La mthode HACCP (Hazard Analysis Critical Control Point) correspond l'analyse des dangers et points critiques pour leur

r matrise. "La mthode HACCP est une approche systmatique d'identification, de localisation, d'valuation et de matrise des risques potentiels en matire de salubrit des denres dans la chane alimentaire." Dfinition donne par la FERCO (Fdration Europenne de Restauration Collective) Son ide force est d'identifier des risques spcifiques, de dterminer des points de contrle de ces risques et de dfinir des mesures prventives adopter en vue de matriser ces risques. Ressources Documentaires Guide Mthodologique HACCP Manuel de formation HACCP Exemples de docs La Dmarche HACCP Ressources en HACCP

Le Systme des points de contrle critique pour l'analyse des risques (HACCP) est un programme largement accept pour la gestion de la scurit sanitaire des aliments. En tant que partie intgrante du programme de la FAO destin aider les pays consolider leurs systmes de production et garantir l'innocuit de leurs denres, le Service de la qualit des aliments et des normes alimentaires (ESNS) a collabor avec les organismes publics et l'industrie alimentaire en vue d'appliquer le HACCP. La conception d'outils et l'organisation de cours de formation qui permettent aux pays membres de renforcer les capacits nationales dans le but d'utiliser et de contrler le HACCP est un volet essentiel de ce programme. Le programme de formation comprend des modules sur l'apprentissage de techniques, les bonnes pratiques d'hygine et le dveloppement d'un systme HACCP. L'objectif est de promouvoir les bonnes pratiques d'hygine et le systme HACCP en permettant de comprendre et d'appliquer les Principes gnraux d'hygine alimentaire du Codex, y compris les directives du Codex relatives l'utilisation du systme HACCP qui sont en cours de rvision pour prendre en compte l'application du HACCP dans les petites et moyennes entreprises. Le manuel intitul "Systmes de qualit et de scurit sanitaire des aliments - Manuel de formation sur l'hygine alimentaire et sur le systme des points de contrle critiques pour l'analyse des risques (HACCP)" contient les documents de formation et fournit un supplment d'explications des Principes gnraux de l'hygine alimentaire du Codex. Ce manuel sert de rfrence aux formateurs et aux responsables de l'laboration de projets HACCP. Il s'adresse plus particulirement, entre autres, aux personnes charges des inspections alimentaires, au personnel de l'industrie alimentaire, aux universitaires, aux consultants de l'industrie alimentaire et aux formateurs.

MTHODE DE L' ARBRE DES CAUSES OU FAUT IL CHERCHER LES CAUSES DE L' INCIDENT OU DE L' ACCIDENT ?
Les causes de l'incident ou de l'accident sont rechercher dans les systmes ou ils se sont produits. Parmi les causes possibles lies aux dispositifs matriels, aux facteurs d'environnements physiques, aux relations avec la population, aux inaptitudes physiques ou psychologiques, la non connaissance du risque, aux relations perturbes, la mauvaise entente, aux conflits hirarchiss, aux dfauts de coordination, des incompatibilits, dans les diffrences, dans les extravagances, etc..........C'est bien compliqu tout a !

Ressources Documentaires Mthodologie de ralisation de l'Arbre des causes Prsentation .ppt de l'INRS.

COMMENT ANALYSER L' ACCIDENT OU LA SITUATION ELLE MME ?

La notion d'enchanement causal, rend mieux compte des vnements qui prcdent l'incident ou l'accident, lesquels s'enchanent comme des maillons. C'est pour cette raison que l'INSTITUT NATIONAL DE RECHERCHE ET DE SECURITE (INRS) mis au point ce sous produit de la thorie des systmes, qui est en France, le premier modle d'analyse qui visualise " l'antriorit logique de l'accident ". Cette mthode de l' I.N.R.S. nous aide dcouvrir au niveau organisationnel, les facteurs qui entranent l'accident, et surtout qui peuvent entraner d'autres accidents. La recherche posteriori des causes, conduit s'interroger sur une situation dont la reprsentation est thorique. Ainsi, pour construire l'arbre des causes, on doit faire rfrence au droulement " habituel ", plus ou moins assimil au droulement " normal " ; normalit par rapport quoi, si ce n'est par rapport au cadre formel tel qu'il a t conu par les organisateurs ? Dans cette approche, l'accident ou l'incident, est retenu comme l'un des symptmes de dysfonctionnement, mais non comme le seul. L'accident ne survient pas par hasard. Il est l'aboutissement logique d'une srie d'incidents. L'analyse rellement effectue, on peut mettre en vidence le fait qu'en permanence des incidents sont " rcuprs " , et s'apercevoir que le nombre d'accidents, ou incidents qui peuvent tres vits est considrable. Le bilan d'valuation tabli avec la participation des personnes directement concernes, permet de fonder des mesures. Les programmes mis en place par les auteurs eux mme, sont alors spontanment adopts et enrichis par la suite par des stratgies d'vitement et d'anticipation. La formation la prvention n'est plus limite un apprentissage et des thories qui vont nul part ! L'intrt principal de l'arbre des causes, c'est qu'il n'est pas le constat habituel de l'instant T. Il interdit l'interprtation la plus simple, voir la plus simpliste, qui s'appuie toujours sur le modle de la cause unique, et qui prte toutes les formes de suggestions plus ou moins ralistes . Car, il s'agit bel et bien, du constat de tous les vnements antrieurs, sans les " habiller " d'une quelconque forme "d' antagonisme humaine" ni la recherche d'un ventuel coupable. Le travail est propre, convivial, effectu dans la srnit, et sans " bavures " possibles, avec la participation de tous. Pour construire l'arbre des causes, l'enquteur recueille sans les interprter les faits qui sont de deux types : ceux qui prsentent un caractre inhabituel par rapport au droulement normal ( ils seront inscrits dans des ronds ) et ceux qui prsentent un caractre permanent et contribuent la gense de l'accident avec le concours de faits inhabituels ( ils seront inscrits dans des carrs ). Les liaisons entre les ronds et les carrs, donc, entre les faits, seront galement symbolises, par des enchanements simples -------->, conjonctions simples ou multiples,------->disjonctions simples ou multiples ------------>

La recherche des causes des accidents ou incidents, et l'action sur les situations qui les gnrent ncessitent une approche mthodologique.
En partant de la "blessure", chaque fait recueilli entrane systmatiquement les questions suivantes : Ce fait a-t-il un antcdent au moins ? Si oui, quel est-il ? Ce fait a-t-il t suffisant ? Si non, quels autres antcdents sont intervenus ? a-t-il entran d'autres consquences ? En remontant dans la ligne des enchanements causaux, on rencontre au niveau organisationnel des facteurs gnraux, gnrateurs potentiels d'autres accidents. Plus simplement, il faut chercher la rponse ces questions :

Qu'a-t-il fallu pour que cela arrive ?

Est ce ncessaire ?

Est ce suffisant ?

A chaque fois que vous rpondrez NON la question : Est ce suffisant ? Une autre piste s'ouvrira. A partir de laquelle vous renouvelez l'ensemble des trois questions. Jusqu' ne plus pouvoir trouver de nouvelles pistes. Vous venez de terminer l'analyse. Il ressortira obligatoirement, les pistes d'amlioration conduire sur un ou plusieurs facteurs l'origine de l'accident.

Mthode Organise et Systmique dAnalyse de Risques

Pierre PERILHON
Ecole dt "Gestion Scientifique du risque " 6/10 septembre 1999 ALBI - FRANCE

Source de l'article : Analyse du Risque Industriel

OBJET DE LA METHODE :
MOSAR est une mthode gnrique qui permet danalyser les risques techniques dune installation humaine et didentifier les moyens de prvention ncessaires pour les neutraliser. Elle sapplique aussi bien ds la conception dune installation nouvelle quau diagnostic dune installation existante. Elle constitue aussi un outil daide la dcision par les choix quelle met en vidence.

STRUCTURE DE LA METHODE :
Elle comprend deux modules. Le premier module ou module A permet de raliser une analyse des risques principaux. A partir dune dcomposition de linstallation en sous-systmes, on commence par identifier de manire systmatique en quoi chaque sous-systme peut tre source de dangers. Pour cela, on fait rfrence une grille de typologie des systmes sources de dangers et on utilise le modle MADS qui relie source de dangers et cibles. Lutilisation de la technique des botes noires permet de gnrer des scnarios de risques dinterfrence entre les sous-systmes qui, rassembls sur un mme vnement constituent un arbre logique ou arbre dvnements. La ngociation dobjectifs entre les acteurs concerns, par construction de graphes probabilits gravit permet de hirarchiser les scnarios identifis. La recherche des moyens de prvention (barrires techniques et barrires opratoires) ncessaires pour neutraliser les scnarios assure la prvention des risques. Ce premier module se termine par la qualification dans le temps des barrires identifies. Le deuxime module ou module Bpermet de raliser une analyse dtaille de linstallation et notamment il met en uvre les outils de la sret de fonctionnement pour la recherche des dysfonctionnements techniques des machines et appareils. Il met aussi en uvre les approches de lanalyse opratoire pour la recherche des dysfonctionnements opratoires. A partir des vnements primaires des arbres logiques construits dans le premier module : pour les vnements de nature technique on recherche leur origine en construisant des AMDEC sur les dispositifs concerns. pour les vnements de nature opratoire on pratique lanalyse dopration ou des outils tels quHAZOP pour en rechercher lorigine.

On peut alors structurer des arbres de dfaillance partir de toute linformation disponible : arbres logiques du premier module et dtails de leurs vnements primaires. Il est alors possible de mettre en uvre les proprits de cet outils notamment dans certains cas pour calculer la probabilit du risque final.

Un autre dveloppement possible est lallocation dun nombre de barrires sur le risque final pour le neutraliser. Cette allocation fait lobjet dun deuxime niveau de ngociation des acteurs par construction dune correspondance niveaux de gravit (de la grille probabilit gravit du premier module), nombre de barrires. Lutilisation de la logique des arbres de dfaillances permet de rpartir les barrires sur les vnements primaires et de choisir la meilleure rpartition cot-efficacit. La connaissance des scnarios et de leur neutralisation facilite la construction des plans dintervention (POI ou PUI).

FONCTIONNEMENT DE LA METHODE :
La mise en uvre se fait niveau par niveau et chaque niveau apporte un enrichissement en information. Il est possible de sarrter des niveaux choisis. Le module A donne une bonne analyse des risques principaux dune installation. Il est praticable par tout ingnieur ou technicien et ncessite une dure de trois jours pour une installation classique. Le module B prend beaucoup plus de temps suivant le degr de dtail exig. Il ncessite la connaissance des outils et leur mise en uvre. Il est aussi possible dutiliser les niveaux danalyse et leur contenu comme une bote outils dont on slectionne ceux rpondant une dmarche fixe. Par exemple EDF a choisi danalyser ses installations de recherche et dessais dans ses trois centres avec la dmarche ci -aprs.

APPLICATIONS DE LA METHODE :
Analyse de risques : Elle fait lobjet de multiples applications : CEA (Commissariat lEnergie Atomique) dans les installations de ses centres de recherche et dessais. EDF SAINT-GOBAIN TREFILUNION COPAL SNECMA ICI (GB) SOCIETE FRANCAISE DES RISQUES MAJEURS (Grenoble) dans des analyses dinstallations industrielles et des analyses de risques de systme dadduction deau pour les Collectivits.

Le Document unique

Le document unique doit d'abord contribuer la prsentation du rapport crit ou numrique traant le bilan de la situation gnrale dans lentreprise en matire dhygine, de scurit et de conditions de travail. Il centralise et qualifie l'entreprise les mesures, les moyens, les actions prises en ce domaine durant lanne coule ce qui lui permet ainsi de contribuer llaboration du programme annuel de prvention des risques professionnels.

Il est notoire que l'apprciation du document unique est diffrente suivant les critres intrinsques chaque entreprise (effectifs, activits, dangers, risques ... ). Le document n'est que le garant de l'application du dcret n 2001-1016, car il s'difie et se qualifie par l'efficacit des outils de prvention et d'valuation des risques professionnels dj existants et utiliss dans chaque entreprise (EVRP,...). Il a pour avantage d'affiner la teneur et la convenance de nouveaux outils et ainsi de produire un processus d'amlioration continue... Circulaire DRT n 2002-06 du 18 avril 2002 prise pour lapplication du dcret n 2001-1016 portant cration dun document relatif lvaluation des risques pour la sant et la scurit des travailleurs, prvue par larticle L. 230 -2 du code du travail et modifiant le code du travail (texte non paru au Journal officiel)

L'histoire de l'AMDEC
L'arme amricaine dvelopp l'AMDEC. La rfrence Militaire MIL-P-1629, intitul "Procdures pour l'Analyse des Modes de Dfaillance, de leurs Effets leurs Criticits, est date du 9 Novembre 1949. Cette mthode tait employe comme une technique d'valuation des dfaillances afin de dterminer la fiabilit d'un quipement et d'un systme. Les dfaillances taient classs selon leurs impacts sur le personnel et la russite des missions pour la scurit de l'quipement. Le concept personnel et quipement interchangeables ne s'applique pas dans le monde moderne de fabrication des biens de consommation. Les fabricants de produits de consommation ont tabli de nouvelles valeurs telles que la scurit et la satisfaction client. Ensuite, les outils d'valuation du risque sont devenus partiellement dmods. Ils n'ont pas t suffisamment mis jour. En 1988, L'ISO mettait les normes de la srie ISO 9000. Le QS 9000 est l'quivalent de l'ISO 9000 pour l'automobile. Un groupe de travail reprsentant entre autre Chrysler a dvelopp le QS 9000 pour standardiser les systmes qualit des fournisseurs. Conformment au QS 9000, les fournisseurs automobiles doivent utiliser la planification qualit du procd (APQP), incluant l'outil AMDEC et dveloppant les plans de contrle. La planification qualit du procd est une mthode structure pour dfinir et tablir les tapes ncessaires assurer qu'un produit satisfait aux exigences du client. Les plans de contrle aident le fabriquant produire des produits de qualit selon les exigences du client. Un accent est mis sur la minimisation de la variation du produit et du procd. Les fournisseurs doivent utiliser l'AMDEC dans la planification qualit du procd et dans le dveloppement de leurs plans de contrle. L'AIAG (Automotive Industry Action Group) et l'ASQC (American Society for Quality Control) mettent les normes AMDEC en fvrier 1993. Les normes sont prsentes dans un manuel de l'AMDEC approuv et soutenu par trois constructeurs automobiles. Ce manuel fournit les principes gnraux pour prparer une AMDEC. Les pages prsentes sur le site source de ce texte sont destines comprendre l'utilisation de l'AMDEC dans l'industrie automobile amricaine. Une AMDEC est dfini comme "un procd systmatique pour identifier les modes potentiels et traiter les dfaillances avant qu'elles ne surviennent, avec l'intention de les liminer ou de minimiser les risques associs.

LA COMMUNICATION DE CRISE

Dfinition : situation o une organisation, aux prises avec des problmes critiques, soumise de fortes pressions externes et d'pres
tensions internes, se trouve brutalement et pour une plus ou moins longue priode sur le devant de la scne dans une socit de communication de masse, c'est--dire en direct, avec de fortes chances de faire la Une des informations. A ce sujet, ce reporter l'article Wiki sur ce site : "Enjeux d'une bonne communication de crise" 1. Les caractristiques d'une crise 2. Le dispositif de crise 2.1 L'alerte 2.2 Activation de la cellule de crise 2.3 Communication de crise 2.4 Faire vivre le dispositif 3. La carte des acteurs 4. Principes de la communication de crise 4.1 Principes gnraux 4.2 Communication chaud 4.3 Prparer une interview 4.4 Questions rcurrentes

1. Les caractristiques d'une crise

Nota : les lments contenus dans ce dossier n'ont pas vocation tre exhaustifs, mais fournir des pistes l'entreprise, pour l'aider prparer sa communication de crise. Les principaux lments caractrisants une situation de crise peuvent se rsumer ainsi :

Surprise Il s'agit d'un vnement soudain auquel l'on se s'attendait gnralement pas. Bien souvent arrivant au "mauvais" moment.

Incertitude La crise sera d'autant plus importante pour l'organisation que l'incertitude sera importante. Le 1er lment d'incertitude concerne la crise elle mme, il est bien souvent difficile dans les dbuts de savoir ce qu'il se passe rellement. Cette tche est rendu d'autant plus ardu que les moyens de communication (techniques et humains) peuvent tre endommags / blesss, saturs, dpasss... Pass ce 1er cap, les sources d'incertitudes croient exponentiellement : incertitude sur la conduite tenir, sur le rle de chacun, sur la dure de la crise, sur les impacts cousn moyens et long terme pour l'entreprise et les tiers (riverains, sous-traitant...)

Multiplication des acteurs Sans chercher a tre exhaustif, on relevera : les responsables de l'entreprise, les ouvriers, les familles, les sou-traitant, les clients, la presse, les pouvoirs publiques, la justice, les riverains etc...

Pression et acclration du temps - Urgence - Longue dure - Evaluation des menaces

Facteurs aggravant Ce sont pour beaucoup les difficults d'organisation interne touchant, entre autre, la communication de crise. Mais attention, la meilleur communication de crise ne pourra jamais camoufler un dfaut de prparation de l'entreprise pour faire face aux lments constitutifs d'une crise (plans d'urgence interne, sauvegardes inforatique, plan de redmarrage, veille sanitaire...) Ces lments ne constituent que le BABA d'une gestion de crise et nous n'aborderons pas les phnomnes de rupture comme les temptes de 1999 en France, la paralysie du rseau lectrique nord amricain en 1998 etc... Pour cela, se rfrer aux travaux de Patrick Lagadec.

2. Dispositif de crise
2.1 L'alerte - Formaliser la procdure d'alerte en heures ouvrables : qui et par quelle voie ? - Organiser une permanence hors heures ouvrables, pour une ractivit accrue face une situation de crise. - Disposer d'une liste tlphonique d'urgence pour pouvoir diffuser l'alerte et mobiliser les quipes. - Recueillir rapidement l'information pertinente (factuelle) sur l'vnement, pour valuer et dcider en toute connaissance de cause.

2.2 Activation de la cellule de crise - Mobiliser une cellule de crise pluridisciplinaire, couvrant l'ensemble des missions remplir par rapport l'vnement. - Activation des locaux de crise qui doivent tre oprationnels (informatique, tlphonie, capacits d'affichage, confidentialit...) - Organiser le filtrage des appels tlphoniques, pour viter la saturation des postes et garantir le suivi de chaque appel. - Avoir un livret de bord enregistrant l'historique de la succession des vnements lis la crise, pour en faciliter le suivi.

2.3 Communication de crise - Concevoir le plan de communication vers l'ensemble des publics concerns par la crise ==> raliser la carte des acteurs. - Informer / contacter les personnes susceptibles d'tre concernes ou impactes par la stuation : victimes, autorits, clients... - Prparer les relations avec les mdias : connaitre les contraintes et modes de fonctionnement de la presse (horaires de bouclage), savoir rdiger un communiqu, se prparer la dclaration publique et l'interview. - Avoir une vision d'ensemble du traitement du sujet en assurant une veille mdiathique multisupport (presse, internet, JT...)

2.4 Faire vivre le dispositif - Tirer des enseignements de crise ou quasi-crises en formalisant le retour d'exprience. - Maintenir le dispositif de crise oprationnel : mise jour des outils, formation des quipes, diffusion des retours d'expriences, exercices, mdia-training...

3. La carte des acteurs

- Prfet - Police, Gendarmerie, RG - Secours Publics

- Procureur de la Rpublique - Hpitaux Centre anti-poison

- Administrations concernes - Medecin et inspecteur du travail - ...

AUTORITES POUVOIRS PUBLICS ADMINISTRATIONS PARTENAIRES HORS CULTURE OU SENSIBLES Clients PARTENAIRES Fournisseurs PROFESSIONNELS Rseaux vitaux

Victimes et proches

CELLULE DE CRISE

Associations (consommateurs, riverains, environnement...)

INTERNE

Laboratoires d'analyses

Familles du personnel Mdias (agences, presse crite, radio, TV...) Experts reconnus Leaders d'opinion

- Encadrement - Collaborateurs - Syndicats - CE - CHSCT - Sige - Autres sites

Banques Assurances Huissier Avocat ...

4. Principes de la communication de crise

4.1 "Rgles" gnrales - Se positionner comme une source d'information crdible - Avoir un langage d'actes - Adapter le discours aux attentes des interlocuteurs - Utiliser un vocabulaire comprhensible par des non-professionnels - S'assurer que les diffrents porte-paroles aient un discours cohrent - Tmoigner de la compassion - Prparer le porte-parole - Ne pas mentir et/ou minimiser outrance

4.2 Principes gnraux de la communication chaud Objectif : restaurer ou maintenir la confiance des interlocuteurs - Montrer son professionnalisme : faire la pdagogie de l'action. Ce que vous faites pour rsoudre le problme, le dispositif en place pour viter habituellement ce type de situation, ventuellement ce que vous allez faire pour viter que cela se reproduise. - Etre prsent sur la dimension humaine : Vrifier que vous tes bien en logique destinataire. Prendre en compte les inquitudes, parler des consquences qui intressent vos interlocuteurs prioritaires (les victimes, les clients, les riverains...)

4.3 Prparer une interview - Savoir ce que vous voulez dire : prparer vos messages cls. - Visualiser le(s) public(s) : qui va vous lire / vous entendre ? Qui devez vous convaincre ? - Connaitre le terrain : mdia (style, horaire...), identit du journaliste, angle, autres interviews... Prendre en compte les dlais de bouclage. - Anticiper les questions et les rponses (en fonction des messages cls). - Slectionner le meilleur porte-parole pour la situation (connaissances, qualits relationnelles, secteur d'activit, reprsentation de l'entreprise...) - S'chauffer. Entrainer le porte-parole dans un jeu de questions - rponses. Etre attentif au non verbal : tonalit, position, dcor... Si vous refusez l'interview, justifier votre refus (anqute en cours, renvois vers d'autres porte-paroles, rendez-vous ultrieur...). N'oubliez pas que le journaliste n'hsitera pas relayer les arguments qui justifient le refus. Informez vos collaborateurs pour qu'ils observent la mme attitude.

4.4 Les questions rcurrentes - Les faits (5W + H) : Que s'est-il pass ? Pouvons nous faire un point sur la situation ? Y a-t-il des victimes ? - Plan d'action : Quelles mesures allez-vous prendre ? - Consquences / risques : Risques pour la sant ou la scurit / Impact sur la marche de l'entreprise / Consquences matrielles - Prevision : Qu'aviez-vous mis en place pour viter que cela se produise ? - Causes et Responsabilits : Quelle est l'origine de l'accident ? Qui est responsable ? Vous sentez-vous responsable ? Erreur humaine / ngligeance / dfaillance... ? - Consquences moyen / long terme : Ce qui va changer au niveau des hommes et/ou du systme. - Interne, social : Lien entre l'accidnet et la rduction des effectifs / Sanctions si responsabilit interne. Autres points de vigilance : - Casier mdiatique de l'entreprise : Dclarartions antrieures contradictoires (internes ou prononces par d'autres acteurs). - Rumeurs - 100% motionnel : Les parents des victimes nous coutent, qu'avez-vous leur dire ? - Aspects financiers : Combien cela va-t-il coter ? Qui va payer ? Les clients ? - Ethique : vous saviez et vous n'avez rien fait. Dilemme rentabilit / scurit. - Faiblesses caches : non conformit juridiques / erreurs / fautes commises et tues / Tmoin surprise (ancien salari...) - Exagration / Hypothse : Et si c'tai arriv un samedi ? N'a t'on pas vit de justesse une catastrophe ? - ...

Mthode HAZOP (Hazard and Operability Studies) Et mthode What if

A. HAZOP
1. Historique et domaine dapplication
La mthode HAZOP, pour HAZard OPerability, a t dveloppe par la socit Imperial Chemical Industries (ICI) au dbut des annes 1970. Elle a depuis t adapte dans diffrents secteurs dactivit. LUnion des Industries Chimiques (UIC) a publi en 1980 une version franaise de cette mthode dans son cahier de scurit n2 intitul Etude de scurit sur schma de circulation des fluides . Considrant de manire systmatique les drives des paramtres dune installation en vue den identifier les causes et les consquences, cette mthode est particulirement utile pour lexamen de systmes thermo-hydrauliques, pour lesquels des paramtres comme le dbit, la temprature, la pression, le niveau, la concentration... sont particulirement importants pour la scurit de linstallation. De par sa nature, cette mthode requiert notamment lexam en de schmas et plans de circulation des fluides ou schmas PID (Piping and Instrumentation Diagram).

2.

Principe

La mthode de type HAZOP est ddie lanalyse des risques des systmes thermohydrauliques pour lesquels il est primordial d e matriser des paramtres comme la pression, la temprature, le dbit... LHAZOP suit une procdure assez semblable celle propose par lAMDE. LHAZOP ne considre plus des modes de dfaillances mais les drives potentielles (ou dviations) des principaux paramtres lis lexploitation de linstallation. De ce fait, elle est centre sur linstallation la diffrence de lAMDE qui est ce ntr sur les composants. Pour chaque partie constitutive du systme examin (ligne ou maille), la gnration (conceptuelle) des drives est effectue de manire systmatique par la conjonction : - de mots cls comme par exemple Pas de ; Plus de ; Moins de ; Trop de - des paramtres associs au systme tudi. Des paramtres couramment rencontrs concernent la temprature, la pression, le dbit, la concentration mais galement le temps ou des oprations effectuer

Le groupe de travail doit ainsi sattacher dterminer les causes et les consquences potentielles de chacune de ces drives et identifier les moyens existants permettant de dtecter cette drive, den prvenir loccurrence ou den limiter les effets. Le cas chant, le groupe de travail pourra proposer des mesures correctives engager en vue de tendre vers plus de scurit. A lorigine, lHAZOP na pas t prvue pour procder une estimation de la probabilit doccurrence des drives ou de la gravit de leurs consquences. Cet outil est donc parfois qualifi de qualitatif. Nanmoins, dans le domaine des risques accidentels majeurs, une estimation a priori de la probabilit et de la gravit des consquences des drives identifies savre souvent ncessaire. Dans ce contexte, lHAZOP d oit donc tre complt par une analyse de la criticit des risques sur les bases dune technique quantitative simplifie. Dans une premire approche, une dmarche semi-quantitative pourra tre retenue. Cette adaptation semi-quantitative de lHAZOP est dailleurs mentionne dans la norme CEI :61882 Etudes de danger et dexploitabilit (tudes HAZOP) - Guide dapplication .

3. Le droulement
Le droulement dune tude HAZOP est sensiblement similaire celui dune AMDE. Il convient pour mener lanalyse de suivre le s tapes suivantes : 1) Dans un premier temps, choisir une ligne ou de la maille. Elle englobe gnralement un quipement et ses connexions, lensemble ralisant une fonction dans le procd identifie au cours de la description fonctionnelle. 2) Choisir un paramtre de fonctionnement, 3) Retenir un mot-cl et gnrer une drive, 4) Vrifier que la drive est crdible. Si oui, passer au point 5, sinon revenir au point 3, 5) Identifier les causes et les consquences potentielles de cette drive, 6) Examiner les moyens visant dtecter cette drive ainsi que ceux prvus pour en prvenir loccurrence ou en limit er les effets, 7) Proposer, le cas chant, des recommandations et amliorations, 8) Retenir un nouveau mot-cl pour le mme paramtre et reprendre lanalyse au point 3), 9) Lorsque tous les mots-cl ont t considrs, retenir un nouveau paramtre et reprendre lanalyse au point 2), 10) Lorsque toutes les phases de fonctionnement ont t envisages, retenir une nouvelle ligne et reprendre lanalyse au point 1). La dmarche prsente ici est globalement cohrente avec la dmarche prsente dans la norme CEI :61882 Etudes de danger et dexploitabilit (tudes HAZOP) - Guide dapplication . Notons de plus que, dans le domaine des risques accidentels, il est souvent ncessaire de procder une estimation de la criticit des drives identifies. Enfin, comme le prcise la norme CEI :61882, il est galement possible de drouler lHAZOP, en envisageant en premier lieu un mot-cl puis de lui affecter systmatiquement les paramtres identifis. Tout comme pour lAPR et lAMDEC prsentes dans les paragraphes prcdents, un tableau de synthse se rvle souvent utile pour guider la rflexion et collecter les rsultats des discussions menes au sein du groupe de travail. Un exemple de tableau pouvant tre utilis est prsent et comment dans les paragraphes suivants. Date : Ligne ou quipement : 1 N 2 Mot cl 3 Paramtre 4 Causes 5 Consquences 6 Dtection 7 Scurits existantes 8 Propositions damlioration 9 Observation

Tableau 1 : Exemple de tableau pour lHAZOP a. Dfinition des mots-cls Les mots-cl, accols aux paramtres importants pour le procd, permettent de gnrer de manire systmatique les drives considrer. La norme CEI : 61882 propose des exemples de mots-cl dont lusage est particulirement courant. Ces mots-cl sont repris dans le tableau ci-dessous, inspir du Tableau 3 de la norme pr-cite. Type de dviation

Mot-guide

Exemples dinterprtation

Aucune partie de lintention nest remplie Augmentation quantitative Diminution quantitative Prsence dimpurets Excution simultane dune autre opration / tape Modification qualitative Une partie seulement de lintention est ralise Sapplique linversion de lcoulement dans les canalisations ou linversion des Inverse ractions chimiques Substitution Autre que Un rsultat diffrent de lintention originale est obtenu Plus tt Un vnement se produit avant lheure prvue Temps Plus tard Un vnement se produit aprs lheure prvue Avant Un vnement se produit trop tt dans une squence Ordre squence Aprs Un vnement se produit trop tard dans une squence Tableau 2 : Exemples de mots-cl pour lHAZOP (norme CEI : 61882) Ngative Modification quantitative Ne pas faire Plus Moins En plus de Partie de b. Dfinition des paramtres

Les paramtres auxquels sont accols les mots-cl dpendent bien sr du systme considr. Gnralement, lensemble des paramtres pouvant avoir une incidence sur la scurit de linstallation doit tre slectionn. De manire frquente, les par amtres sur lesquels porte lanalyse sont : la temprature la pression le dbit le niveau la concentration le temps des oprations raliser La combinaison de ces paramtres avec les mots cl prcdemment dfinis permet donc de gnrer des drives de ces paramtres. Par exemple : c. Plus de et Temprature Moins de et Pression Inverse et Dbit Pas de et Niveau Causes et consquences = = = = Temprature trop Pression trop Retour de Capacit de la haute basse produit vide , , , . drive

De la mme faon que pour une AMDE, le groupe de travail, une fois la drive envisage, doit identifier les causes de cette drive, puis les consquences potentielles de cette drive. En pratique, il peut tre difficile daffecter chaque mot cl (et drive) un e portion bien dlimite du systme et en consquence, lexamen des causes potentielles peut savrer, dans certains cas, complexe. Afin de faciliter cette identification, il est utile de se rfrer des listes guides. d. Moyens de dtection, scurits existantes et propositions

La mthode HAZOP prvoit didentifier pour chaque drive les moyens accords sa dtection et les barrires de scurit prv ues pour en rduire loccurrence ou les effets. Si les mesures mises en place paraissent insuffisantes au regard du risque encouru, le groupe de travail peut proposer des amliorations en vue de pallier ces problmes ou du moins dfinir des actions engager pour amliorer la scurit quant ces points prcis.

4. Limites et avantages
LHAZOP est un outil particulirement efficace pour les systmes thermohydrauliques. Cette mthode prsente tout comme lAMDE un caractre systmatique et mthodique. Considrant, de plus, simplement les drives de paramtres de fonctionnement du systme, elle vite entre autres de considrer, linstar de lAMDE, tous les modes de dfaillances possibles pour chacun des composants du systme. En revanche, lHAZOP permet difficilement danalyser les vnements rsultant de la combinaison simultane de plusi eurs dfaillances. Par ailleurs, il est parfois difficile daffecter un mot cl une portion bien dlimite du systme tudier. Cela complique singulirement lidentification exhaustive des causes potentielles dune drive. En effet, les systmes tudis sont souvent composs de parties interconnectes si bien quune drive survenant dans une ligne ou maille peut avoir des consquences ou linverse d es causes dans une maille voisine et inversement. Bien entendu, il est possible a priori de reporter les implications dune drive dune partie une autre du systme. Toutefois, cette tche peut rapidement savrer complexe.

B. What if
La mthode dite What if est une mthode drive de lHAZOP. Elle suit donc globalement la mme procdure et les inform ations prsentes au paragraphe prcdent pour lHAZOP restent donc valables ici. La principale diffrence concerne la gnration des drives des paramtres de fonctionnement. Ces drives ne sont plus dans ce cas envisages en tant que combinaison dun mot cl et dun paramtre, mais fondes sur une succession de questions de type de la forme : QUE (What) se passe-t-il SI (IF) tel paramtre ou tel comportement est diffrent de celui normalement attendu ? . Il apparat ainsi que lefficacit de la mthode What if repose en grande partie sur lexprience des personnes runies au sein du groupe de travail. Cette mthode parat donc moins fastidieus e mener que lHAZOP mais est rserve une quipe exprimente.

LAnalyse Prliminaire des Risques / Dangers (APR/D)

1. Historique et domaine dapplication Lanalyse Prliminaires des Risques (Dangers) a t dveloppe au dbut des annes 1960 dans les domaines aronautiques et militaires. Utilise depuis dans de nombreuses autres industries, lUnion des Industries Chimiques (UIC) recommande son utilisation en France depuis le dbut des annes 1980. Lanalyse Prliminaire des Risques (APR) est une mthode dusage trs gnral couramment utilise pour lidentification des risques au stade prliminaire de la conception dune installation ou dun projet. En consquence, cette mthode ne ncessite gnralement pas une connaissance approfondie et dtaille de linstallation tudie. En ce sens, elle est particulirement utile dans les situations suivantes : - Au stade de la conception dune installation, lorsque la dfinition prcise du procd na pas encore t effectue. Elle fournit une premire analyse de scurit se traduisant par des lments constituant une bauche des futures consignes dexploitation et de scurit. Elle permet galement de choisir les quipements les mieux adapts. - Dans le cas dune installation complexe existante, au niveau dune dmarche danalyse des risques. Comme lindique son nom, lAPR constitue une tape prliminaire, perm ettant de mettre en lumire des lments ou des situations ncessitant une attention plus particulire et en consquence lemploi de mthodes danalyses de risques plus dtailles. Elle peut ainsi tre complte par une mthode de type AMDEC ou arbre des dfaillances par exemple. Dans le cas dune installation dont le niveau de complexit ne ncessite pas danalyses plus pousses au regard des objectifs fixs au dpart de lanalyse des risques. 2. Principe Lanalyse Prliminaire des Risques ncessite dans un premier temps didentifier les lments dangereux de linstallation. Ces lments dangereux dsignent le plus souvent : - Des substances ou prparations dangereuses, que ce soit sous forme de matires premires, de produits finis, dutilits..., - Des quipements dangereux comme par exemple des stockages, zones de rception expdition, racteurs, fournitures dutilits (chaudire...), - Des oprations dangereuses associes au procd. Lidentification de ces lments dangereux est fonction du type dinstallation tudie. Il est galement noter que lidentification de ces lments se fonde sur la description fonctionnelle ralise avant la mise en uvre de la mthode. partir de ces lments dangereux, lAPR vise identifier, pour un lment dangereux, une ou plusieurs situations de dangers. Dans le cadre de ce document, une situation de dangers est dfinie comme une situation qui, si elle nest pas matrise, peut conduire lexposition de cibles un ou plusieurs phnomnes dangereux. Le groupe d e travail doit alors en dterminer les causes et les consquences de chacune des situations de dangers identifis puis identifier les scurits existantes sur le systme tudi. Si ces dernires sont juges insuffisantes vis-vis du niveau de risque identifi dans la grille de criticit, des propositions damliorations doivent alors tre envisages. 3. Droulement

Lutilisation dun tableau de synthse constitue un support pratique pour mener la rflexion et rsumer les rsultats de lanalyse. Pour autant, lanalyse des risques ne se limite pas remplir cote que cote un tableau. Par ailleurs, ce tableau doit parfois tre adapt en fonction des objectifs fixs par le groupe de travail pralablement lanalyse. Pour chaque fonction identifie dans la phase de description des installations, les produits ou quipements sont passs en revue, en examinant les situations de dangers potentielles de manire systmatique. Pour cela, il est fait appel lexprience et limagination de chacun. Lanalyse daccidents constitue de plus une source dinformation privilgier. Le groupe de travail peut alors adopter une dmarche systmatique sous la forme suivante :

1) Slectionner le systme ou la fonction tudier sur la base de la description fonctionnelle ralise. 2) Choisir un quipement ou produit pour ce systme ou cette fonction (colonne 2). 3) Pour cet quipement, considrer une premire situation de dangers (colonne 3) 4) Pour cette situation de dangers, envisager toutes les causes et les consquences possibles (colonnes 4 et 5). 5) Pour un enchanement cause-situation de danger-consquences donn, identifier alors les barrires de scurit existantes sur linstallation (colonne 6) 6) Si le risque ainsi estim est jug inacceptable, formuler des propositions damliorations en colonne 7. La dernire colonne (colonne 8) est rserve dventuels commentaires. Elle est particulirement importante pour faire apparatre les hypothses effectues durant lanalyse ou les nomes de personnes devant engager des actions complmentaires. 7) Envisager alors un nouvel enchanement cause-situation de danger-consquences pour la mme situation de danger et retourner au point 5). 8) Si tous les enchanements ont t tudis, envisager une nouvelle situation de danger pour le mme quipement et retourner au point 4). 9) Lorsque toutes les situations de dangers ont t passes en revue pour lquipement considr, retenir un nouvel quipement et retourner au point 3) prcdent. 10) Le cas chant, lorsque tous les quipements ont t examins, retenir un nouveau systme ou fonction et retourner au point 2). Une des premires difficults rencontres en pratique au cours dune APR tient dans la dfinition du terme situation de danger . Il nest en effet pas rare de constat er au cours de lanalyse que des causes ou consquences dune situation de dangers soient leur tour identifies comme situations de dangers plus tard lors de lanalyse. Cette difficult peut rendre dlicate lappropriation de la mthode par le groupe de travail. Toutefois, elle ne doit pas tre considre comme un frein pour lanalyse des risques mais au contraire, comme un moyen pour tendre vers plus dexhaustivit. Prenons lexemple dun rservoir de liquide inflammable type essence. Le groupe de travail identifie dans un premier temps comme situation de danger, un feu se dveloppant dans la cuvette de rtention. La cause de cet incendie serait lpandage de combustible dans la cuvette associ la prsence dune source dinflammation. Si ensuite le grou pe de travail considre lpandage seul dessence comme situation de dangers, il identifiera probablement en terme de consquences le feu de nappe mais galement la formation dun nuage inflammable suite lvaporation de la nappe. Prcisons enfin que des colonnes peuvent tre ajoutes au tableau prsent ci-avant afin de recueillir les rsultats de lestimation des risques ralise en groupe de travail. 4. Limites et avantages Le principal avantage de lAnalyse Prliminaire des Risques est de permettre un examen relativement rapide des situations dangereuses sur des installations. Par rapport aux autres mthodes prsentes ci-aprs, elle apparat comme relativement conomique en terme de temps pass et ne ncessite pas un niveau de description du systme tudi trs dtaill. Cet avantage est bien entendu relier au fait

quelle est gnralement mise en uvre au stade de la conception des installations. En revanche, lAPR ne permet pas de caractriser finement lenchanement des vnements susceptibles d e conduire un accident majeur pour des systmes complexes. Comme son nom lindique, il sagit la base dune mthode prliminaire danalyse qui permet didentifier des points critiques devant faire lobjet dtudes plus dtailles. Elle permet ainsi de mettre en lumire les quipements ou installations qui peuvent ncessiter une tude plus fine mene grce des outils comme lAMDEC, lHAZOP ou lanalyse par arbre des dfaillances. Toutefois, son utilisation seule peut tre juge suffisante dans le cas dinstallations simples ou lorsque le groupe de travail possde une exprience significative de ce type dapproches.

Larbre de dfaillance

1. Historique et domaine dapplication

Lanalyse par arbre des dfaillances fut historiquement la premire mthode mise au point en vue de procder un examen systmatique des risques. Elle a t labore au dbut des annes 1960 par la compagnie amricaine Bell Tlphone et fut exprimente pour lvaluation de la scurit des systmes de tir de missiles. Visant dterminer lenchanement et les combinaisons dvnements pouvant conduire un vnement redout pris comme rfrence, lanalyse par arbre des dfaillances est maintenant applique dans de nombreux domaines tels que laronautique, le nuclaire, lindustrie chimique... Elle est aussi utilise pour analyser a posteriori les causes daccidents qui se sont produits. Dans ces cas, lvnement redout final est gnralement connu car observ. On parle alors danalyse par arbre des causes, lobjectif principal tant de dterminer les causes relles qui ont conduit laccident.

2. Principe
Lanalyse par arbre de dfaillances est une mthode de type dductif. En effet, il sagit, partir dun vnement redout dfini a priori, de dterminer les enchanements dvnements ou combinaisons dvnements pouvant finalement conduire cet vnement. Cette analyse permet de remonter de causes en causes jusquaux vnements de base susceptibles dtre lorigine de lvnement re dout. Les vnements de base correspondent gnralement des : - vnements lmentaires qui sont suffisamment connus et dcrits par ailleurs pour quil ne soit pas utile den rechercher les causes. Ainsi, leur probabilit doccurrence est galement connue. - vnements ne pouvant tres considrs comme lmentaires mais dont les causes ne seront pas dveloppes faute dintrt, - vnements dont les causes seront dvelopps ultrieurement au gr dune nouvelle analyse par exemple, - vnements survenant normalement et de manire rcurrente dans le fonctionnement du procd ou de linstallation. - Quelle que soit la nature des lments de base identifis, lanalyse par arbre des dfaillances est fonde sur les principes suivants : - Ces vnements sont indpendants, - Ils ne seront pas dcomposs en lments plus simples faute de renseignements, dintrt ou bien parce que cela est impossible, - Leur frquence ou leur probabilit doccurrence peut tre value. Ainsi, lanalyse par arbre des dfaillances permet didentifier les successions et les combinaisons dvnements qui conduisent des vnements de base jusqu lvnement indsirable retenu. Les liens entre les diffrents vnements identifis sont raliss grce des portes logiques (de type ET et OU par exemple). Cette mthode utilise une symbolique graphique particulire qui permet de prsenter les rsultats dans une structure arborescente. Les conventions de prsentation sont proposes dans la norme CEI 61025 :1990 Analyse par Arbre de Panne (APP) . A laide de rgles mathmatiques et statistiques, il est alors thoriquement possible dvaluer la probabilit doccurrence de lvnement final partir des probabilits des vnements de base identifis. Lana lyse par arbre des dfaillances dun vnement redout peut se dcomposer en trois tapes successives : - Dfinition de lvnement redout tudi, - Elaboration de larbre, - Exploitation de larbre. Il convient dajouter ces tapes, une tape prliminaire de connaissance du systme. Nous verrons que cette dernire est primordiale pour mener lanalyse et quelle ncessite le plus souvent une connaissance pralable des risques.

3. Dfinition de lvnement redout

La dfinition de lvnement final, qui fera lobjet de lanalyse, est une tape cruciale pour la construction de larbre. On conoit que plus cet vnement est dfini de manire prcise, plus simple sera llaboration de larbre des dfaillances. Par ailleurs, sagissant dune

mthode qui peut se rvler rapidement lourde mener, elle doit tre rserve des vnements jugs particulirement critiques. En ce sens, lutilisation pralable de mthodes inductives (APR, AMDEC, HAZOP) permet didentifier les vnements qui mritent dt re retenus pour une analyse par arbre des dfaillances. De manire classique, les vnements considrs peuvent concerner : - le rejet latmosphre de produits toxiques ou inflammables, - le risque dincendie, - le risque dexplosion...

4. Elaboration de larbre
La construction de larbre des dfaillances vise dterminer les enchanements dvnements pouvant conduire lvnement final retenu. Cette analyse se termine lorsque toutes les causes potentielles correspondent des vnements lmentaires. Llabor ation de larbre des dfaillances suit le droulement suivant :

Figure 1 : Dmarche pour llaboration dun arbre des dfaillances La recherche systmatique des causes immdiates, ncessaires et suffisantes (INS) est donc la base de la construction de larbre. Il sagit probablement de ltape la plus dlicate et il est souvent utile de procder cette construction au sein dun groupe de travail pluridisciplinaire. De plus, la mise en uvre pralable dautres mthodes danalyse des risques de type inductif facilite grandement la recherche des dfaillances pour llaboration de larbre. Afin de slectionner les vnements intermdiaires, il est indispensable de procder pas pas en prenant garde bien identifier les causes directes et immdiates de lvnement considr et se poser la question de savoir si ces causes sont bien ncessaires et suffisantes. Faute de quoi, larbre obtenu pourra tre partiellement incomplet voire erron. Enfin, il est ncessaire de respecter certaines rgles supplmentaires observer durant la construction de la rbre savoir : - Vrifier que le systme est cohrent, cest--dire que : - La dfaillance de tous ses composants entrane la dfaillance du systme, - Le bon fonctionnement de tous ses composants entrane le bon fonctionnement du systme, - Lorsque le systme est en panne, le fait de considrer une nouvelle dfaillance ne rtablit pas le fonctionnement du systme, - Lorsque le systme fonctionne correctement, la suppression dune dfaillance ne provoque pas la dfaillance du systme. Il peut en effet arriver quune dfaillance survenant sur un composant annule les effets dune dfaillance antrieure et permet ainsi le fonctionnement du systme. Dans un tel cas de figure (systme non cohrent), le deuxime composant doit tre suppos, dans lanalyse, en fonctionnement lorsque la premire dfaillance survient. - Sassurer que tous les vnements dentre dune porte logique ont bien t identifis avant danalyser leurs causes respectives, - viter de connecter directement deux portes logiques, - Ne slectionner que les causes antrieures lexistence de lvnement considr.

5. Exploitation de larbre
a. Coupes minimales Rduction de larbre Une coupe minimale reprsente la plus petite combinaison dvnements pouvant conduire lvnement indsirable ou redout. On parle parfois galement de chemin critique . Dans lexemple prcdent, loccurrence simultane des vnements A, B et C co nduit effectivement lvnement final. Il ne sagit cependant pas dune coupe minimale puisque la combinaison A.B seule peut tre lorigine de lvnement final. La recherche des coupes minimales est effectue partir des rgles de lalgbre de BOOLE en considrant que :

- chaque vnement de base correspond une variable boolenne, - Lvnement de sortie dune porte ET est associ au produit des variables boolennes correspondant aux vnements dentre, - Lvnement de sortie dune porte OU est associ la somme des variables boolennes correspondant aux vnements dentre, Quelques-unes des principales rgles de lalgbre de BOOLE sont rsumes dans le tableau suivant :

Ainsi, dans lexemple prcdent, la recherche des coupes minimales peut seffectuer comme suit : ER = E1 . E2 E1 = A +E3 avec E3 = B + C E2 = C + E4 avec E4 = A . B Au total, nous avons donc : ER = (A+B+C) . (C+A.B) = A.C + A.B + B.C + A.B + C +C.A.B Or, A.C + C =C et A.B+ A.B.C = A.B (par absorption) ER = C + A.B + B.C + A.B De plus, A.B + A.B = AB (Idempotence) et C + B.C = C (Absorption) Do ER = C + A.B Ainsi, lvnement C seul ou la combinaison des vnements A.B conduisent lvnement redout. Il nexiste pas de combinaison plus petite conduisant cet vnement. Larb re prsent en exemple admet donc deux coupes minimales : C ainsi que A.B. Lordre dune coupe est alors dfini comme le nombre dvnements combins qui figurent dans cette coupe. Finalement, cet arbre comporte : - Une coupe minimale dordre 1 : C, - Une coupe minimale dordre 2 : A.B. Larbre reprsentant ces coupes minimales est appel arbre rduit . Pour lexemple considr dans la Figure 3, larbre rduit est le suivant.

Figure 2 : Rduction de larbre des dfaillances pris en exemple (VILLEMEUR, 1988) La recherche des coupes minimales peut savrer fastidieuse pour des arbres de taille importante. Certains outils informatiques permettent heureusement dautomatiser cette dmarche. Ces outils dmontrent toute leur utilit pour la rduction darbres com plexes. Leur utilisation ne doit cependant pas faire oublier que la dfinition prcise de lvnement final constitue la premire tape en vue de limiter la complexit de larbre des dfaillances. b. Exploitation qualitative de larbre des dfaillances Lexploitation qualitative de larbre vise examiner dans quelle proportion une dfaillance correspondant un vnement de base peut se propager dans lenchanement des causes jusqu lvnement final. Pour cela, tous les vnements de base sont supposs quiprobables et on tudie le cheminement travers les portes logiques dvnement ou de combinaisons dvnements jusqu lvnement final. De manire intuitive, une dfaillance se propageant travers le systme en ne rencontrant que des portes OU est susceptible de conduire trs rapidement lvnement final. A linverse, un cheminement soprant exclusivement travers de s portes ET indique que loccurrence de lvnement final partir de lvnement ou la combinaison dvnements de base est moins probable

et dmontre ainsi une meilleure prvention de lvnement final. La dfinition des coupes minimales permet daccder directem ent aux vnements et combinaisons dvnements les plus critiques pour le systme considr. Ainsi, plus lordre dune coupe minimale est petit, plus loccurrence de lvnement final suivant ce chemin critique peut paratre probable. Un moyen de prvenir les v nements indsirables ou redouts vise modifier larbre des dfaillances en vue dobtenir des coupes minimales dordre le plus lev possible, par lintroduction de portes ET par exemple. Cette approche qualitative repose nanmoins sur lhypothse relativement forte que les vnements de base sont quiprobables. Il peut cependant arriver quune coupe minimale dordre 1 corresponde un vnement extrmement peu probable alors quune coupe minimale dordre suprieur peut correspondre des combinaisons dvnements trs probables. c. Exploitation quantitative de larbre de dfaillances Lexploitation quantitative de larbre des dfaillances vise estimer, partir des probabilits doccurrence des vnements de base, la probabilit doccurrence de lvnement final ainsi que des vnements intermdiaires. Il ne sagit pas dune dmarche qui permet daccder avec exactitude la probabilit de chaque vnement. Elle doit tre mise en uvre dans loptique de hirarchiser les diffrentes causes possibles et de concentrer les efforts en matire de prvention sur les causes les plus vraisemblables. En pratique, il est souvent difficile dobtenir des valeurs prcises de probabilits des vnements de base. En vue de les estimer, il est possible de faire appel : - Des bases de donnes, - Des jugements dexperts, - Des essais lorsque cela est possible, - Au retour dexprience sur linstallation ou des installations analogues. partir des probabilits des vnements de base, il sagit de remonter dans larbre des dfaillances en appliquant les rgles suivantes.

titre dexemple, appliquons cette dmarche larbre rduit prsent en Figure 4, en supposant les probabilits des vnements de base connues : - P(A) = 10-3, - P(B) = 10-2 - P(C) = 10-6.

Figure 3 : Dterminations de la probabilit de lvnement final Cette exploitation quantitative de larbre, au mme titre que son exploitation qualitative, ne peut tre effectu qu partir dun arbre rduit. Par ailleurs, notons, que pour des lments de base de faible probabilit, la probabilit de lvnement final est sensiblement gale la somme des probabilits affectes aux coupes minimales. Dans lexemple prcdent, nous avons donc : P(EF) = P(C + A.B) = P(C) + P(A).P(B) - P(A).P(B).P(C) (thorme de POINCARRE) do P(EF) = P(C) + P(A).P(B) Les logiciels inform atiques dvelopps depuis une dizaine dannes permettent de dterminer automatiquement les probabilits tout au long de larbre. Lexamen des probabilits des vnements intermdiaires conduisant lvnement final permet de hirarchiser les priorits de modifications du systme en identifiant les causes les plus probables dun vnement indsirable ou final. La rduction de la probabilit de c et vnement final peut alors tre envisage de plusieurs manires : - En supprimant ou rduisant la probabilit doccurrence des vnements de base, - En amliorant la fiabilit du systme par lajout de portes ET entre lvnement final et les vnements de base. Les portes ET places au plus proche de lvnement final permettent de traiter un maximum de coupes minimales et le cas chant, de traiter certaines causes qui nauraient pas t envisages.

6. Limites et avantages
Le principal avantage de lanalyse par arbre des dfaillances est quelle permet de considrer des combinaisons dvnements pouvant conduire in fine un vnement redout. Cette possibilit permet une bonne adquation avec lanalyse daccidents passs qui montre que les accidents majeurs observs rsultent le plus souvent de la conjonction de plusieurs vnements qui seuls naura ient pu entraner de tels sinistres. Par ailleurs, en visant lestimation des probabilits doccurrence des vnements conduisant lvnement final, elle permet de disposer de critres pour dterminer les priorits pour la prvention daccidents potentiels. Lanalyse par arbre des dfaillances porte sur un vnement particulier et son application tout un systme peut savrer fastidieuse. En ce sens, i l est conseill de mettre en uvre au pralable des mthodes inductives danalyse des risques. Ces outils permettent dune part didentifier les vnements les plus graves qui pourront faire lobjet dune analyse par arbre des dfaillances et dautre part, de faciliter la dtermination des causes immdiates, ncessaires et suffisantes au niveau de llaboration de larbre. Depuis une dizaine dannes, des logiciels informatiques sont commercialiss afin de rendre plus aise lapplication de larbre des dfaillances. Ces outils se montrent trs utiles pour la recherche des coupes minimales, la dtermination des probabilits ainsi que pour la prsentation graphique des rsultats sous forme arborescente.

Larbre dvnement
1. Historique et domaine dapplication
Lanalyse par arbre dvnements a t dveloppe au dbut des annes 1970 pour lvaluation du risque li aux centrales nuclaires eau lgre. Particulirement utilise dans le domaine du nuclaire, son utilisation sest tendue dautres secteurs dactiv it. De par sa complexit proche de celle de lanalyse par arbre des dfaillances, cette mthode sapplique prfrentiellement sur des sous-systmes bien dtermins. Elle apporte une aide prcieuse pour traiter des systmes comportant de nombreux dispositifs de scurit et de leurs interactions. linstar de lanalyse par arbre des dfaillances dont elle sinspire, elle permet destimer les probabilits doccurrence de squences accidentelles. Cette mthode est particulirement utilise dans le domaine de lanalyse aprs accidents en vue dexpliquer les consquences observes rsultant dune dfaillance du systme.

2. Principe

Lanalyse par arbre des dfaillances, comme nous lavons vu prcdemment, vise dterminer, dans une dmarche dductive, les causes dun vnement indsirable ou redout retenu a priori. linverse, lanalyse par arbre dvnements suppose la dfaillance dun composant ou dune partie du systme et sattache dterminer les vnements qui en dcoulent. partir dun vnement initi ateur ou dune dfaillance dorigine, lanalyse par arbre dvnements permet donc destimer la drive du systme en envisageant de manire systmatique le fonctionnement ou la dfaillance des dispositifs de dtection, dalarme, de prvention, de protection ou din tervention... Ces dispositifs peuvent concerner aussi bien des moyens automatiques quhumains (intervention des oprateurs) ou organisationnels (application de procdures).

3. Droulement
La dmarche gnralement retenue pour raliser une analyse par arbre dvnement est la suivante : - dfinir lvnement initiateur considrer - identifier les fonctions de scurit prvues pour y faire face - construire larbre - dcrire et exploiter les squences dvnements identifies Les paragraphes suivants dcrivent ces diffrentes tapes en suivant un exemple inspir de louvrage Guidelines for Hazard Evaluation Procedures . a. Dfinition de lvnement initiateur Il sagit dune tape importante pour lanalyse par arbre dvnements. Etant donn quil sagit dune approche qui peut vite se rvler lourde mener, il est gnralement bon de slectionner un vnement initiateur qui peut effectivement conduire une situation critique. Ceci suppose donc de connatre, au moins de manire partielle, les principaux risques associs linstallation considre. Pour une analyse aprs accidents, ces risques sont de fait connus. Ce cas mis part, il est pertinent dlaborer un arbre dvnements suite une premire analyse qui a mis en lumire les accidents potentiels envisager. En ce sens, cette mthode apparat complmentaire de mthodes telles que lAPR par exemple. Lexemple trait en fil conducteur considre un racteur dans laquelle sopre une raction exothermique5. Le maintien en temprature du systme est assur par un systme de rfrigration (AICHE). Pour ce cas simple, il est ais didentifier le risque demballement de raction. Cet emballement pourrait notamment rsulter de la dfaillance du systme de refroidissement. 5 Produisant de la chaleur Cet vnement sera considr comme vnement initiateur pour la construction du n arbre dvnements. b. Identification des fonctions de scurit Les fonctions de scurit doivent tre assures par des barrires en rponse lvnement initiateur. Elles ont en gnral p our objectif dempcher, dans la mesure du possible, que lvnement initiateur soit lorigine dun accident majeur. Elles se dclinent le plus souvent en : - Fonctions de dtection de lvnement initiateur, - Fonctions dalarme signifiant loccurrence de lvnement initiateur, - Fonctions de limitation visant en empcher que lvnement initiateur ne perdure dans le temps, - Fonction dattnuation sattachant rduire les effets de lvnement initiateur.

Cette liste nest bien sr pas exhaustive. De plus, ces fonctions peuvent tre ralises par des dispositifs automatiques ou bien des actions effectues par des oprateurs conformment des procdures. Dans lexemple du racteur chimique, en rponse la dfaillance du systme de refroidissement, les fonctions de scurit suivantes ont t prvues :

- Dtecter la monte en temprature dans le racteur, - Alarmer un oprateur de la monte en temprature, - Rtablir le fonctionnement du systme de refroidissement, - Stopper la raction. Bien entendu, ces fonctions ninterviennent gnralement pas simultanment. Il est particulirement important de dterminer dans quel ordre elles vont intervenir suite lvnement initiateur et donc didentifier les seuils commandant leur mise en uvre. Ces informations permettent ainsi de donner des indications quant au temps ncessaire pour la mise en place de ces mesures de scurit. En conclusion de cette seconde tape, il est judicieux de dresser un tableau chronologique des fonctions de scurit faisant figurer entre autres les systmes ou quipements prvus pour assurer ces fonctions.

Tableau 1 : Exemple de tableau dfinissant les fonctions de scurit c. Construction de larbre

La construction de larbre consiste alors partir de lvnement indsirable envisager soit le bon fonctionnement soit la dfaillance de la premire fonction de scurit. Lvnement initiateur est reprsent schmatiquement par un trait horizontal. Le moment o doit survenir la premire fonction de scurit est reprsent par un nud. La branche suprieure correspond gnralement au succs de la fonction de scurit, la branche infrieure la dfaillance de cette fonction.

Figure 1 : Mthode de construction de larbre.

La suite de la mthode consiste alors examiner le dveloppement de chaque branche de manire itrative en considrant systmatiquement le fonctionnement ou la dfaillance de la fonction de scurit suivante. Cette dmarche temp orelle permet didentifier des squences dvnements susceptibles de conduire ou non un accident potentiel. Elle nest cependant gnralement pas suffisante en vue de construire un arbre. Il est ainsi indispensable durant la construction de larbre dobserver les points suivants : - Si une fonction dpend dautres fonctions, elle doit tre considre aprs ces fonctions, - Dans le mme ordre dide, si lchec dune fonction implique automatiquement lchec dautres fonctions, le succs de ces de rnires nest pas considrer. Ainsi, dans notre exemple, si la sonde de temprature est dfaillante, il ny a pas lieu dtudier le fonctionnement de lalarme ou le dclenchement automatique de linhibition de la raction, - Si le succs dune fonction agit sur le paramtre dclenchant dautres fonctions ultrieures, le succs ou la dfaillance de cette fonction ne doivent pas tre envisags dans le dveloppement de cette branche. Ainsi, si loprateur parvient rtablir le systme de refroidissement avant que la temprature dans le racteur ne dpasse T2, il ny a pas lieu de considrer linhibition automatique de la raction, - Si la dfaillance dun sous-systme entrane la dfaillance commune de plusieurs systmes assurant des fonctions de scurit, ce sous-systme doit tre considr avant ces systmes. Ce cas de figure envisage ainsi les modes communs de dfaillances. Elles se rapportent souvent des pertes dutilits (lectricit, air comprim...) ou des agressions externes majeures. Dans notre exemple, si lalimentation lectrique est commune tous les systmes considrs, il convient de considrer juste aprs lvnement initi ateur une fonction du type Maintien de lalimentation lectrique . Nous considrerons ici que tous ces systmes ont une alimentation distincte. De la mme faon, la dfaillance de la sonde de temprature dans le racteur est suppose entraner la dfaillance commune du systme dalarme et dinhibition de raction. Elle a donc t considre en premier lieu.

Le respect de ces rgles et llimination des branches physiquement impossibles conduisent llaboration dun arbre dvnements rduit, semblable celui prsent ci-dessous relativement au cas de figure pris en exemple.

Figure 2 : Exemple darbre dvnements rduit d. Exploitation de larbre La ralisation dun arbre dvnements permet en dfinitive de dterminer la probabilit doccurrence des diffrentes consqu ences partir des squences identifies. Cette dernire ne peut tre effectue qu partir dun arbre dvnements pralablement rduit. La rduction de larbre concourt entre autres liminer les chemins non physiquement possibles ainsi qu identifier les modes communs de dfaillances. Cette opration est ncessaire pour assurer lindpendance des vnements intermdiaires prsents. La probabilit doccurrence dune consquence suite une squence particulire peut alors tre estime, pour des vnements indpendants, c omme le produit de la probabilit doccurrence de lvnement initiateur et de la probabilit de dfaillance ou de fonctionnement selon le cheminement des vnements intermdiaires. La figure ci-dessous permet dexpliciter cette dtermination des probabilits pour un arbre dvnements rduit. Rappelons quun arbre des vnements ne doit pas tre considr comme un outil visant dterminer la probabilit dun vnement avec exactitude mais comme un outil pour caractriser lenchanement des actions et des vnements pouvant conduire ou non un accident.

Figure 3 : Exemple dexploitation dun arbre dvnements

4. Limites et avantages
Lanalyse par arbre dvnements est une mthode qui permet dexaminer, partir dun vnement initiateur, lenchanement des vnements pouvant conduire ou non un accident potentiel. Elle trouve ainsi une utilit toute particulire pour ltude de larchitecture des moyens de scurit (prvention, protection, intervention) existants ou pouvant tre envisags sur un site. A ce titre, elle peut tre utilise pour lanalyse daccidents a posteriori. Cette mthode peut savrer rapidement lourde mettre en uvre. En consquence, il faut dfinir avec discernement lvnement initiateur qui fera lobjet de cette analyse.

Nud de papillon
1. Historique et domaine dapplication
Le Nud Papillon est une approche de type arborescente largement utilise dans les pays europens comme les Pays-Bas qui possdent une approche probabiliste de la gestion des risques. Le Nud Papillon est utilis dans diffrents secteurs industri els par des entreprises comme SHELL qui a t lorigine du dveloppement de ce type doutils. Dans ce document, lINERIS prsente une version particulire du Nud Papillon quil a t amen adapter.

2. Principe
Le nud papillon est un outil qui combine un arbre de dfaillance et un arbres dvnements. Il peut tre reprsent sous la forme suivante.

Figure 1 : Reprsentation de scnarios daccident selon le modle du nud papillon

Tableau 1 : Lgende des vnements figurant sur le modle du nud papillon Le point central du Nud Papillon, appel ici Evnement Redout Central, dsigne gnralement une perte de confinement ou une perte dintgrit physique (dcomposition). La partie gauche du Nud Papillon sapparente alors un arbre des dfaillances sattachant identifier les causes de cette perte de confinement. La partie droite du Nud Papillon sattache quant elle dterminer les consquences de cet vnement redout central tout comme le ferait un arbre dvnements. Sur ce schma, les barrires de scurit

sont reprsentes sous la forme de barres verticales pour symboliser le fait quelles sopposent au dveloppement dun scnar io daccident. De fait, dans cette reprsentation, chaque chemin conduisant dune dfaillance dorigine ( vnements indsirable ou courant ) jusqu lapparition de dommages au niveau des cibles (effets majeurs ) dsigne un scnario daccident particulier pour un mme vnement redout central. Cet outil permet dapporter une dmonstration renforce de la bonne matrise des risques en prsentant clairement laction de barrires de scurit sur le droulement dun accident.

3. Droulement
Le Nud Papillon sinspirant directement des arbres des dfaillances et dvnements, il doit tre labor avec les mmes prcautions. Sagissant dun outil relativement lourd mettre en place, son utilisation est gnralement rserve des vnements jugs particulirement critiques pour lesquels un niveau lev de dmonstration de la matrise des risques est indispensable. En rgle gnrale, un Nud Papillon est construit la suite dune premire analyse des risques mene laide doutils plus simples comme lAPR par exemple.

4. Limites et avantages
Le Nud Papillon offre une visualisation concrte des scnarios daccidents qui pourraient survenir en partant des causes initiales de laccident jusquaux consquences au niveau des cibles identifies. De ce fait, cet outil met clairement en valeur laction d es barrires de scurit sopposant ces scnarios daccidents et permet dapporter une dmonstration renforce de la matrise des risques. En revanche, il sagit dun outil dont la mise en uvre peut tre particulirement coteuse en temps. Son utilisation doit donc tre dcide pour des cas justifiant effectivement un tel niveau de dtail.