

d
e

r
e
I
e
r
e
n
c
e
E
s
t
i
m
e
r

l
a

c
l
a
s
s
e

d
e

c
o
n
s
e
q
u
e
n
c
e
d
e
s

p
h
e
n
o
m
e
n
e
s

d
a
n
g
e
r
e
u
x
C
a
l
c
u
l
e
r

l
a

s
e
v
e
r
i
t
e

p
o
u
r

c
h
a
q
u
e

E
C

e
t
c
h
a
q
u
e

p
h
e
n
o
m
e
n
e

d
a
n
g
e
r
e
u
x

p
o
u
r
c
h
a
q
u
e

m
a
i
l
l
e
A
g
r
e
g
e
r

l
e
s

s
e
v
e
r
i
t
e
s

e
n

u
n

i
n
d
i
c
e

d
e
s
e
v
e
r
i
t
e

u
n
i
q
u
e

p
o
u
r

c
h
a
q
u
e

m
a
i
l
l
e
T
r
a
c
e
r

l
a

c
a
r
t
e

d
e

s
e
v
e
r
i
t
e
D
e
I
i
n
i
r

l
a

z
o
n
e

d

`
e
t
u
d
e
E
t
a
b
l
i
r

l
e

m
a
i
l
l
a
g
e

d
e

l
a
z
o
n
e

d

`
e
t
u
d
e
I
d
e
n
t
i
I
i
e
r

l
e
s

c
i
b
l
e
s

Q
u
a
n
t
i
I
i
e
r

l
e
s

c
i
b
l
e
s
C
a
l
c
u
l
e
r

l
a

v
u
l
n
e
r
a
b
i
l
i
t
e
g
l
o
b
a
l
e

p
o
u
r

c
h
a
q
u
e

m
a
i
l
l
e
T
r
a
c
e
r

l
a

c
a
r
t
e

d
e

v
u
l
n
e
r
a
b
i
l
i
t
e
M
I
M
A
H
(
i
d
e
n
t
i
I
i
c
a
t
i
o
n
d
e
s

d
a
n
g
e
r
s
d

`
a
c
c
i
d
e
n
t
s
m
a
j
e
u
r
s
)
M
a
n
a
g
e
m
e
n
t

&
C
u
l
t
u
r
e

s
e
c
u
r
i
t
e
M
I
R
A
S
(
S
e
l
e
c
t
i
o
n

d
e
s
s
c
e
n
a
r
i
o
s

d
e
r
e
I
e
r
e
n
c
e
)
S
e
v
e
r
i
t
e
V
u
l
n
e
r
a
b
i
l
i
t
e
o
u
F
i
g
u
r
e

1
3

:

S
y
n
o
p
t
i
q
u
e

d
e

l
a

m
t
h
o
d
e

A
R
A
M
I
S
.
Rf. : INERIS - DRA - 2006-P46055-CL47569 : 7 : Mthodes d'analyse des risques gnrs par
une installation industrielle
Page 83 sur 119
5.2 LOPA
La mthode LOPA [CCPS 2001] a t dveloppe la fin des annes 1990 par le
CCPS (Center for Chemical Process Safety). LOPA signifie Layer Of Protection
Analysis (Analyse des niveaux de protection). C'est une mthode oriente barrire au
mme titre qu'ARAMS. Les premires tapes sont d'ailleurs assez comparables
celles de la mthode ARAMS, en termes de principes gnraux, mme si de
nombreuses diffrences subsistent au niveau des dtails des deux mthodes. En
revanche, LOPA ne prvoit pas de reprsentation cartographique de la svrit et de
la vulnrabilit.
La mthode LOPA peut tre dcompose en six principales tapes :
1. Etablissement des critres de slection des scnarios valuer.
Cette tape est un pralable l'analyse de risques. Elle fournit le moyen de limiter la
dure de l'tude en ne considrant que les scnarios significatifs en termes de
consquences. Le critre peut tre un critre d'intensit (quantit de produit rejet, flux
mesur la source) ou un critre de consquence qui intgre implicitement l'existence
d'enjeux aux alentours.
2. Dveloppement des scnarios d'accident
Les scnarios d'accident sont dvelopps sur la base d'une analyse de risques
utilisant des outil traditionnels tels que l'AMDEC ou l'HAZOP. Les scnarios sont
reprsents sous forme d'un noud papillon.
3. dentification des frquences d'vnements initiateurs
Une analyse dtaille des scnarios est entreprise en considrant chaque
combinaison d'vnements initiateurs associs une consquence. La frquence
d'occurrence de chaque vnement initiateur est estime sur la base de donnes
internes de retour d'exprience ou de donnes issues de la littrature.
4. dentification des dispositifs de scurit et de leurs probabilits de dfaillance la
demande
Pour chaque scnario on identifie alors les dispositifs de scurit, en considrant les
critres de qualification de ces dispositifs que sont leur indpendance par rapport au
phnomne ou l'vnement auquel ils s'appliquent, la capacit de ralisation du
dispositif, la possibilit d'inspecter le dispositif. Les dispositifs qui rpondent ces
critres sont qualifis d'PL (ndependent Protection Layer), concept rapprocher de
celui d'EPS (Elments mportants Pour la Scurit).
Page 84 sur 119
A chaque dispositif de scurit est associe une probabilit de dfaillance la
sollicitation qui correspond un facteur de rduction du risque. LOPA fait rfrence de
faon explicite au niveau d'intgrit de scurit (SL, Safety ntegrity Level), inspir de
la norme CE 61508. Les systmes de scurit considrs sont essentiellement
techniques, mais il est en thorie possible de prendre aussi en compte les barrires
humaines ou organisationnelles [Gowland 2006].
5. Estimation du risque
La probabilit du scnario d'accident est alors estime en rduisant la probabilit de
l'vnement initiateur de plusieurs ordres de grandeur correspondant aux niveaux de
SL des dispositifs de scurit retenus. Comme dans la mthode ARAMS, des
matrices de dcision permettent de dfinir le niveau de rduction du risque minimum
que doivent prsenter les systmes en fonction du niveau de consquence possible
du scnario et de la frquence de l'vnement initiateur. La mthode LOPA n'impose
cependant pas d'utiliser ces matrices et l'utilisateur est libre de mettre en ouvre des
calculs de sret de fonctionnement plus traditionnels s'il le souhaite et en a la
possibilit.
6. Evaluation du risque par rapport aux critres d'acceptabilit
La dernire tape de la mthode consiste s'assurer que le risque est matris, c'est
dire qu'il est bien infrieur aux critres d'acceptabilit qui ont t fixs au pralable.
LOPA n'impose pas de type de critre prdfini et propose ainsi quatre catgories de
critres :
une grille de criticit comportant une limite d'acceptabilit en termes de gravit et
de frquence ;
un critre purement quantitatif portant sur le niveau de consquence du scnario ;
un critre spcifiant le nombre de dispositifs de scurit indpendants ncessaires
pour considrer qu'un scnario est suffisamment matris ;
un critre de risque cumul maximum pour un site ou un procd.
l n'est pas prvu dans LOPA de produire des informations utiles pour la matrise de
l'urbanisation. Ainsi l'valuation de la vulnrabilit et la cartographie de la svrit ne
sont pas abordes dans la mthode.
Page 85 sur 119
5.3 MOSAR
La mthode MOSAR [PERLHON 2003], Mthode Organise Systmique d'Analyse
de Risques, dveloppe au CEA, est une mthode intgre qui permet d'analyser les
risques sur un site de manire progressive. Cette mthode repose sur le modle
MADS (Mthodologie d'Analyse du Dysfonctionnement des Systmes) prsent en
Figure 14. Celui-ci reprsente le processus de danger, c'est dire la libration d'un
flux de danger par un systme source sous l'effet d'un vnement initiateur interne ou
externe et l'impact de ce flux sur une cible, qui peut elle-mme devenir systme
source de danger pour un processus quivalent. La mthode MOSAR met
particulirement l'accent sur l'enchanement des processus de danger entre systmes
composant une installation et est donc particulirement adapte l'tude des
synergies d'accident ou des effets domino.
Evenement
initiateur
interne
Systeme source
de danger
Evenement
initiateur
externe
Flux de danger
Source de
Ilux de danger
Systeme cible
Evenement
renforateur
interne
Evenement
renforateur
externe
Impact
Etat
Flux de danger
Champs de danger
EIIets de champs
Evenement
initiateur
interne
Systeme source
de danger
Evenement
initiateur
externe
Flux de danger
Source de
Ilux de danger
Systeme cible
Evenement
renforateur
interne
Evenement
renforateur
externe
Impact
Etat
Flux de danger
Champs de danger
EIIets de champs
Evenement
initiateur
interne
Systeme source
de danger
Evenement
initiateur
externe
Flux de danger
Source de
Ilux de danger
Systeme cible
Evenement
renforateur
interne
Evenement
renforateur
externe
Impact
Etat
Flux de danger
Champs de danger
EIIets de champs
Figure 14 : le Modle MADS du processus de danger
MOSAR est constitue de deux modules qui peuvent tre utiliss de faon plus ou
moins indpendante. Le module A correspond une analyse macroscopique des
risques sur un site industriel et s'apparente une analyse prliminaire des risques. Le
module B correspond une analyse plus dtaille des scnarios identifis dans le
cadre du module A l'aide des outils de la sret de fonctionnement.
La mthode MOSAR fait appel des outils directement inspirs des mthodes
d'analyse de risques traditionnelles : APR, AMDEC, arbres de dfaillances.
L'originalit de la mthode est d'en organiser l'utilisation et de proposer des grilles et
des listes guides dans un souci d'exhaustivit. Par ailleurs, des outils sont proposs
pour tudier les interactions entre sous-systmes, notamment sous forme d'effets
domino.
Page 86 sur 119
Les deux modules suivent peu prs la mme structure :
Module A - analyse macroscopique :
Reprsenter l'installation, identifier les sources de danger ;
dentifier les dangers et construire les scnarios d'accident ;
Evaluer les risques ;
Ngocier les objectifs de prvention ;
Dfinir les barrires de scurit.
Module B - analyse microscopique :
dentifier les risques de dysfonctionnement ;
Evaluer les risques en construisant des arbres de dfaillance et en les qualifiant ;
Ngocier un objectif prcis de prvention ;
Affiner les moyen de prvention ;
Grer les risques.
Le module A de la mthode MOSAR s'appuie sur une liste des sources de danger et
sur un tableau d'analyse de risques. La "grille 1", qui fait office de check-list, dsigne
des systmes sources dont elle prcise le danger (par exemple, systmes sources de
toxicit et d'agressivit), regroups sous huit rubriques :
A- Systmes sources de danger d'origine mcanique ;
B- Systmes sources de danger d'origine chimique ;
C- Systmes sources de danger d'origine lectrique ;
D- Systmes sources de danger de dveloppement d'incendie ;
E- Systmes sources de danger lis aux rayonnements ;
F- Systmes sources de danger de nature biologique ;
G- Systmes sources de danger lis l'environnement actif ;
H- Systmes sources de danger d'origine conomique et sociale.
L'valuation de la probabilit est faite, au choix de l'utilisateur de faon qualitative,
semi-quantitative ou quantitative l'aide des outils classiques prsents plus haut
(arbres des dfaillances, arbres d'vnements). MOSAR prescrit par ailleurs
explicitement l'identification et la qualification des barrires de scurit et tablit la
distinction entre barrires techniques et barrires d'utilisation (qualifies dans d'autres
mthodes de barrires humaines).
Page 87 sur 119
5.4 QRA
L'analyse quantitative des risques [Bedford 2001], en anglais Quantitative Risk
Assessment (QRA), est une mthode dont l'objectif est d'valuer la probabilit de
dommages causs par un accident potentiel. Cette mthode, initialement dveloppe
dans le domaine des transports et dans le nuclaire a t progressivement adapte
l'industrie des procds, notamment dans les pays du nord de l'Europe. La
particularit des mthodes de QRA tient dans la faon d'exprimer et de reprsenter les
rsultats de l'analyse de risques. On calcule gnralement d'une part la probabilit
qu'un individu, un emplacement donn, meure des effets de l'accident, qualifi de
risque individuel et, d'autre part, la fraction de la population susceptible de mourir des
effets de l'accident et la frquence associe, qualifies de risque socital. l est noter
que le QRA ne prend donc souvent en compte que les effets ltaux sur les
personnes
20
. Ces rsultats sont gnralement reprsents sous forme de courbe
frquence/gravit (ou courbe F/N) pour le risque socital ou de courbes iso risque
pour le risque individuel.
Dans le domaine des risques lis aux installations fixes, la rfrence en matire de
QRA reste l'ouvrage du Committee for the Prevention of Disasters, "guidelines for
quantitative risk assessment" plus connu sous le titre de "Purple book" [CPR 18
E
,
1999] qui constitue la rfrence pour l'tablissement du QRA dans le cadre des
procdures rglementaires hollandaises. Les principales tapes du QRA dfinies par
le "Purple book" sont les suivantes :
Slection des installations pour le QRA
La slection des installations repose sur le calcul pour chaque installation d'un
indicateur A qui prend en compte la quantit de substance dangereuse stocke ou
mise en ouvre, le type d'quipement (stockage ou process), l'exposition de
l'installation des conditions particulires, l'tat physique de la substance et la nature
de la substance. En fonction de la valeur que prend cet indicateur, l'installation est
retenue ou non pour le QRA.
Dfinition des vnements redouts centraux (pertes de confinement) et des
frquences associes
Pour chaque installation retenue pour le QRA, la mthode prvoit d'tablir la liste des
vnements de perte de confinement potentiels. Ces vnements sont considrs
indpendamment de leurs causes sur la base d'une association prtablie entre une
typologie d'quipements et une typologie d'vnements. A chaque type d'vnement,
le "Purple book" associe une valeur de frquence qui est utilise pour les calculs
probabilistes qui suivent. Ces valeurs sont issues d'tudes statistiques ralises dans
les annes quatre-vingts essentiellement aux Pays-Bas. Elles refltent donc un niveau
de matrise moyen correspondant la technologie de l'poque et du lieu ainsi qu'aux
types d'industries concernes par l'tude (malheureusement non prciss). La
mthode prvoit qu'il est possible d'altrer les donnes statistiques en fonction de

20
Certaines version de QRA, dont celle dveloppe par l'NERS pour l'valuation quantitative des
risques lis au transport de marchandises dangereuses, prennent aussi en compte les risques de
blessure.
Page 88 sur 119
l'environnement de l'exploitation en augmentant de faon forfaitaire (d'un facteur 3
10) la frquence de rfrence si l'installation est soumise des vibrations, des cycles
thermiques importants ou des sources de corrosion/rosion. Si des barrires de
scurit supplmentaires sont prsentes pour limiter ou mitiger les consquences
d'une perte de confinement il est en thorie possible de les prendre en compte en
appliquant des mthodes de type arbre d'vnements. En revanche, il n'est pas prvu
de prendre en compte des barrires de prvention spcifiques qui viendraient rduire
la probabilit d'une perte de confinement.
Modlisation de l'intensit du phnomne
L'tape suivante est une tape de modlisation des consquences. Elle conduit
calculer l'intensit du phnomne dangereux pour chaque vnement de perte de
confinement issu de l'tape prcdente. L'intensit s'exprime par la rpartition des
concentrations en substance toxique, par des niveaux de flux thermique ou par des
niveaux de surpression en fonction du phnomne considr. Les modles utiliser
sont ceux qui sont dcrits dans le "Yellow Book"[CPR 14
E
1997]. l s'agit de modles
de dispersion, d'effets thermiques et d'explosion classiques. Les modlisations sont
ralises pour diffrentes conditions mtorologiques auxquelles sont associes des
probabilits d'occurrence. Chaque ensemble de conditions initiales est aussi qualifi
en terme de probabilit. Les rsultats ainsi obtenus seront utiliss dans la dernire
tape pour calculer le risque individuel et le risque socital. A ce stade, ces rsultats
sont exprims en termes d'intensit du phnomne et de probabilit associe cette
intensit.
Modlisation de l'exposition et des dommages
Cette tape consiste convertir des intensits de phnomnes dangereux
(concentration de gaz toxique, flux thermique, onde de pression) en probabilit de
mort d'un individu expos et en fraction de population tue. Les fonctions de probit
sont utilises cette fin. Les modles utiliss sont dcrits dans le "Green Book"[CPR
16
E
, 1992] et dans le "Purple Book" [CPR 18
E
, 1999].
Calcul et prsentation des rsultats.
La dernire tape du calcul permet en premier lieu d'estimer le risque individuel, qui
est calcul en effectuant la somme des probabilits de mort associes chaque
rsultat de l'tape 3. Le risque socital est ensuite obtenu en divisant l'espace autour
de l'installation en cellules d'gale superficie et en valuant la population
potentiellement expose dans chaque cellule et le nombre de morts parmi cette
population pour chaque rsultat de l'tape 3. En effectuant la somme du nombre de
morts de chaque cellule environnant l'installation pour un scnario donn et un
ensemble de conditions donnes, on obtient la contribution en nombre de morts de ce
scnario et de cet ensemble de conditions. Pour tablir le risque socital, on tablit
alors des classes de mortalit (1, 10, 100, 1000 morts) et, pour chacune de ces
classes, on calcule la somme des frquences (F
N
) des scnarios qui peuvent produire
un nombre suprieur ou gal au nombre de morts (N) de la classe. La reprsentation
graphique des frquences associes chaque classe produit une courbe F/N.
Page 89 sur 119
Figure 15 : Exemple de courbe iso risque ou carte du risque individuel (fictive)
Courbe F/N
1,00E-09
1,00E-08
1,00E-07
1,00E-06
1,00E-05
1,00E-04
1,00E-03
1 10 100 1000
Nombre de morts
F
r
q
u
e
n
c
e

a
n
n
u
e
I
I
e
Frquence cumule
Limite d'acceptabilit
Figure 16 : reprsentation du risque socital courbe F/N typique (d'aprs [CPR 18
E
, 1999])
Page 90 sur 119
Les rsultats du QRA peuvent donc tre reprsents de deux manire : soit sous la
forme d'une carte du risque individuel (Figure 15), soit sous la forme d'une courbe F/N
(Figure 16). Dans les deux cas, l'exploitation de ces rsultats pour la prise de dcision
implique la dfinition d'un niveau de risque acceptable en terme de probabilit de
mortalit.
Mme si par plusieurs aspects, ARAMS et LOPA peuvent tre rapproches de la
mthode du QRA, celle-ci se distingue des deux autres par le fait qu'elle est moins
adapte la prise en compte des barrires de prvention spcifiques au site tudi.
Seules les barrires permettant de limiter ou mitiger une perte de confinement peuvent
tre explicitement considres pour le calcul de la probabilit finale de dommages. Le
QRA est donc moins adapt la dmonstration de la matrise du risque sur un site
industriel comme le demande la directive SEVESO .
Page 91 sur 119
6 DEMARCHE D'ANALYSE DE RISQUES PRATIQUEE PAR L'INERIS
DANS LES ETUDES DE DANGERS
La dmarche d'analyse des risques pratique par l'NERS dans les tudes de
dangers est dcrite en dtails dans le rapport Omga 9 sur les tudes de dangers
[Joly 2006]. Nous n'en rappelons donc ici que les principales caractristiques. Elle se
droule en deux tapes. Une premire Analyse Prliminaire des Risques (APR)
permet d'identifier l'ensemble des scnarios d'accident potentiel. Elle est suivie d'une
tude dtaille des risques qui permet de qualifier les scnarios jugs critiques en
termes de probabilit et gravit.
6.1 L'ANALYSE PRELIMINAIRE DES RISQUES
6.1.1 LE DEROULEMENT DE L'APR EN SEANCE
Le support utilis par la Direction des Risques Accidentels de l'NERS pour la mise en
ouvre de la mthode est un tableau qui est rempli, en partie, en sances d'Analyse
Prliminaire des Risques. Un exemple figure ci-aprs :
Tableau 15 : Exemple de tableau utilis dans les Analyses Prliminaires des Risques
Section tudie : Mode de fonctionnement :
InstaIIation : Entre de Ia maiIIe :
PID: Sortie de Ia maiIIe :
ntitul Cause Drive ERC Phno
N Drive
Cause
(de la drive)
Frquence
de la cause
Evnement
Redout Central
Phnomne
dangereux
ntensit
(de 1 4)
Gravit sur
l'environ-
nement
Gravit sur
les
populations
Barrires de scurit
NC
Page 92 sur 119
A partir du tableau, le groupe de travail adopte une dmarche systmatique sous la
forme suivante :
1) SIection du systme ou de Ia fonction tudier sur la base de la description
fonctionnelle ralise au pralable.
2) Choix d'un quipement ou produit pour ce systme ou cette fonction.
3) Pour cet quipement, prise en compte d'une premire situation de dangers
(colonne Evnement Redout Central ).
4) Pour cet ERC, identification de toutes Ies causes (colonnes Drive et
Causes ) et des phnomnes dangereux susceptibIes de se produire
directement ou par effets dominos (colonne Phnomne Dangereux ).
5) Cotation de la frquence d'occurrence de la cause envisage sans prise en
compte des barrires de scurit existantes selon l'chelle de cotation choisie
par le groupe, (un exemple est donn en Tableau 2 au chapitre 3).
6) Pour les phnomnes dangereux identifis, estimation de l'intensit des effets
et cotation associe en fonction de l'chelle de cotation considre par le
groupe, (voir l'exemple en Figure 3 au chapitre 3).
7) Pour un enchanement Cause-ERC-Phnomne Dangereux donn,
identification des barrires de scurit existantes sur l'installation.
8) Evaluation prliminaire du niveau de confiance des barrires de scurit
listes en considrant aussi leur indpendance, leur capacit de ralisation ou
efficacit et leur de temps de rponse.
9) Si l'analyse montre l'apparition de nouveaux phnomnes dangereux induits
par le fonctionnement, voire le dysfonctionnement de certaines barrires de
scurit (ex : soupapes), une nouvelle ligne est cre dans le tableau d'APR
traduisant un nouveau scnario d'accident, potentiellement majeur.
10) Si tous les enchanements ont t tudis, choix d'un nouveI ERC, ou d'une
nouvelle drive, pour le mme quipement et retour au point 4).
11) Lorsque toutes les situations de dangers ont t passes en revue pour
l'quipement considr, choix d'un nouveI quipement et retour au point 3)
prcdent.
12) Le cas chant, lorsque tous les quipements ont t examins, choix d'un
nouveau systme ou fonction et retour au point 2).
Page 93 sur 119
6.1.2 PRODUITS DE SORTIE DE L'APR
En fin d'Analyse Prliminaire des Risques, l'industriel dispose donc des donnes
suivantes :
cotation en intensit des phnomnes dangereux, permettant d'identifier ceux qui
peuvent potentiellement conduire un accident majeur ;
liste des phnomnes dangereux pouvant avoir des effets l'extrieur du site ;
liste des scnarios (et donc des causes) pouvant induire chaque phnomne
dangereux ;
cotation des scnarios, en terme de frquence, d'apparition des causes (en
l'absence de mesures prventives ou protectrices) conduisant l'occurrence des
scnarios accidentels ;
liste des barrires de scurit performantes mises en ouvre pour la matrise des
scnarios accidentels considrs, et niveaux de confiance ventuellement
dtermins (selon le type d'approche choisi).
6.2 L'ETUDE DETAILLEE DES RISQUES
La finalit de l'tude dtaille est de porter un examen approfondi sur les phnomnes
dangereux susceptibles de conduire un accident majeur, c'est--dire, ceux dont les
effets peuvent atteindre des enjeux l'extrieur de l'tablissement, et de vrifier la
matrise des risques associs.
Du point de vue pratique, l'NERS ralise cette tape en partie avec le groupe de
travail, notamment pour ce qui est relatif l'valuation des barrires de scurit et aux
itrations rendues ncessaires par la dmarche de rduction des risques.
A l'issue de ce travail, l'industriel doit disposer d'une vision globale des risques
rsiduels associs ses installations se traduisant par une caractrisation de la
probabilit d'occurrence et de la cintique d'apparition des phnomnes dangereux
susceptibles de conduire un accident majeur. Celle-ci s'obtient en agrgeant
l'ensemble des scnarios autour d'un mme phnomne dangereux, en prenant en
compte les barrires de scurit performantes. Pour ce faire, l'NERS utilise le noud
papillon.
Cette tape sera ensuite complte par une caractrisation des effets associs aux
phnomnes dangereux considrs en prenant en compte les barrires juges
performantes, ncessitant des modlisations l'aide d'outils de calcul adapts.
Concernant la caractrisation en probabilit, celle-ci est ralise en reportant sur le
noud papillon les valeurs qualitatives, semi-quantitatives ou quantitatives de
frquence d'occurrence de chaque vnement initiateur ou cause, ainsi que les taux
de dfaillance ou niveaux de confiance des barrires de scurit. La probabilit de
l'vnement critique est obtenue en appliquant soit les rgles classiques de calcul
dans les arbres de dfaillance soit leur traduction simplifie pour une approche semi-
quantitative qualifie d'approche barrire .
Page 94 sur 119
Ceci est illustr dans l'exemple qui suit (Figure 17). Dans cet exemple, le niveau de
confiance des barrires de scurit a t estim et retranscrit en terme de probabilit
de dfaillance la sollicitation suivant la rgle suivante :
P = 10
-NC
Ces probabilits de dfaillance des barrires la sollicitation viennent pondrer la
frquence de la cause sur laquelle elles agissent.
Figure 17 : Exemple de dtermination de la probabilit rsiduelle d'un phnomne dangereux
A l'issue de l'tude dtaille de rduction des risques, le groupe de travail propose, le
cas chant (pour les tablissements AS), une premire liste de barrires mportantes
Pour la Scurit, avec leurs lments constitutifs.
A l'issue de l'tape d'tude dtaille de rduction des risques, l'exploitant dispose :
de la caractrisation en probabilit et cintique des phnomnes dangereux
susceptibles de conduire un accident majeur ;
d'une dmonstration de la matrise des risques d'accidents majeurs par la mise en
place de barrires de scurit adaptes et performantes, prenant en compte toutes
les combinaisons d'vnements envisages ; le cas chant, des mesures
complmentaires de rduction des risques auront t suggres.
d'une liste de fonctions PS et barrires associes.
Page 95 sur 119
7 POINTS FORTS ET LIMITES DES METHODES D'ANALYSE DES
RISQUES
7.1 POINTS FORTS DES METHODES CLASSIQUES D'ANALYSE DES RISQUES
Les chapitres prcdents ont prsent les avantages et les limites associs chacune
des mthodes d'analyse des risques prsentes dans ce document dont nous
proposons une synthse dans ce septime chapitre.
7.1.1 CARACTERE SYSTEMATIQUE
Le premier avantage des mthodes d'analyse des risques rside dans leur caractre
systmatique.
En effet, ces dernires permettent d'envisager de manire mthodique, les diffrentes
situations de danger et vnements redouts ainsi que leurs causes et consquences.
Cet aspect systmatique est particulirement important en vue d'identifier les
situations de danger de la manire la plus exhaustive possible.
Par ailleurs, ces mthodes permettent d'apporter des lments techniques pour juger
de la matrise des risques la source, grce notamment l'identification de barrires
de scurit existantes ou envisager face aux risques considrs. Cette matrise des
risques ne peut effectivement tre dmontre que si l'ensemble des causes et
consquences physiquement envisageables a t envisag. A l'chelle d'un site
industriel, ce travail peut s'avrer complexe et ces mthodes constituent ainsi une aide
prcieuse pour guider la rflexion.
7.1.2 OUTILS D'ECHANGE ET DE COMMUNICATION
La plupart des mthodes d'analyse des risques trouvent leur pleine efficacit
lorsqu'elles sont mises en ouvre au sein d'un groupe de travail pluridisciplinaire. A ce
titre, elles constituent un outil d'change et de communication entre des personnes de
sensibilits et de mtiers diffrents.
Ainsi, la richesse de ces mthodes ne se trouve pas dans leurs principes de base,
mais bien dans l'exprience runie au sein de ce groupe de travail. Les runions ainsi
menes permettent donc de partager des expriences diverses et de rflchir de
manire globale et raliste la scurit de l'installation examine.
Page 96 sur 119
7.1.3 COMPLEMENTARITE DES METHODES
Comme nous l'avons vu prcdemment, ces mthodes d'analyse des risques sont
gnralement complmentaires.
Des mthodes assez simples telles que l'APR permettent d'identifier les risques
principaux associs une installation ainsi que les barrires de scurit qui y sont
adjointes. Cette premire analyse peut tre utilement complte par une analyse plus
fine grce des mthodes comme l'AMDEC ou l'HAZOP, en faisant porter l'tude sur
les parties particulirement critiques de l'installation. En dernier lieu, les rsultats de
cette nouvelle phase d'analyse peuvent donner matire l'examen d'vnements
jugs critiques grce des outils permettant de combiner les dfaillances tels que
l'analyse par arbre des dfaillances ou arbre des causes.
Cette diversit permet donc de retenir les outils les plus adapts au cas particulier
traiter et de pouvoir assurer une analyse en profondeur d'une installation en utilisant
des outils de plus en plus ddis des parties bien dfinies de ce systme.
7.2 LIMITES INHERENTES AUX METHODES CLASSIQUES D'ANALYSE DES RISQUES
7.2.1 RISQUES D'AGRESSIONS EXTERNES
Bien que les mthodes prsentes dans ce document puissent considrer l'ventualit
d'agressions externes affectant l'installation tudie, elles sont principalement ddies
l'identification des risques gnrs par cette installation sur son environnement.
En d'autres termes, il est indispensable de mener au pralable une phase
d'identification des sources d'agressions externes comme celles associes la
possibilit d'effets dominos, aux conditions climatiques ou environnementales (foudre,
sismes.) ou aux actes de malveillance.
Par exemple, dans le cadre d'une tude des dangers qui vise l'identification et la
matrise de tous les risques possiblement envisageables, l'analyse des risques ne se
rsume pas l'utilisation d'une APR ou d'une AMDEC par exemple, mais doit
galement intgrer l'utilisation d'outils ddis aux risques d'origine externe. A titre
d'exemple, signalons que l'tude des dangers doit s'accompagner d'une tude foudre
lors d'une procdure de demande d'autorisation d'exploiter.
7.2.2 ESTIMATION DU RISQUE
Les mthodes d'analyse des risques permettent au groupe de travail d'estimer les
risques en terme de probabilit et de gravit. Au niveau de l'analyse des risques, cette
estimation des risques est effectue de manire simplifie et ne doit pas tre
considre comme un outil prcis d'valuation. Cette phase vise simplement donner
des indications sur les risques jugs a priori les plus importants en vue d'envisager de
la manire la plus efficace possible, les mesures de prvention et de protection devant
tre engages.
Page 97 sur 119
En effet, il est parfois impossible de juger a priori de la gravit d'un accident potentiel
tant le nombre de paramtres intervenant dans les rsultats est important. C'est
notamment le cas pour les rejets l'atmosphre de gaz toxiques.
En rsum, la phase d'estimation des risques suite l'utilisation de ces mthodes
permet notamment d'identifier les risques les plus importants. Pour ces risques jugs
les plus critiques, une valuation plus fine de la gravit peut demeurer indispensable.
Cette valuation est effectue partir de scnarios d'accident et moyennant
l'utilisation de modlisations plus ou moins complexes selon les phnomnes traiter
et l'environnement du site.
7.2.3 EXHAUSTIVITE
Tous les outils systmatiques d'analyse des risques visent tendre vers le plus
d'exhaustivit possible. Nanmoins, force est de constater qu'il est impossible de
garantir une exhaustivit totale. En d'autres termes, leur utilisation ne garantit pas une
identification complte de toutes les causes potentielles d'un accident majeur car :
La richesse de ces mthodes s'appuie sur l'exprience acquise au sein du groupe
de travail. l semble nanmoins humainement impossible d'envisager toutes les
causes possibles d'un accident potentiel. Ce constat apparat d'autant plus vrai
que l'on traite le plus souvent d'vnements ou de combinaisons d'vnements
particulirement rares.
La qualit des rsultats et leur caractre exhaustif dpendent galement du temps
et des moyens consacrs l'analyse. Plus ces moyens seront importants, plus on
tendra vers une exhaustivit totale. Cette remarque met en outre en lumire
l'importance du caractre itratif de l'analyse des risques.
En rsum, retenons donc que l'utilisation de mthodes d'analyse des risques tels que
celles prsentes dans ce document constitue une aide prcieuse pour l'identification
des risques mais ne garantit pas 100 % que tous les accidents susceptibles de
survenir auront bien t identifis.
7.3 POINTS FORTS DES METHODES INTEGREES D'ANALYSE DE RISQUES
Les mthodes intgres prsentes au chapitre prcdent ont t dveloppes pour
compenser certaines limites des outils d'analyse simples tels que l'AMDEC, l'HAZOP.
Elles visent avant tout organiser l'utilisation des outils dans une dmarche globale
d'estimation des risques. Elles ne se limitent donc pas l'identification des scnarios
et l'estimation rapide de la probabilit mais intgrent des tapes d'estimation de
l'intensit des phnomnes, d'identification et de qualification des barrires de
scurit, de prsentation des rsultats dans des formats adapts une utilisation dans
le cadre d'un processus dcisionnel donn.
Les mthodes intgres proposent gnralement des outils supports leur mise en
ouvre : listes guides, outils logiciels, systmes d'information gographique. Elles
prcisent la manire d'oprer pour certaines estimations qui demeurent non dfinies
dans les outils de base : estimation de la probabilit, de la fiabilit des barrires de
scurit, etc.
Page 98 sur 119
7.4 LIMITES DES METHODES INTEGREES D'ANALYSE DE RISQUES
La contrepartie des points forts des mthodes intgres est une lourdeur apparente de
mise en oeuvre. Elle tient au nombre d'tapes composant ces mthodes, notamment
des tapes de mise en forme et de prsentation des rsultats. Cette lourdeur doit
cependant tre relativise dans la mesure o les rsultats des outils classiques
d'analyse doivent aussi faire l'objet d'une mise en forme et d'un traitement pour
rpondre aux besoins des dcideurs dans les processus complexes tels que ceux
conduisant la matrise de l'urbanisation, par exemple.
7.5 SYNTHESE DES AVANTAGES ET DOMAINES D'APLICATION DES METHODES
PRESENTEES
Le Tableau 16 prsente une synthse des principales caractristiques des mthodes
prsentes dans ce document : domaine d'application, objectif, facilit de mise en
ouvre, niveau d'intgration, prise en compte de la vulnrabilit et prise en compte des
barrires de scurit.
La facilit de mise en ouvre est cote dans une chelle quatre niveaux allant de 1=
facile 4= difficile. Cette cotation tient compte essentiellement de la complexit de la
mthode et du temps ncessaire sa mise en ouvre. En revanche des mthodes en
apparence simples, comme la mthode APR ncessitent une grande expertise de la
part de l'analyste pour fournir des rsultats pertinents.
Le niveau d'intgration reprsente la maille laquelle s'appliquent les rsultats de
l'analyse. Les mthodes intgres permettent gnralement d'agrger l'chelle
d'une installation des rsultats obtenus avec des mthodes lmentaires pour les
sous-systmes composant l'installation.
R
f
.

:

I
N
E
R
I
S

-

D
R
A

-

2
0
0
6
-
P
4
6
0
5
5
-
C
L
4
7
5
6
9

:

7

:

M
t
h
o
d
e
s

d
'
a
n
a
l
y
s
e

d
e
s

r
i
s
q
u
e
s

g
s

p
a
r

u
n
e

i
n
s
t
a
l
l
a
t
i
o
n

i
n
d
u
s
t
r
i
e
l
l
e
P
a
g
e

9
9

s
u
r

1
1
9
T
a
b
l
e
a
u

1
6

:

P
r
i
n
c
i
p
a
l
e
s

c
a
r
a
c
t
r
i
s
t
i
q
u
e
s

d
e
s

m
t
h
o
d
e
s

d
'
a
n
a
l
y
s
e

d
e

r
i
s
q
u
e
s
T
y
p
e

d
'
i
n
d
u
s
t
r
i
e
O
b
j
e
c
t
i
f
F
a
c
i
l
i
t

d
e
m
i
s
e

e
n
o
u
v
r
e
`
N
i
v
e
a
u
d
'
i
n
t
g
r
a
t
i
o
n
`
R
e
m
a
r
q
u
e
I
n
t
g
r
e

u
n
e

a
n
a
l
y
s
e
d
e

v
u
l
n
r
a
b
i
l
i
t

d
e
s
e
n
j
e
u
x

e
x
t
e
r
n
e
s
p
o
u
r

l
'
v
a
l
u
a
t
i
o
n
d
e
s

c
o
n
s
q
u
e
n
c
e
s
A
p
p
r
o
c
h
e

b
a
r
r
i
r
e
M
t
h
o
d
e
s

m
e
n
t
a
i
r
e
s

i
n
d
u
c
t
i
v
e
s

(
r
e
c
h
e
r
c
h
e

d
e
s

c
o
n
s
q
u
e
n
c
e
s

p
o
t
e
n
t
i
e
l
l
e
s

d
'
u
n

n
e
m
e
n
t
)
A
n
a
l
y
s
e
P
r
e
l
i
m
i
n
a
i
r
e
d
e
s

R
i
s
q
u
e
s
(
A
P
R
)
T
o
u
t

t
y
p
e
,
i
n
s
t
a
l
l
a
t
i
o
n
s
s
i
m
p
l
e
s
I
d
e
n
t
i
I
i
e
r

l
e
s

d
e
r
i
v
e
s

e
t

l
e
u
r
s
c
o
n
s
e
q
u
e
n
c
e
s

p
o
t
e
n
t
i
e
l
l
e
s
1
I
n
s
t
a
l
l
a
t
i
o
n
(
v
o
i
r
e

s
i
t
e
)
I
m
p
l
i
c
i
t
e
N
o
n

q
u
a
n
t
i
I
i
e
e
A
M
D
E

e
t
A
M
D
E
C
S
y
s
t
e
m
e
s
t
e
c
h
n
i
q
u
e
s
,
p
r
o
c
e
s
s
u
s
d
i
s
c
r
e
t
s
A
n
a
l
y
s
e
r

I
i
n
e
m
e
n
t

l
e
s

m
o
d
e
s
d
e

d
e
I
a
i
l
l
a
n
c
e

d
e
s

c
o
m
p
o
s
a
n
t
s
d
'
u
n

s
y
s
t
e
m
e

t
e
c
h
n
i
q
u
e

e
t

l
e
u
r
s
c
o
n
s
e
q
u
e
n
c
e
s
2
S
o
u
s
-
s
y
s
t
e
m
e
N
e
c
e
s
s
i
t
e

u
n
e
d
e
c
o
m
p
o
s
i
t
i
o
n
p
o
u
s
s
e
e

d
u

s
o
u
s
-
s
y
s
t
e
m
e
N
o
n
N
o
n

q
u
a
n
t
i
I
i
e
e
H
A
Z
O
P
S
y
s
t
e
m
e
s
t
e
c
h
n
i
q
u
e
s
t
h
e
r
m
o
-
h
y
d
r
a
u
l
i
q
u
e
s
A
n
a
l
y
s
e
r

I
i
n
e
m
e
n
t

l
e
s

c
a
u
s
e
s

e
t
c
o
n
s
e
q
u
e
n
c
e
s

p
o
t
e
n
t
i
e
l
l
e
s

d
e
d
e
r
i
v
e
s

d
'
u
n

s
y
s
t
e
m
e

(
a
d
a
p
t
e
a
u
x

p
r
o
c
e
d
e
s
)
3
S
o
u
s
-
s
y
s
t
e
m
e
N
e
c
e
s
s
i
t
e

u
n
e
d
e
c
o
m
p
o
s
i
t
i
o
n
p
o
u
s
s
e
e

d
u

s
o
u
s
-
s
y
s
t
e
m
e
N
o
n
N
o
n

q
u
a
n
t
i
I
i
e
e
W
h
a
t
-
I
I
T
o
u
t

t
y
p
e
,
i
n
s
t
a
l
l
a
t
i
o
n
s
s
i
m
p
l
e
s
,
s
y
s
t
e
m
e
s
t
e
c
h
n
i
q
u
e
s
I
d
e
n
t
i
I
i
e
r

l
e
s

d
e
r
i
v
e
s

e
t

l
e
u
r
s
c
o
n
s
e
q
u
e
n
c
e
s

p
o
t
e
n
t
i
e
l
l
e
s
2
I
n
s
t
a
l
l
a
t
i
o
n
o
u

s
o
u
s
-
s
y
s
t
e
m
e
N
e
c
e
s
s
i
t
e

u
n
e
b
o
n
n
e
c
o
n
n
a
i
s
s
a
n
c
e

d
u
s
y
s
t
e
m
e
,

p
a
s
d
'
a
n
a
l
y
s
e

d
e
s
c
a
u
s
e
s
N
o
n
N
o
n

q
u
a
n
t
i
I
i
e
e
A
n
a
l
y
s
e

p
a
r
a
r
b
r
e

d
e
s
e
v
e
n
e
m
e
n
t
s
(
A
d
E
)
T
o
u
s
A
n
a
l
y
s
e

i
n
d
u
c
t
i
v
e

:
R
e
p
r
e
s
e
n
t
e
r

l
e
s

c
o
n
s
e
q
u
e
n
c
e
s
p
o
s
s
i
b
l
e
s

d
'
u
n

e
v
e
n
e
m
e
n
t
G
e
n
e
r
a
l
e
m
e
n
t

e
n

a
n
a
l
y
s
a
n
t

l
e
s
c
o
n
s
e
q
u
e
n
c
e
s

d
e
s
I
o
n
c
t
i
o
n
n
e
m
e
n
t
s

e
t
d
y
s
I
o
n
c
t
i
o
n
n
e
m
e
n
t
s

d
e
s
b
a
r
r
i
e
r
e
s
3
S
o
u
s
-
s
y
s
t
e
m
e
U
t
i
l
e

p
o
u
r

u
n
e
v
i
s
u
a
l
i
s
a
t
i
o
n

e
t

u
n
e
a
n
a
l
y
s
e
s
y
s
t
e
m
a
t
i
q
u
e

d
e
s
c
o
n
s
e
q
u
e
n
c
e
s

d
e
d
y
s
I
o
n
c
t
i
o
n
n
e
m
e
n
t
s

d
e
s

b
a
r
r
i
e
r
e
s
.
N
o
n
L
e
s

e
v
e
n
e
m
e
n
t
s

s
o
n
t

s
o
u
v
e
n
t

d
e
s
I
o
n
c
t
i
o
n
n
e
m
e
n
t
s

o
u
d
y
s
I
o
n
c
t
i
o
n
n
e
m
e
n
t
s

d
'
e
l
e
m
e
n
t
s

d
e
c
o
n
t
r
l
e

d
u

p
r
o
c
e
d
e

o
u

d
e

b
a
r
r
i
e
r
e
s
d
e

s
e
c
u
r
i
t
e
.
R
f
.

:

I
N
E
R
I
S

-

D
R
A

-

2
0
0
6
-
P
4
6
0
5
5
-
C
L
4
7
5
6
9

:

7

:

M
t
h
o
d
e
s

d
'
a
n
a
l
y
s
e

d
e
s

r
i
s
q
u
e
s

g
s

p
a
r

u
n
e

i
n
s
t
a
l
l
a
t
i
o
n

i
n
d
u
s
t
r
i
e
l
l
e
P
a
g
e

1
0
0

s
u
r

1
1
9
T
y
p
e

d
'
i
n
d
u
s
t
r
i
e
O
b
j
e
c
t
i
f
F
a
c
i
l
i
t

d
e
m
i
s
e

e
n
o
u
v
r
e
N
i
v
e
a
u
d
'
i
n
t
g
r
a
t
i
o
n
R
e
m
a
r
q
u
e
I
n
t
g
r
e

u
n
e

a
n
a
l
y
s
e
d
e

v
u
l
n
r
a
b
i
l
i
t

d
e
s
e
n
j
e
u
x

e
x
t
e
r
n
e
s
p
o
u
r

l
'
v
a
l
u
a
t
i
o
n
d
e
s

c
o
n
s
q
u
e
n
c
e
s
A
p
p
r
o
c
h
e

b
a
r
r
i
r
e
M
t
h
o
d
e
s

m
e
n
t
a
i
r
e
s

d
d
u
c
t
i
v
e
s

(
r
e
c
h
e
r
c
h
e

d
e
s

c
a
u
s
e
s

p
o
t
e
n
t
i
e
l
l
e
s

d
'
u
n

n
e
m
e
n
t
)
A
n
a
l
y
s
e

p
a
r
a
r
b
r
e

d
e
s
d
e
I
a
i
l
l
a
n
c
e
s
(
A
d
D
)
T
o
u
s
A
n
a
l
y
s
e

d
e
d
u
c
t
i
v
e

:

r
e
c
h
e
r
c
h
e
r
l
e
s

c
a
u
s
e
s

d
'
u
n

e
v
e
n
e
m
e
n
t
R
e
p
r
e
s
e
n
t
e
r

l
e

s
c
e
n
a
r
i
o
d
'
a
c
c
i
d
e
n
t

:

a
n
a
l
y
s
e

d
e
s

c
a
u
s
e
s
.
E
I
I
e
c
t
u
e
r

d
e
s

c
a
l
c
u
l
s
p
r
o
b
a
b
i
l
i
s
t
e
s
P
l
u
s

r
e
c
e
m
m
e
n
t

:

r
e
p
r
e
s
e
n
t
e
r
l
e
s

b
a
r
r
i
e
r
e
s

d
e

s
e
c
u
r
i
t
e

e
t

l
e
u
r
i
m
p
a
c
t

s
u
r

u
n

s
c
e
n
a
r
i
o
3
S
o
u
s
-
s
y
s
t
e
m
e
S
o
u
v
e
n
t

(
m
a
i
s

p
a
s
o
b
l
i
g
a
t
o
i
r
e
m
e
n
t

)
c
o
n
s
t
r
u
i
t

s
u
i
t
e

a

u
n
e
A
P
R
,

A
M
D
E
C

o
u
H
A
Z
O
P
N
o
n
D
e
u
x

a
p
p
r
o
c
h
e
s

p
o
s
s
i
b
l
e
s

:
r
e
p
r
e
s
e
n
t
a
t
i
o
n

d
e
s

d
e
I
a
i
l
l
a
n
c
e
s

d
e
s
b
a
r
r
i
e
r
e
s

c
o
m
m
e

d
e
s

e
v
e
n
e
m
e
n
t
s
R
e
p
r
e
s
e
n
t
a
t
i
o
n

d
e
s

b
a
r
r
i
e
r
e
s
c
o
m
m
e

o
b
s
t
a
c
l
e
s

a

l
a

p
r
o
p
a
g
a
t
i
o
n
d
u

s
c
e
n
a
r
i
o
M
t
h
o
d
e

m
e
n
t
a
i
r
e

m
i
x
t
e
A
n
a
l
y
s
e

p
a
r
n
o
u
d

p
a
p
i
l
l
o
n
T
o
u
s
A
n
a
l
y
s
e
r

d
e
s

s
c
e
n
a
r
i
o
s
c
o
m
p
l
e
t
s

d
'
a
c
c
i
d
e
n
t

m
a
j
e
u
r

d
e
s
e
v
e
n
e
m
e
n
t
s

i
n
i
t
i
a
t
e
u
r
s

a
u
x
c
o
n
s
e
q
u
e
n
c
e
s

s
u
r

l
e
s

e
l
e
m
e
n
t
s
v
u
l
n
e
r
a
b
l
e
s

e
n
v
i
r
o
n
n
a
n
t
s
.
3
S
o
u
s
-
s
y
s
t
e
m
e
L
e

n
o
u
d

p
a
p
i
l
l
o
n

e
s
t
l
'
a
s
s
e
m
b
l
a
g
e

d
e

d
e
u
x
a
r
b
r
e
s

i
n
s
p
i
r
e
s

d
'
u
n
a
r
b
r
e

d
e

d
e
I
a
i
l
l
a
n
c
e
s
e
t

d
'
u
n

a
r
b
r
e
d
'
e
v
e
n
e
m
e
n
t
s
.
N
o
n
R
e
p
r
e
s
e
n
t
a
t
i
o
n

d
e
s

b
a
r
r
i
e
r
e
s
c
o
m
m
e

o
b
s
t
a
c
l
e

a

l
a

p
r
o
p
a
g
a
t
i
o
n
d
u

s
c
e
n
a
r
i
o
.

T
r
e
s

a
d
a
p
t
e

a

l
a
d
e
m
o
n
s
t
r
a
t
i
o
n

d
e

l
a

m
a
t
r
i
s
e

d
u
r
i
s
q
u
e

p
a
r

l
e
s

b
a
r
r
i
e
r
e
s

d
e

s
e
c
u
r
i
t
e
.
R
f
.

:

I
N
E
R
I
S

-

D
R
A

-

2
0
0
6
-
P
4
6
0
5
5
-
C
L
4
7
5
6
9

:

7

:

M
t
h
o
d
e
s

d
'
a
n
a
l
y
s
e

d
e
s

r
i
s
q
u
e
s

g
s

p
a
r

u
n
e

i
n
s
t
a
l
l
a
t
i
o
n

i
n
d
u
s
t
r
i
e
l
l
e
P
a
g
e

1
0
1

s
u
r

1
1
9
T
y
p
e

d
'
i
n
d
u
s
t
r
i
e
O
b
j
e
c
t
i
f
F
a
c
i
l
i
t
d
e

m
i
s
e
e
n
o
u
v
r
e
N
i
v
e
a
u
d
'
i
n
t
g
r
a
t
i
o
n
R
e
m
a
r
q
u
e
I
n
t
g
r
e

u
n
e

a
n
a
l
y
s
e
d
e

v
u
l
n
r
a
b
i
l
i
t

d
e
s
e
n
j
e
u
x

e
x
t
e
r
n
e
s
p
o
u
r

l
'
v
a
l
u
a
t
i
o
n
d
e
s

c
o
n
s
q
u
e
n
c
e
s
A
p
p
r
o
c
h
e

b
a
r
r
i
r
e
M
t
h
o
d
e
s

i
n
t
g
r
e
s
M
O
S
A
R
T
o
u
s
A
n
a
l
y
s
e
r

l
e
s

r
i
s
q
u
e
s

d
`
u
n
s
y
s
t
e
m
e

i
n
d
u
s
t
r
i
e
l

a

d
i
I
I
e
r
e
n
t
s
n
i
v
e
a
u
x

d
`
a
n
a
l
y
s
e

,

m
e
t
t
r
e

e
n
e
v
i
d
e
n
c
e

l
e
s

m
o
y
e
n
s

d
e
m
a
t
r
i
s
e

d
u

r
i
s
q
u
e
4
I
n
s
t
a
l
l
a
t
i
o
n
U
t
i
l
i
s
e

l
e
s

A
d
D

e
t
d
e
s

o
u
t
i
l
s

d
e
r
i
v
e
s

d
e
l
'
A
P
R

e
t

d
e
l
'
A
M
D
E
C
I
m
p
l
i
c
i
t
e
A
p
p
r
o
c
h
e

u
n
i
q
u
e
m
e
n
t

q
u
a
l
i
t
a
t
i
v
e
L
O
P
A
I
n
d
u
s
t
r
i
e
s

d
e
s
p
r
o
c
e
d
e
s
A
n
a
l
y
s
e
r

l
e
s

r
i
s
q
u
e
s

d
`
u
n
s
y
s
t
e
m
e

i
n
d
u
s
t
r
i
e
l

a

d
i
I
I
e
r
e
n
t
s
n
i
v
e
a
u
x

d
`
a
n
a
l
y
s
e

,

m
e
t
t
r
e

e
n
e
v
i
d
e
n
c
e

l
e
s

m
o
y
e
n
s

d
e
m
a
t
r
i
s
e

d
u

r
i
s
q
u
e
,

p
r
o
d
u
i
r
e

d
e
s
r
e
s
u
l
t
a
t
s

u
t
i
l
e
s

p
o
u
r

l
e
s
d
e
c
i
s
i
o
n
s

d
`
a
u
t
o
r
i
s
a
t
i
o
n

e
t

d
e
m
a
t
r
i
s
e

d
e

l
`
u
r
b
a
n
i
s
a
t
i
o
n
4
S
i
t
e
U
t
i
l
i
s
e

l
e
s

A
d
D

e
t
A
d
E
N
o
n
A
p
p
r
o
c
h
e

q
u
a
n
t
i
I
i
e
e

I
o
n
d
e
e

s
u
r

l
a
n
o
t
i
o
n

d
e

S
I
L

I
s
s
u
e

d
e

l
a

n
o
r
m
e
C
E
I

6
1
5
0
8
A
R
A
M
I
S
I
n
d
u
s
t
r
i
e

d
e
s
p
r
o
c
e
d
e
s
(
s
o
u
m
i
s
e
s

a

l
a
d
i
r
e
c
t
i
v
e
S
E
V
E
S
O
)
A
n
a
l
y
s
e
r

l
e
s

r
i
s
q
u
e
s

d
`
u
n
s
y
s
t
e
m
e

i
n
d
u
s
t
r
i
e
l

a

d
i
I
I
e
r
e
n
t
s
n
i
v
e
a
u
x

d
`
a
n
a
l
y
s
e

,

m
e
t
t
r
e

e
n
e
v
i
d
e
n
c
e

l
e
s

m
o
y
e
n
s

d
e
m
a
t
r
i
s
e

d
u

r
i
s
q
u
e
,

p
r
o
d
u
i
r
e

d
e
s
r
e
s
u
l
t
a
t
s

u
t
i
l
e
s

p
o
u
r

l
e
s
d
e
c
i
s
i
o
n
s

d
`
a
u
t
o
r
i
s
a
t
i
o
n

e
t

d
e
m
a
t
r
i
s
e

d
e

l
`
u
r
b
a
n
i
s
a
t
i
o
n
4
S
i
t
e
U
t
i
l
i
s
e

l
e

n
o
u
d
p
a
p
i
l
l
o
n
O
u
i

(
e
v
a
l
u
a
t
i
o
n
d
e
c
o
u
p
l
e
e

d
e

l
a
s
e
v
e
r
i
t
e

e
t

d
e

l
a
v
u
l
n
e
r
a
b
i
l
i
t
e
)
A
p
p
r
o
c
h
e

q
u
a
n
t
i
I
i
e
e
I
o
n
d
e
e

s
u
r

l
a

n
o
t
i
o
n

d
e

S
I
L

I
s
s
u
e
d
e

l
a

n
o
r
m
e

C
E
I

6
1
5
0
8
Q
R
A
T
o
u
s
E
s
t
i
m
e
r

l
e

r
i
s
q
u
e

i
n
d
i
v
i
d
u
e
l

e
t
s
o
c
i
e
t
a
l

a
s
s
o
c
i
e

a

u
n
e
i
n
s
t
a
l
l
a
t
i
o
n

i
n
d
u
s
t
r
i
e
l
l
e
4
S
i
t
e
U
t
i
l
i
s
e

d
e
s

d
o
n
n
e
e
s
g
e
n
e
r
i
q
u
e
s
O
u
i

(
p
o
u
r

l
e
r
i
s
q
u
e

s
o
c
i
e
t
a
l
)
P
a
s

d
e

p
r
i
s
e

e
n

c
o
m
p
t
e

e
x
p
l
i
c
i
t
e
d
e
s

b
a
r
r
i
e
r
e
s

d
a
n
s

l
a

m
e
t
h
o
d
e
d
e
c
r
i
t
e

d
a
n
s

l
e

"
P
u
r
p
l
e

b
o
o
k
"
Page 103 sur 119
8 CONCLUSION
Les mthodes d'analyse des risques dcrites dans ce document sont frquemment
utilises dans le domaine de la prvention des risques. Procurant un caractre
systmatique l'analyse, elles permettent :
d'identifier les causes et les consquences potentielles d'vnements lis
l'exploitation d'installations industrielles,
de mettre en lumire les barrires de scurit existantes ou pouvant tre
envisages au regard du risque.
Frquemment associes une dmarche d'valuation semi-quantitative, elles visent
identifier les risques les plus importants et envisager en consquence des
propositions d'amliorations.
L'utilisation de ces mthodes est particulirement recommande pour l'analyse des
risques dans le cadre d'une tude des dangers, puisqu'elles permettent de viser plus
d'exhaustivit pour l'identification et tendre ainsi vers la matrise des risques majeurs.
l n'existe pas de bonne ou de mauvaise mthode d'analyse des risques. Chacune
possde des avantages et des inconvnients qui lui sont propres. Une mthode
particulire est donc gnralement plus ou moins adapte au contexte de l'installation
tudie et aux objectifs recherchs.
Par ailleurs, il ne s'agit en dfinitive que d'outils permettant de guider la rflexion
mene au sein d'un groupe de travail pluridisciplinaire. La vritable richesse de
l'analyse des risques rside prcisment dans la runion de personnes de
comptences varies.
Rappelons enfin que ces outils ne peuvent assurer une exhaustivit totale de
l'identification des causes potentielles de sinistres.
Ce dernier constat met en avant la ncessit d'une dmarche itrative conduisant
utiliser, lorsque le contexte le justifie
21
, des outils de plus en plus complexes pour une
analyse de plus en plus fine des risques, en combinant par exemple plusieurs des
mthodes prsentes dans ce document. C'est ce que permettent de faire les
mthodes intgres prsentes au chapitre 6.

21
l est bon de rappeler ici le principe de proportionnalit qui stipule que les efforts raliss pour
l'analyse de risques doivent tre en rapport avec le niveau de risque global de l'installation. L'utilisation
des mthodes simples permet une premire estimation de ce niveau. Si le niveau de risque (en
particulier le niveau de danger) est lev et combin un niveau lev de vulnrabilit des lments
environnants, une analyse dtaille l'aide de mthodes plus complexes se justifie.
Page 105 sur 119
9 GLOSSAIRE
Les dfinitions prsentes dans les paragraphes suivants s'appuient autant que
possible sur des normes et textes rglementaires traitant des aspects lis la scurit
et la prvention des accidents majeurs. En particulier, le glossaire technique des
risques technologiques, annex la Circulaire n DPPR/SE2/MM-05-0316 du 7
octobre 2005 relative aux nstallations classes, a t pris comme rfrence.
Pour plus de clart, les dfinitions issues de textes rglementaires ou de normes sont
encadres. Les dfinitions proposes dans le cadre de ce document sont, quant
elles, prsentes sans encadrement.
9.1 RISQUE ET DANGER
l existe de nombreuses dfinitions pour caractriser le sens du mot risque . Dans
le vocabulaire courant, ce terme est d'ailleurs souvent confondu avec la notion de
danger .
Dans le cadre de ce document, la dfinition de risque donne dans le Guide
SO/CE 51 :1999 Aspects lis la scurit Principes directeurs pour les inclure
dans les normes a t prise comme rfrence.
Risque (Guide ISO/CEI 51 :1999)
Combinaison de la probabilit d'un dommage et de sa gravit.
Le terme dommage rpond quant lui la dfinition suivante, galement extraite du
Guide SO/CE 51.
Dommage (Guide ISO/CEI 51 :1999)
Blessure physique ou atteinte la sant des personnes, ou atteinte aux biens ou
l'environnement.
Pour ce qui concerne le concept danger , il est possible de se rfrer la Directive
96/82/CE dite SEVESO , concernant la matrise des dangers lis aux accidents
majeurs impliquant des substances dangereuses. Ce texte propose la dfinition
suivante :
Danger (Directive 96/82/CE)
Proprit intrinsque d'une substance dangereuse ou d'une situation physique de
pouvoir provoquer des dommages pour la sant humaine et/ou l'environnement.
Page 106 sur 119
AIa (CircuIaire n DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Probabilit qu'un phnomne accidentel produise en un point donn des effets d'une
intensit donne, au cours d'une priode dtermine. L'ala est donc l'expression,
pour un type d'accident donn, du couple (Probabilit d'occurrence x ntensit des
effets). l est spatialis et peut tre cartographi. (Circulaire du 02/10/03 du MEDD sur
les mesures d'application immdiate introduites par la loi n 2003-699 en matire de
prvention des risques technologiques dans les installations classes).
ProbabiIit d'occurrence (CircuIaire n DPPR/SEI2/MM-05-0316 du 7 octobre
2005)
Au sens de l'article L.512-1 du code de l'environnement, la probabilit d'occurrence
d'un accident est assimile sa frquence d'occurrence future estime sur
l'installation considre. Elle est en gnral diffrente de la frquence historique et
peut s'carter, pour une installation donne, de la probabilit d'occurrence moyenne
value sur un ensemble d'installations similaires.
Attention aux confusions possibles :
1. assimilation entre probabilit d'un accident et celle du phnomne dangereux
correspondant, la premire intgrant dj la probabilit conditionnelle d'exposition des
cibles. L'assimilation sous-entend que les cibles sont effectivement exposes, ce qui
n'est pas toujours le cas, notamment si la cintique permet une mise l'abri.
2. probabilit d'occurrence d'un accident x sur un site donn et probabilit
d'occurrence de l'accident x, en moyenne, dans l'une des N installations du mme
type (approche statistique)
ProbabiIit d'occurrence d'un phnomne dangereux(CircuIaire n
DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Cette probabilit est obtenue par agrgation des probabilits des scnarios conduisant
un mme phnomne, ce qui correspond la combinaison des probabilits de ces
scnarios selon des rgles logiques (ET/OU). Elle correspond la probabilit d'avoir
des effets d'une intensit donne (et non des consquences)
Attention aux confusion avec : probabilit d'accident.
Page 107 sur 119
9.2 CONSEQUENCES ET ACCIDENTS MAJEURS
Accident Majeur (Directive 96/82/CE) (CircuIaire n DPPR/SEI2/MM-05-0316 du 7
octobre 2005)
vnement tel qu'une mission, un incendie ou une explosion d'importance majeure
rsultant de dveloppements incontrls survenus au cours de l'exploitation d'un
tablissement [.], entranant pour la sant humaine, l'intrieur ou l'extrieur de
l'tablissement, et/ou pour l'environnement, un danger grave, immdiat ou diffr, et
faisant intervenir une ou plusieurs substances dangereuses.
Phnomne dangereux (ou phnomne redout) (CircuIaire n DPPR/SEI2/MM-
05-0316 du 7 octobre 2005)
Libration d'nergie ou de substance produisant des effets, au sens de l'arrt du
29/09/2005, susceptibles d'infliger un dommage des cibles (ou lments
vulnrables) vivantes ou matrielles, sans prjuger l'existance de ces dernires. C'est
une Source potentielle de dommages (SO/CE 51)
Note : un phnomne est une libration de tout ou partie d'un potentiel de danger, la
concrtisation d'un ala.
Ex de phnomnes : incendie d'un rservoir de 100 tonnes de fuel provoquant une
zone de rayonnement thermique de 3 kW/m2 70 mtres pendant 2 heures. , feu de
nappe, feu torche, BLEVE, Boil Over, explosion, (U)VCE, dispersion d'un nuage de
gaz toxique...
Ne pas confondre avec accident : Un phnomne produit des effets alors qu'un
accident entrane des consquences/dommages.
Dans le domaine des risques industriels d'origine accidentelle, ce terme se rapportera
le plus souvent des phnomnes physiques tels qu'un incendie, une explosion, une
dispersion de gaz toxique.
EIments vuInrabIes (ou enjeux) (CircuIaire n DPPR/SEI2/MM-05-0316 du 7
octobre 2005)
Elments tels que les personnes, les biens ou les diffrentes composantes de
l'environnement susceptibles, du fait de l'exposition au danger, de subir, en certaines
circonstances, des dommages. Le terme de cible est parfois utilis la place
d'lment vulnrable. Cette dfinition est rapprocher de la notion d'intrt
protger de la lgislation sur les installations classe (art. L.511-1 du Code de
l'Environnement).
VuInrabiIit (CircuIaire n DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
1/ vulnrabilit d'une cible un effet x (ou sensibilit ) : facteur de
proportionnalit entre les effets auxquels est expos un lment vulnrable (ou cible)
et les dommages qu'il subit.
Page 108 sur 119
2/ vulnrabilit d'une zone : apprciation de la prsence ou non de cibles ;
vulnrabilit moyenne des cibles prsentes dans la zone.
La vulnrabilit d'une zone ou d'un point donn est l'apprciation de la sensibilit des
lments vulnrables [ou cibles] prsents dans la zone un type d'effet donn.
Par exemple, on distinguera des zones d'habitat, des zones de terres agricoles, les
premires tant plus vulnrables que les secondes face un ala d'explosion en
raison de la prsence de constructions et de personnes. (Circulaire du 02/10/03 du
MEDD sur les mesures d'application immdiate introduites par la loi n 2003-699 en
matire de prvention des risques technologiques dans les installations classes).
(NB : zone d'habitat et zone de terres agricoles sont deux types d'enjeux. On peut
diffrencier la vulnrabilit d'une maison en parpaings de celle d'un btiment
largement vitr.)
9.3 DEFAILLANCES, DERIVES ET EVENEMENTS REDOUTES
DfaiIIance (Norme NF X60-500)
Cessation de l'aptitude d'une entit accomplir une fonction requise.
Mode de dfaiIIance (CEI 60812 :1995)
Effet par lequel une dfaillance est observe sur une entit.
En pratique, il est souvent dlicat de distinguer dfaillance et mode de dfaillance.
Pour plus de clart, prenons l'exemple d'une pompe dont la fonction principale est de
fournir un certain dbit. La dfaillance de cette pompe concerne donc l'absence du
dbit dsir la sortie de la pompe. Cette dfaillance est notamment observe si la
pompe ne dmarre pas. L'effet Ne dmarre pas est un mode de dfaillance
possible pour cet quipement.
Paramtre
Un paramtre sera ici dfini comme une grandeur physiquement mesurable ou bien
une action ou opration raliser.
En rgle gnrale, les paramtres les plus frquemment rencontrs dans des
systmes thermo-hydrauliques sont la temprature, la pression, le dbit, la
concentration, la densit, la viscosit, le temps.
Drive (d'un paramtre)
Dans le cadre de ce document, la drive d'un paramtre sera dfinie comme l'cart
d'un paramtre par rapport une valeur ou une intention de rfrence. Cet tat de
rfrence dpend notamment de l'tat du systme considr (fonctionnement normal,
arrt, dmarrage.). Une drive est gnralement le rsultat d'une dfaillance.
Page 109 sur 119
9.4 EVENEMENTS ET SITUATIONS DE DANGERS
Situation dangereuse (Guide ISO/CEI 51)
Situation dans laquelle des personnes, des biens ou l'environnement sont exposs
un ou plusieurs phnomnes dangereux (cf. 9.2).
Cette dfinition semble peu adapte au cadre fix dans ce document, dans la mesure
o, pour ce qui concerne les accidents majeurs sur des sites industriels, l'exposition
de lments vulnrables est quasi automatique ds lors qu'un phnomne dangereux
survient, en considrant par exemple l'exposition du personnel ou des autres
quipements du site considr.
Dans ce document, il sera fait mention de situation de danger, rpondant la
dfinition suivante.
Situation de danger
Situation qui, si elle n'est pas matrise, peut conduire l'exposition de lments
vulnrables un ou plusieurs phnomnes dangereux.
Evnement Redout CentraI
Perte de confinement sur un quipement dangereux ou perte d'intgrit physique
d'une substance dangereuse.
Evnement Initiateur
Cause directe d'une perte de confinement ou d'intgrit physique. Une monte en
pression, une agression mcanique externe, la corrosion sont le plus souvent des
vnements initiateurs.
Evnement Courant
Evnement dont on admet qu'il survienne de faon rcurrente dans la vie d'une
installation. L'vnement courant est connu et gr via la mise en place de moyens
spcifiques. Les actions de test, de maintenance ou la fatigue d'quipements sont
gnralement des vnements courants.
Evnement IndsirabIe
Drive ou dfaillance sortant du cadre des conditions d'exploitation usuelles dfinies.
Le surremplissage ou un dpart d'incendie proximit d'un quipement dangereux
peuvent tre des vnements indsirables.
Page 111 sur 119
10 SIGLES ET ABREVIATIONS
AMDE : Analyse des Modes de Dfaillance et de leurs Effets
AMDEC : Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit.
APR : Analyse Prliminaire des Risques
ARA : Analyse, Recherche et nformation sur les Accidents
BARP : Bureau d'Analyse des Risques et Pollutions ndustrielles
BLEVE : Boiling Liquid Expanding Vapour Explosion
MEDD : Ministre de l'Ecologie et du Dveloppement Durable
UC : Union des ndustries Chimiques
Page 113 sur 119
11 BIBLIOGRAPHIE
Les rapport NERS cits dans cette bibliographie sont tous tlchargeables sur le site
nternet de l'NERS : http://www.ineris.fr
AYRAULT 2005
N. AYRAULT, Evaluation des dispositifs de prvention et de protection utiliss pour
rduire les risques d'accidents majeurs (DRA-039) Omga 10, Evaluation des
Barrires Techniques de Scurit, NERS, DRA, 2005
AFNOR 2006
FASCCULE DE DOCUMENTATON, "MANAGEMENT DU RSQUE : LGNES DRECTRCES POUR
L'ESTMATON DES RSQUES", FD X50-252, AFNOR, SANT-DENS, FEVRER 2006, 23 P.
AICHE
GUDE LNES FOR HAZARD EVALUATON PROCEDURES
Center for Chemical Process Safety, American nstitute of Chemical Engineers
(ACHE), Wiley-AChE; 2eme edition, (April 15, 1992)
ARAMIS 2005
User guide, Projet europen nEVG1 CT 2001 00036, disponible sur
http://aramis.jrc.it
BEDFORD 2001
T. BEDFORD, R. COOKE, Probabilistic Risk Analysis, Foundation and Methods,
Cambridge University Press, 2001
BOUISSOU 2006
C. BOUSSOU, R. FARRET, Programme EAT- DRA-34 - Opration j - ntgration de
la dimension probabiliste dans l'analyse des risques, Partie 1 : Principes et pratiques,
NERS, DRA, 2006
CCPS 2001
Layer of Protection Analysis: Simplified Process Risk Assessment (CCPS Concept
Book), Center for Chemical Process Safety, 2001.
CPR 18
E
, 1999
"Purple book", Guidelines for quantitative risk assessment, CPR 18E, Committee for
the Prevention of Disasters, Den Haag, 1999.
Page 114 sur 119
CPR14E, 1997
"Yellow book", Methods for the Calculation of Physical Effects, CPR 14
E
, Committee
for the Prevention of Disasters, Den Haag, 1997
CPR 16
e
, 1992
"Green book", Methods for the determination of the possible damages, CPR 16
E
,
Committee for the Prevention of Disasters, Den Haag, 1992
DE DIANOUS 2006
V.De DANOUS, Programme EAT-DRA-34 - Opration j, ntgration de la dimension
probabiliste dans l'analyse des risques partie 2 : donnes quantifies, NERS, DRA,
2006
DEMISSY 2005
M. DEMSSY, D. CARSON, Formalisation des connaissances et des outils dans le
domaine des risques majeurs, rapport Omga 17, La scurit des procds
chimiques, NERS, 2005
GUIDE ISO/CEI 51 : 1999
ASPECTS LES A LA SECURTE PRNCPES DRECTEURS POUR LES NCLURE DANS LES
NORMES
GUIDE ISO/CEI 73 : 2002 :
MANAGEMENT DU RSQUE VOCABULARE PRNCPES DRECTEURS POUR L'UTLSATON
DANS LES NORMES
GRUET P., 2001
Formalisation du savoir et des mthodes dans le domaine des risques majeurs (DRA-
35), -3 : Le risque foudre et les Installations Classes pour la Protection de
l'Environnement, NERS, DRA, 2001
GOWLAND 2006
R.GOWLAND, The accidental risk assessment methodology for industries
(ARAMS)/layer of protection analysis (LOPA) methodology: A step forward towards
convergent practices in risk assessment?, Journal of Hazardous Materials, Volume
130, ssue 3, 31 March 2006, Pages 307-310
HOURTOLOU 2002
D.HOURTOLOU, 2002. ASSURANCE Assessment of the Uncertainties in Risk
ANalysis of Chemical Establishments. E.C. Project ENV4-CT97-0627. Rapport final
opration a DRA-07. Ref. NERS-DHo- 2002-26824
Page 115 sur 119
HOURTOLOU 2004
D. Hourtolou, ARAMS, dveloppement d'une mthode intgre d'analyse des risques
pour la prvention des accidents majeurs, rapport final du BCRD AP 2001 Conv
2001 01 111 NERS DRA-04-35132, 2004
HUBIN 2005
S. HUBN, T. BALOUN, Analyse des Risques et Prvention des Accidents Majeurs
(DRA-34), Concepts et mthodes de dtermination des effets dominos, Aspects
mthodologiques et seuils d'effets pour le traitement des effets dominos, NERS,
DRA, 2005
JOLY 2006
C.Joly, Formalisation du savoir et des outils dans le domaine des risques majeurs,
Rapport Omga 9, L'tude de dangers d'une installation classe, NERS, DRA, 2006
KIRCHSTEIGER 1999
C. Kirchsteiger, On the use of probabilistic and deterministic methods in risk analysis,
Journal of Loss Prevention in the Process ndustries 12 (1999) 399419
MICHE 2006
E.MCHE, F.PRATS, S.CHAUMETTE, Formalisation des savoirs et des outils dans le
domaine des risques majeurs, Dmarche d'valuation des barrires humaines de
scurit - 20, NERS, DRA, 2006
MONTEAU 1990-1
M.MONTEAU, M. FAVARO, Bilan des mthodes d'analyse a priori des risques,1- des
contrles l'ergonomie des systmes, NRS, CDU 614.8-02, cahiers des notes
documentaires n138, 1
er
trimestre 1990
MONTEAU 1990-2
M.MONTEAU, M. FAVARO, Bilan des mthodes d'analyse a priori des risques, 2-
principales mthodes de la scurit des systmes, NRS, CDU 168.4 : 614.8, cahiers
des notes documentaires n139, 2
eme
trimestre 1990
Accessible sur www.inrs.fr
MORTUREUX 2001
Yves MORTUREUX, La sret de fonctionnement : mthodes pour matriser les
risques, Techniques de l'ngnieur, trait L'entreprise industrielle, AG 4 670, 2001
Page 116 sur 119
MORTUREUX 2002
Yves MORTUREUX,Analyse prliminaire de risques, Techniques de l'ngnieur, trait
L'entreprise industrielle, SE4010, 2002
MORTUREUX 2005
Yves MORTUREUX, AMDE (C), Techniques de l'ngnieur, trait L'entreprise
industrielle,SE4040, 2005
MORTUREUX 2003
Yves MORTUREUX, Arbres de dfaillance, des causes et d'vnement Techniques
de l'ngnieur, trait L'entreprise industrielle,SE4050, 2002
NORME NF X60-500 : 1988 :
TERMNOLOGE RELATVE A LA FABLTE MANTENABLTE DSPONBLTE
NORME CEI 60812: 1985:
TECHNQUES D'ANALYSE DE LA FABLTE DES SYSTEMES PROCEDURE D'ANALYSE DES
MODES DE DEFALLANCES ET DE LEURS EFFETS (AMDE)
NORME CEI 61882 : 2001
ETUDES DE DANGER ET D'EXPLOTABLTE (ETUDES HAZOP) GUDE D'APPLCATON
NORME CEI 61025 : 1990
ANALYSE PAR ARBRE DE PANNE (APP)
PERILHON 2003
Pierre PERLHON, MOSAR - Prsentation de la mthode Techniques de l'ngnieur,
trait L'entreprise industrielle,SE4060, 2003
PERILHON 2004
Pierre PERLHON, MOSAR - Cas industriel, Techniques de l'ngnieur, trait
L'entreprise industrielle,SE40612004
PERILHON 2003
MOSAR- Prsentation de la mthode, Techniques de l'ngnieur, article SE4060,
octobre 2003.
Page 117 sur 119
TIXIER 2002
J. Tixier, G. Dusserre, O. Salvi, D. Gaston, Review of 62 risk analysis methodologies
of industrial plants, Journal of Loss Prevention in the Process ndustries 15 (2002)
291303
UIC, 1998
LES CAHERS DE LA SECURTE N13 - SECURTE DES NSTALLATONS METHODOLOGE DE
L'ANALYSE DES RSQUES, UNON DES NDUSTRES CHMQUES, Document Technique DT 54,
Mars 1998
VILLEMEUR, 1988
SURETE DE FONCTONNEMENT DES SYSTEMES NDUSTRELS
A. VLLEMEUR, Collection de la Direction des Etudes et Recherches d'Electricit de
France, n67, Ed. Eyrolles, 1988
VALLEE 2003
A. VALLEE, O. DOLLADLLE, Analyse des risques et prvention des accidents
majeurs (DRA-34), Rapport Partiel d'Opration f, mpact des inondations du Sud-Est
(septembre 2002) sur les activits prsentant un risque technologique, NERS, DRA,
2003
VALLEE 2004
Analyse des Risques et Prvention, des Accidents Majeurs, (DRA-34), Rapport Partiel
d'Opration f, Guide pour la prise en compte du risque inondation, (Version 2004),
NERS, DRA 2004
Page 119 sur 119
12 LISTE DES ANNEXES
Repre Dsignation prcise Nb pages
1 Elments d'aide pour l'APR 4
2 Elments d'aide pour l'HAZOP 4
3 Elments de la mthode ARAMS 4
ANNEXE 1
ELEMENTS D'AIDE POUR L'ANALYSE PRELIMINAIRE
DES RISQUES (APR)
QUESTIONS PRELIMINAIRES A L'ANALYSE
PRELIMINAIRE DES RISQUES (PROPOSITIONS)
DESCRIPTION GENERALE
1. Les plans :
un plan de localisation au 1/25000 des environs du site (extrait de carte GN,
par exemple) ;
un plan d'implantation l'chelle de 1/ 2.500 des abords de l'installation. Sur
ce plan seront indiqus tous btiments avec leur affectation, les voies de
chemin de fer, les voies publiques, les points d'eau, canaux et cours d'eau ;
un plan de masse l'chelle de 1/200 au minimum indiquant les dispositions
de l'installation ainsi que l'affectation des constructions et terrains avoisinants et
le trac des gouts existants.
2. Quelle est la superficie du terrain o sont implants vos btiments ?
3. Quel est le chiffre d'affaire de l'entreprise ?
4. Quel est le nombre de personnes travaillant sur le site ?
5. Quel sont les horaires d'ouverture ?
6. Existe-t-il des lignes lectriques au voisinage ou traversant le site ?
7. Existe-t-il des conduites enterres ?
8. Existe-t-il des lignes ou relais de tlcommunication proximit ?
9. Quelles sont les installations industrielles proches ?
10. Distance des arodrome, aroport et ventuellement base militaire les plus
proches ?
11. Copie des arrts prfectoraux en vigueur sur le site.
12. Etudes diverses (sismique, foudre, ...).
DESCRIPTION DES INSTALLATIONS
1. Schmas et textes dcrivant les principales tapes du procd et les principales
oprations ralises sur le site.
2. Schmas descriptifs (flow sheet) prsentant le fonctionnement des principaux
quipements.
3. Procdures et consignes d'exploitation, de maintenance.
4. Comment est organise la formation du personnel ?
5. Procdures et consignes de scurit.
6. Y a t il un document de synthse sur les accidents ou incidents dj observs
dans l'entreprise ?
7. Quantit, conditionnement et localisation des matires premires, des produits
intermdiaires et des produits finis.
8. Fiches de donnes de scurit des matires premires, des produits
intermdiaires et des produits finis.
9. Y-a-t'il une unit de rfrigration ? Si oui,
Nature et quantit du fluide frigorigne
Puissance des compresseurs
Description des dispositifs de scurit
10. Y-a-t'il des units de combustion (chaudire, four...) ? Si oui, nature des fluides
combustibles ?
Capacit des stockages associs
Puissance des units
Description des dispositifs de scurit
11. Quelles sont les utilits et leur mode d'approvisionnement : gaz naturel, fuel, air
instrument, air comprim, vapeur, eau chaude, eau froide, autres fluides.
12. Existe-t-il une quipe d'intervention parmi le personnel ?
13. Quels sont les dispositifs de scurit existants sur le site (alarmes, dtection
incendie, moyens d'extinction,...) ?
14. Quels sont les quipements de scurit disponibles sur les installations
(soupapes, vents,...) ?
15. Quelles sont les dispositions architecturales de scurit (murs coupe-feu, toiture
incombustibles, exutoires,...) ?
16. Y a-t-il un gardiennage sur le site ?
LISTE DE QUELQUES MOTS-CLE UTILES
DESCRIPTION FONCTIONNELLE
L'objectif est d'identifier les fonctions principales.
Principales fonctions rencontres sur un site :
Stockage ;
Concassage / broyage ;
Transfert / transport ;
Chauffage / rchauffage / combustion ;
Lavage / puration / filtration ;
Condensation ;
Vidange ;
Dcantation ;
...
ELEMENTS DANGEREUX
Produits dangereux :
les matires premires solides, liquides, gazeuses ;
les produits intermdiaires
les produits finis ;
les matires utilises pour le traitement des gaz ou des fumes ;
les produits pulvrulents combustibles ;
les sources d'nergie (gaz naturel, fioul) ;
...
Equipements pouvant gnrer des situations dangereuses
la zone de rception des matires premires ;
le stockage de fioul ;
les broyeurs ;
les racteurs ;
les chaudires et les rseaux de vapeurs ;
le dispositif de rcupration des eaux d'extinction ;
...

Situations de danger :
Acclration ;
Contamination ;
Corrosion ;
Ractions chimiques ;
Electricit (pannes, chocs, chaleur, action inopportune) ;
Explosion ;
ncendie ;
Variations de temprature ;
Fuites ;
Perte de stabilit des terrains ou des ouvrages ;
Venues d'eau ou inondations ;
Accidents mcaniques ;
...
Causes :
Conditions mto extrmes (pluie, foudre, vent, gel, grle, verglas, brouillard
...) ;
nondations de surface ;
Sisme ;
ncendie ;
Chute d'avions ;
Accident industriel / Effet mcanique ;
Malveillance ;
...
Consquences
Arrt de l'exploitation ;
Epandage de produit ;
Pollution des sols ;
Pollution ou perturbation des eaux souterraines ;
Pollution ou perturbation des eaux de surface ;
Rejet de produit toxique ou inflammable : effets l'intrieur du site ;
Rejet de produit toxique ou inflammable : effets l'extrieur du site ;
...
ANNEXE 2
ELEMENTS D'AIDE POUR L'HAZOP
QUESTIONS PRELIMINAIRES A LA REVUE HAZOP
DES INSTALLATIONS
Certaines informations ncessaires la ralisation d'une revue HAZOP doivent tre
disponibles et fiables au moment de la runion de travail, soit connues par l'un au
moins des participants, soit mentionnes dans les documents de travail. l s'agit
notamment des lments suivants :
s'il s'agit d'un projet, le cahier des charges et la proposition technique de
l'installation (version jour)
les procdures d'exploitation
les consignes de scurit (fiches PO ou autres)
un ou plusieurs schmas de fonctionnement de type PD (version jour pour un
projet ou conforme l'existant) mentionnant :
- les circuits des diffrents produits mis en ouvre,
- les quipements et leurs caractristiques de fonctionnement et de design
(pression maximale de service - diamtre - temprature - capacit),
- la position des piquages
- les utilits (gaz, air comprim, azote, eau, lectricit,...)
- les ventuels circuits de collecte et les caractristiques de l'vacuation
(hauteur, dbit, diamtre)
- les organes de scurit (organes de mesure, capteurs, scurits, alarmes,
tmoins de fonctionnement, soupapes, vents ...) et leur caractristiques (seuils
ou niveaux de dclenchement, action manuelle ou automatique, alimentation
lectrique ou pneumatique, redondances ...)
- les actions de scurit (automatiques ou manuelles) entranes par les alarmes
ou les dtections,
- les boucles, les rgulations, les interactions permettant, dans le cadre de la
conduite des installations, de contrler les paramtres d'exploitation
(temprature, pression, niveau)
- la position des btiments, des parois
- la nomenclature associe
le plan du site
une description des quipements spcifiques (condenseurs, changeurs
thermiques, compresseurs, pompes, capacits et rservoirs, racteurs ...)
les fiches de donnes de scurit et les courbes pression-temprature des fluides,
si possible, photographies du site et de l'installation,
les dispositions architecturales de scurit (murs coupe-feu, toiture incombustible,
exutoires, parties soufflables ...),
la table de schedule (dimensionnement des canalisations)
LISTE DE QUELQUES MOTS-CLE UTILES
Hypothses de
drives
Causes Consquences
Dbit
Dbit trop lev
Emballement de pompe - Dfaillance
de compresseur, de ventilateur, de
trmie d'alimentation - mise en
parallle d'une deuxime pompe -
Chute de pression au refoulement -
Mise en pression de l'aspiration -
ntroduction d'un autre fluide par fuite
travers une paroi - Dfaillance du
contrle - Dfaut sur une soupape de
scurit, un disque de rupture, une
position de vanne automatique -
Erreur oprateur.
Dbordement aval - Erosion - Corrosion
- Surpression - Mlange - nversion
d'coulement - Modification des
proportions, de temprature - Passage
en zone d'explosivit - Changement de
phase - Modification des conditions de
raction, de sparation.
Dbit trop faible ou
absence de dbit
Dfaillance de pompe, de
compresseur, de ventilateur, de
trmie d'alimentation, de transporteur
- Dfaut d'accouplement - Formation
de dpt dans tuyauterie - Prsence
de corps trangers ou sdiments -
Fuite vers un autre fluide travers
une paroi - nversion - Dfaut sur une
soupape de sret, un disque de
rupture, une vanne automatique, une
purge - Cavitation - Dfaillance du
contrle - Manque de produit - Joint
plein laiss en place - Formation
d'une poche de gaz - Erreur
oprateur.
Dpt en cas de suspension -
Temprature produit - Modification des
conditions de raction, de sparation -
Mlange - nversion d'coulement par
introduction d'un fluide d'un autre
rseau - Echauffement de pompe -
Modification des proportions -
Dbordement amont - Changement de
phase - Asschement de garde
hydraulique - Passage en zone
d'explosivit.
Pression
Pression haute
Mise en quilibre avec temprature
extrieure en t
- Apport excessif de chaleur (
vapeur, chauffage lectrique ...) -
Refroidissement insuffisant -
Emballement raction ou arrt
raction - Confinement - Dilatation -
Dfaillance du contrle - Mlange -
Fuite de l'appareillage - nversion
d'coulement - Absence de
dgazage - Vanne ferme ou joint
plein laiss en place - Bouchage
par corps trangers ou sdiments -
Variation pression, gel du fluide -
Erreur oprateur.
Modification des proprits physiques
et chimiques - Condensation avec
corrosion - Explosion appareillage -
Emission produit toxique ou
inflammable par organe limitateur de
pression - Mlange - Fuite - nversion
d'coulement.
Hypothses de
drives
Causes Consquences
Pression basse Mise en quilibre avec temprature
extrieure en hiver - Refroidissement
exagr (gel ou pluie) - Fuite de
l'appareillage - Arrt raction -
Absorption - Position vanne -
Bouchage par corps trangers ou
sdiments - Soutirage exagr - Mise
sous vide - nhibition - Variation
pression - Erreur oprateur.
Modification des proprits physiques
et chimiques - Corrosion - Evaporation
avec abaissement de temprature et
gel possible - Flash - Moussage -
mplosion - Entre d'air ou d'humidit
extrieure - Pollution par un autre
rseau plus haute pression -
Extinction flamme.
Temprature
Temprature haute
Mise en quilibre avec temprature
extrieure en t - Emballement
raction - Apport excessif de chaleur -
Raction parasite (introduction produit
ou changement conditions) -
Elimination insuffisante de chaleur -
Dfaillance du contrle - Feu extrieur
- Corrosion - Variation de pression -
Erreur oprateur.
Modification des proprits physiques -
Evaporation et modification mlange
ractionnel - Raction parasite -
Elvation de pression - Cavitation -
Perte des proprits mcaniques des
matriaux de l'appareillage - Dilatation
liquide confin - nstabilit produits -
nflammation spontane.
Temprature basse Mise en quilibre avec temprature
basse en hiver - Refroidissement
excessif - Evaporation brutale par
suite d'une fuite ou d'une dtente
brutale - Dfaillance du contrle -
Erreur oprateur.
Modification des proprits physiques,
mcaniques (fragilisation) -
Condensation avec corrosion -
Cristallisation - Sdimentation -
Bouchage - Gel.
Concentrations ou
compositions
chimiques
anormaIes
Variation de dbit, de temprature, de
pression - Dfaut du contrle -
Evaporation ou condensation
anormale - Fuite - ntroduction
accidentelle - Dfaut sur systme
d'agitation - Erreur oprateur.
Changement des conditions
ractionnelles - Concentration
anormale - Ractivit anormale -
Raction parasite - Emballement -
Corrosion.
Contamination Entre d'air, d'eau, de vapeur, de
fluide rfrigrant ou caloporteur, de
fuel, de lubrifiant, de fluide provenant
de l'appareillage de contrle et de
rgulation - ntroduction de produits
de corrosion - Retour de produits -
Fuite de l'appareillage - Entranement
solide, liquide ou gazeux d'une
opration l'autre - Dfaut de
nettoyage; de graissage - Confusion
matires premires - Confusion
circuits - Erreur oprateur.
Corrosion - Raction parasite ou
dangereuse - Sous-produit anormal ou
dangereux - nhibition - Emballement
de la raction.
Hypothses de
drives
Causes Consquences
Agitation Dfaillance de l'agitation - Fuite de
garniture - Corrosion - Niveau
anormal - Viscosit anormale - Erreur
oprateur.
Erosion - Sdimentation - Dcantation -
Phase anormale - Vibrations - Fuite -
Contamination
Niveau Fuite - Bouchage - Variation de dbit,
de temprature, de pression -
Moussage, condensation -
Evaporation - Densit anormale -
Turbulence - Erreur oprateur.
Cavitation - Dbordement ou vidange -
Pression lev ou excessive -
Dfaillance d'agitation - Modification
change thermique - Charge excessive
sur supports.
IncompabiIit Mlange possible dans circuits par
fuite d'appareillage - Ecoulement
accidentel - Retour - Dbordement -
Raction entre effluents gazeux,
liquides, solides - Distance aux feux
nus - Changement de composition -
Erreur oprateur
Raction parasite ou dangereuse -
nflammation - Retour de flamme -
Explosion - Echauffement - Corrosion
Pannes utiIits Manque d'eau, d'nergie lectrique,
d'air, d'instrument, d'azote, de vapeur,
de vide
Analyser les drives rsultant de la
panne de chacun des lments, soit
isols, soit coupls, soit pris en totalit,
et examiner l'ensemble des
consquences possibles l'aide en
particulier de la prsente liste.
EIectricit statique Perte ou dfaut de la continuit
lectrique sur les mises la terre -
Foudre.
Etincelle et source d'ignition - Dcharge
lectrique sur le personnel.
NOTA BENE :
Tenir compte de l'influence aggravante des surcharges climatiques (vent maximum, neige, etc) dans
les consquences possibles de certaines hypothses de drive (niveau, perte des proprits
mcaniques des matriaux de construction, fragilisation, etc..).
ANNEXE 3
TABLEAUX GUIDES DE LA METHODE ARAMIS
Principaux tableaux utiliss dans la mthode ARAMS pour servir de base au
dveloppement des nouds papillons
N Type d'quipements Dfinition
Units de stockage
EQ1 Stockage en vrac solide Stockage de substances sous forme solide (poudres ou billes).
Les substances y sont stockes en vrac ou en siols (les
stockages en sous forme de sacs ne font pas partie de cette
catgorie)
EQ2 Stockage de solides en
petits contenants
Stockage de solides sous forme de petits contenants ou
rservoirs de capacit infrieure 1 m.
EQ3 Stockage de liquides en
petits contenants
Stockage de liquides sous forme de petits contenants ou
rservoirs de capacit infrieure 1 m.
EQ4 Stockage sous pression Rservoirs de stockage temprature ambiante et une
pression suprieure 1 bar. La pression est celle du fluide
saturation ou peut tre celle d'un gaz inerte. La substance peut
tre un gaz liquifi sous pression (deux phases en quilibre) ou
un gaz sous pression (une phase gaz).
EQ5 Stockage pression
suprieure la pression
de saturation
Rservoirs de stockage fonctionnant temprature ambiante
une pression suprieure 1 bar. La pression est exerce par
un gaz inerte par exemple et maintient le stockage une
pression suprieure sa pression de saturation. Le stockage
contient une substance en phase liquide.
EQ6 Stockage atmosphrique Stockage pression et temprature ambiante, contenant un
liquide. La substance peut tre un gaz liquifi sous pression
(deux phases en quilibre) ou un gaz sous pression (une phase
gaz).
EQ7 Stockage cryognique Stockage fonctionnant pression atmosphrique (ou moins) et
basse temprature La substance est un gaz liqufi rfrigr.
Units de (d)chargement
EQ8 Equipement de transport
sous pression
Equipement de transport temprature ambiante et pression
suprieure 1 bar (pression exerc par la substance elle-
mme).
EQ9 Equipement de transport
atmosphrique
Equipement de transport pression et temprature ambiante
comportant une substance liquide.
Rseaux de canaIisations
EQ10 Canalisation Canalisations entre deux units, les canalisations dans l'unit
sont lies aux divers quipements
Equipements process
EQ11 Stockage intermdiaire
dans le procd
Equipement de stockage dans l'unit (peut tre stockage sous
pression, cryognique..)
EQ12 Equipement avec
ractions chimiques
Equipement avec raction chimique, par exemple racteur.
EQ13 Equipement sparation
physique ou chimique
Equipement sparation physique ou chimique (par exemple
colonne de distillation, filtres, scheurs..).
EQ14 Equipement de production
et fourniture d'nergie
Equipement de production et fourniture d'nergie (par exemple
fours, chaudires..)
EQ15 Equipement de
conditionnement
Equipement ddis au packaging des substances (exclut les
packages eux-mmes)
EQ16 Autres quipements Autres quipements (pompes..)
Tableau 17 : Typologie d'quipements considre dans MIMAH
Evnements redouts
critiques
Commentaires
ERC1 Dcomposition Cet vnement critique ne concerne que les substances solides . l correspond un
changement d'tat physique de la substance par apport d'nergie/chaleur ou par
raction avec une substance chimique incompatible. La dcomposition de la substance
conduit une mission de gaz toxiques ou l'explosion retarde des gaz
inflammables forms (la raction n'est pas spontane mais peut tre violente). Cet
ERC ne concerne que les stockages vrac de produits solides.
ERC2 Explosion Cet ERC ne concerne que les stockages vrac de produits solides expIosifs (phrases
R2, R3, R6..). l correspond un changement d'tat physique de la substance par
apport d'nergie/chaleur ou par raction avec une substance chimique incompatible.
Le changement d'tat entraine une combustion solide avec effets de surpression (ou
explosion) due une raction violente et spontane.
Dans le cas d'un solide stock dans un rcipient ferm, l'explosion est considre
comme une cause de surpression interne pouvant conduire une perte de
confinement (rupture catastrophique ou brche).
ERC3 Mise en
mouvement
(entrainement par
làir)
Cet ERC est rserv aux poussires et pulvrulents exposs l'atmosphre (stockage
ouvert ou convoyeurs..). L'vnement se produit par dplacement d'air (par exemple
trop forte ventilation).
ERC4 Mise en
mouvement
(entrainement
par un liquide)
Cet ERC est rserv aux poussires et pulvrulents exposs l'atmosphre (stockage
ouvert ou convoyeurs..). L'vnement se produit par dplacement de liquide (par
exemple inondation ou dbordement d'un liquide d'un autre quipement).
ERC5 nflammation
dpart de feu
Cet ERC correspond une raction entre un produit oxidant et un produit inflammable
ou combustible ou une dcomposition d'un proxyde organique conduisant un feu.
Cet ERC concerne les substances dont une perte d'intgrit physique (dcomposition,
contamination) conduit un incendie.Cet ERC peut tre associ aux substances
pyrotechniques.
ERC6 Brche en
phase gaz
Cet ERC correspond un trou de diamtre donn dans la paroi en phase gaz d'un
quipement, conduisant un rejet continu. Cet ERC s'applique aussi aux quipements
contenant un solide en suspension dans une phase gazeuse.
ERC7 Brche en
phase liquide
Cet ERC correspond un trou de diamtre donn dans la paroi en phase liquide d'un
quipement, conduisant un rejet continu.
ERC8 Fuite sur
canalisation en
phase liquide
Cet ERC correspond un trou de diamtre gal un certain pourcentage du diamtre
nominal d'une canalisation vhiculant un liquide. L'ERC peut tre une ouverture
fonctionnelle sur la canalisation : fuites de joints sur pompes, sur vannes, sur
bouchons pleins, etc.
ERC9 Fuite sur
canalisation en
phase gaz
Cet ERC correspond un trou de diamtre gal un certain pourcentage du diamtre
nominal d'une canalisation vhiculant un gaz. L'ERC peut tre une ouverture
fonctionnelle sur la canalisation : fuites de joints sur pompes, sur vannes, sur
bouchons pleins, etc. Cet ERC s'applique aussi aux canalisations vhiculant un solide
en suspension dans une phase gazeuse.
ERC10 Rupture
catastrophique
La rupture catastrophique correspond la perte complte de l'quipement conduisant
un rejet complet et instantan de la substance. Le BLEVE est aussi considr
comme une rupture catastrophique particulire.
Dans certains cas, la rupture catastrophique peut conduire l'jection de missiles et
une onde de surpression.
ERC11 Effondrement
de rservoir
L'effondrement de rservoir correspond la perte complte de l'quipement
conduisant un rejet complet et instantan de la substance. L'ERC est d une
rduction de pression du rservoir, conduisant son effondrement par action de la
ression atmosphrique.
Cet ERC ne conduit pas l'jection de missiles ou la production d'une onde de
surpression.
ERC12 Effondrement
du toit de
rservoir
L'effondrement du toit peut tre d une rduction de la pression interne conduisant
l'effondrement du toit mobile sous l'effet de la pression atmosphrique.
Cas spcifique des stockages atmosphriques ariens.
Tableau 18 : Typologie des vnements critiques considre dans MIMAH
Barrire ExempIes Dtecti
on
Diagnostic
/
Activation
Action
1 Permanente passive Peinture anti-corrosion,
support de cuve, cran flottant,
.
- - Matriel
2 Permanente passive Rtention, mur coupe-feu,
disque de rupture, .
- - Matriel
3 Temporaire passive
Mis en place (ou retire)
par une personne
Barrires de protection d'une
zone de travaux,
casques/gants, inhibiteur dans
une solution, .
- - Matriel
4 Permanente active Protection anti-corrosion
catalytique, systme de
chauffage, refroidissement,
ventilation, vent d'explosion,
systme d'inertage, .
- (peut
ncessiter
l'activation
par un
oprateur)
Matriel
5 Active matriel
fonctionnant la
demande et rutilisable
Soupape de scurit,
installation de sprincklage, .
Matriel Matriel Matriel
6 Active automatique Systme de mise en scurit
automatique
Matriel Matriel /
logiciel
Matriel
7 Active manuelle
L'action humaine est
dclenche par un
systme de dtection
Arrt d'urgence, ajustement de
paramtre sur alarme de
production, vacuation ou
appel service de secours sur
alarme, .
Matriel Humain Humain /
systme
de
rgulation
8 Active avertissement
passif
L'action humaine est
conditionne par un
avertissement passif
nterdiction de fumer, panneau
d'indication de danger
(travaux, circulation.)
Matriel Humain Humain
9 Active assiste
Un logiciel prsente un
diagnostic un oprateur
Utilisation d'un systme expert Matriel Logiciel
humain
Humain /
systme
de
rgulation
1
0
Active procdure
Observation des
conditions locales par un
oprateur
Procdure de dmarrage ou
d'installation, talonnage d'un
appareil, opration de
dpotage, .
Humain Humain Humain /
systme
de
rgulation
1
1
Active situations
d'urgence
Rponse humaine
improvise suite
l'observation des
conditions locales
Rponse une urgence non
prvue, combat du feu, .
Humain Humain Humain /
systme
de
rgulation
Tableau 19 : Classification des barrires pralablement l'audit du systme de management
Conception Installation Utilisation Maintenance Amelioration
3. Contrle,
retour
d èxperience
apprentissage et
management du
changement
4. PlaniIication des ressources humaines
5. Competence et adequation
6. Implication, conIormite et gestion des
conIlits
7. Communication et coordination
8. Procedures, regles et objectiIs
9. Achats de materiel/logiciel construction
des interIaces, installation
10 . Inspection, maintenance, remplacement
du materiel et logiciels
1a. IdentiIication des risques
1b. Selection, speciIication
des barrieres
2. Distribution des rles,
responsabilite, management
des barrieres
Cycle de vie des barrieres determinant leur eIIicacite
Figure 18 : Cycle de vie des barrires de scurit et processus du systme de management concerns
par l'audit du systme de management.

Risques Majeurs INERIS

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Risques Majeurs INERIS

Transféré par

Droits d'auteur :

Formats disponibles

RAPPORT D`ETUDE 13/10/2006

Vous aimerez peut-être aussi