Manuscrit auteur, publi dans "Sixth International Conference on Sciences and Techniques of Automatic Control, STA'2005,

Sousse : Tunisia (2005)"

Mthode et Formalisme de base pour lAnalyse Prliminaire des Risques

dans le Transport Ferroviaire
Mohamed Habib MAZOUNI

hal-00160738, version 1 - 9 Jul 2007

Habib Hadj-Mabrouk
INRETS
2, Avenue du Gnral Malleret-Joinville
F-94114 Arcueil Cedex FRANCE
Tel : (33) 1 47 40 72 13
Fax: (33) 1 45 47 56 06

mazouni@inrets.fr

Rsum :
Les approches des spcialistes vis--vis de lanalyse prliminaire des risques (APR) sont trs diverses,
les choix de reprsentations varis et les terminologies imprcises ou mme parfois contradictoires. En effet, la
terminologie et les concepts lis aux APR sont trs fluctuants d'
un systme de transport un autre ou dun
constructeur un autre.
Les normes et les standards de gestion des risques se veulent gnriques, de ce fait les constructeurs
laborent chacun son manuel de matrise des risques dans lequel sont documentes des mthodes adquates,
ceci avec un vocabulaire et un formalisme et un savoir-faire qui lui sont propres.
Ces divergences contextuelles furent et sont toujours lobjet de travaux de recherche afin de raliser un
objectif qui jusqu lors satteint doucement mais srement, cest de converger vers une relle standardisation
dun formalisme et dun processus danalyse et dappuyer ensuite les experts par des outils daide llaboration
et lvaluation des dossiers dAPR.
Lobjet de cet article est de proposer un formalisme de reprsentation de connaissance ncessaire pour
llaboration dune approche danalyse des risques. Le formalisme retenu et la mthode danalyse propose
devraient amorcer le dveloppement dun systme base de connaissance daide lAPR.

Mots Cls : Analyse Prliminaire des Risques (APR), Accident Potentiel, Niveau de Risque, Transport,
Formalisation, Induction, Dduction, Rtroaction.

hal-00160738, version 1 - 9 Jul 2007

I. LAnalyse Prliminaire des Risques

II. Formalisme de base

Le Dossier de Scurit (DS) dun systme

de transport ferroviaire est une pice exige par
la rglementation franaise [Cf. dcret n2000286 du 30 mars 2000 relatif la scurit du
rseau ferr national et son arrt dapplication
du 08 janvier 2002]. Il contient une
dmonstration de laptitude du systme tre
exploit et maintenu avec le niveau de scurit
requis, autrement dit, une attestation de la
couverture des risques identifis dans lAPR
[MAZOUNI, 05].
Il convient donc que lanalyse prliminaire
des risques (APR) identifie les accidents
potentiels lis au systme et ses interfaces
afin dvaluer leurs probabilit doccurrence et
gravit des dommages et enfin de proposer les
solutions permettant de matriser les risques.

Compte tenu la divergence dans lemploi

des termes et leur interprtation, il serait plus
sage darrter au pralable de toute tude un
formalisme prcis. La figure Fig. 2 propose
un extrait du modle syntaxique retenu :

La pratique de lAPR relve essentiellement

du savoir-faire des experts. Ces derniers ont
pour mission prvoir travers cet exercice la
totalit des vnements indsirables, envisager
les solutions adquates qui seraient intgres
dans la conception du systme inhrent. Le
systme et son dossier dAPR ont la mme
dure de vie [Cf. rglementation franaise,
article 17 du dcret n 2003-425 du 9 mai 2003
relatif la scurit des transports publics
guid . En effet, la conception est revue
chaque fois que la correction dune dfaillance
renvoi invitablement la modification de la
larchitecture du systme. Dans le cas chant,
le dossier dAPR est rouvert afin de rvaluer
limpact des changements quont affect le
systme sur la scurit globale.
Les rsultats de lAPR permettent de dfinir
pour le systme global les exigences et critres
de scurit considrer lors des phases de
conception et de ralisation des quipements
matriels et logiciels et enfin d'
tablir les lignes
directrices
de
lAnalyses
de
Scurit
Fonctionnelle Fig. 1 .

Accident

Acceptable

OU

niveau de
gravit

Dommage

Accident
potentiel

Scurit

Danger

Msures de
Protection

Niveau
de risque

ET

non acceptable
Msures de
Prvention

niveau de
probabilit

Incident

!
$

" "
%
&'(

!
!

Les paragraphes suivants dtaillent les

concepts de base dAPR reprsents dans la
figure (Fig.2).
II.1 Accident Potentiel
Deux concepts de base sont facilement
identifiables : l Accident potentiel qui est
une supposition prmature et le niveau de
risque qui est une qualification des
consquences abouties.
Le lien reliant le danger laccident
potentiel (accident ou incident) schmatise le
passage par une situation dangereuse. Seule
loccurrence dun vnement dommageable
attribue une identit accidentelle lAccident
Potentiel, sinon
lAccident potentiel est
simplement un Incident.
II.2 Dommage

Analyse de
la Scurit
des Logiciels

Analyse de
la Scurit
des Matriels

La notion de dommage est relativement

dfinie de la mme faon dans la norme ISO
14971 (2000) et la norme gnrique CEI 300-39 (1995). La dfinition gnrique du ISO/CEI
Guide 51 (1999) est utilise dans le domaine
mdical o le dommage est dfini comme :
blessure physique ou une atteinte la sant
des personnes ou dgt caus aux biens ou
lenvironnement.

II.3 Gravit

hal-00160738, version 1 - 9 Jul 2007

La nuisance des dommages provoqus par

un Accident est value par un niveau de
gravit.
Pour les systmes de transport, la notion de
gravit est identique de nombreux autres
domaines technologiques. Voici un exemple :
Mineur : peut ventuellement conduire
un ou plusieurs blesss lgers et/ou
des dommages limits au niveau des
trains ou des installations.
Significatif :
peut
ventuellement
conduire un bless grave et/ou des
dgts importants au(x) train(s) et/ou
aux installations.
Critique : peut
ventuellement
conduire un mort et/ou plusieurs
blesss graves.
Catastrophique : peut ventuellement
conduire plusieurs morts et des
blesss graves.
Notons que mme si le choix des termes
qualifiants les niveaux de gravit se fait sans
rgles de base, la correspondance qualitative
quantitative rsout les divergences possibles.
Certains industriels ou exploitants tel que
lRATP prfrent tout simplement numroter les
diffrents niveaux de gravit (niveau 0, niveau
1, niveau 2, niveau 3) afin dviter de
mauvaises
interprtations
des
termes
qualificatifs en cas daudit ou demande davis
dexperts.
Dans le domaine de la mdecine, la gravit
concerne seulement limpact sur lhumain [ISO
14971, 00] :
Catastrophique : dcs dune ou
plusieurs personnes
Majeur : blessures ou maladies graves,
infirmit permanente
Mineur : blessures ou maladies
mineures ncessitant un traitement
mdical
Minime : lgres blessures relevant
des premiers soins (ne ncessitant pas
un traitement mdical)
Ngligeable : incident nexigeant
aucun traitement mdical
Notons quil est toujours prfrable de
dfinir un nombre pair de mtriques par soucis
dviter la tendance naturelle de retenir la
position mdiane dune classification impaire.
II.4 Probabilit dOccurrence
Laccident ou lincident se caractrise aussi
par sa probabilit doccurrence, autrement dit,
la frquence de sa survenue. Les probabilits

sont regroupes dans des plages prdfinies

en appliquant une correspondance quantitative/
qualitative. Toutefois, le terme probabilit est
gnralement conserv. La norme ISO 14971
(2000) voque le fait quune bonne
description qualitative est prfrable une
inexactitude quantitative. Ceci provient en
particulier de la difficult destimer ces
probabilits (retour dexprience, techniques
danalyse ou de simulations, avis dexperts,
etc.).
La liste suivante prsente - titre indicatifun exemple de niveaux de probabilit
doccurrence utilisables pour une estimation
qualitative :
Frquente (>1)
-2
Probable (1 10 )
-2
-4
Occasionnelle (10 10 )
-4
Improbable (<10 )
Dans cette classification, la qualification
Frquente
indique
une
frquence
doccurrence de laccident potentiel plusieurs
fois par an et Improbable correspond une
occurrence tous les 10000 ans.
Cette mtrique donne une ide sur ce quest
une frquence doccurrence. Dans les
systmes de transport, cette estimation dpend
significativement du trafic (trajets ou nombre de
kilomtres parcourus dans le ferroviaire et le
routier, miles ou nombre de vols dans
larien.).
Lestimation des probabilits doccurrence
est lune des tches cruciales du processus
dAPR [MAZOUNI, 2005]. Les travaux de
recherche raliss dans cette optique ont
souvent mis en vidence cette phase sans pour
autant proposer de solutions satisfaisantes.
Dans les domaines de technologies de pointe
tel que le nuclaire on a dvelopp des
mthodes pertinentes, mais qui ne sont ni
gnriques ni adaptables aux autres domaines,
en loccurrence le domaine des transports.
II.5 Niveau de Risque et Scurit
Les niveaux de gravit ou de probabilit
doccurrence sont croiss dans une matrice de
criticit. Cette matrice permet de spcifier les
zones risque o la scurit est plus au moins
menace.
Le niveau de risque est la rsultante du
niveau de gravit et celui de probabilit
doccurrence. En s'
inspirant de la classification
graphique des niveaux d'
alerte du plan
Vigipirate franais (4 niveaux d'
alerte: carlate,
rouge, orange, jaune) mais en rajoutant un
cinquime niveau "zone blanche" pour

reprsenter le risque ngligeable, on a obtenu

la reprsentation suivante :

En observant cette matrice de criticit, on arrive

distinguer 5 zones risque :
Zone carlate : niveau de risque trs lev.
Zone rouge : niveau de risque lev.
Zone orange : niveau de risque important.
Zone jaune : niveau de risque considrable.
Zone blanche: niveau de risque ngligeable.

hal-00160738, version 1 - 9 Jul 2007

II.6 Mesures de protection et de prvention

Des mesures de protection ou de
prvention sont obligatoirement mises en
uvre afin de rduire le niveau de risque un
niveau acceptable.
Initialement, le risque appartient lune des 5
zones en question. La matrise du risque a pour
vocation de faire dplacer cette appartenance
vers la zone la plus claire possible, autrement
dit, horizontalement droite en rduisant la
gravit
des
dommages
encourus
ou
verticalement vers le bas en rduisant les
possibilits doccurrence daccident.

Il convient de rappeler que lAPR a toujours

t considre comme une dmarche
inductive. Rares sont les travaux de recherche
qui font allusion une dmarche purement
dductive ou mixte inductive/dductive.
C'
est trs important de savoir quune
dmarche
inductive/dductive
nest
pas
forcment rtroactive. La rtroaction est une
particularit qui permet de filtrer des rsultats
cohrents parmi un ensemble initial dlments
brutes, autrement dit, les nouveaux lments
(rsultats) identifis par les mcanismes
dinfrence seraient leur tour rintroduits et
donc exploits (donnes). Cependant, une
dmarche
inductive/dductive
permet
datteindre une bonne traabilit et une
meilleure compltude en matire de rsultats
Compltude, traabilit et cohrence des
rsultats !
Ne
sont-elles
pas
des
caractristiques dune analyse des risques
convenable? Est-il donc possible de conjuguer
le principe de rtroaction et les dmarches dites
inductive, dductive?
La figure suivante (Fig. 3) propose une
rgnration de la mthode originale dAPR
.
propose par Habib Hadj-Mabrouk

liste prliminaire des

accidents potentiels

Analyse de la liste des

accidents potentiels

Il
est
ncessaire
didentifier
les
phnomnes dangereux qui engendrent un
risque dans le systme ainsi que les formes
quils pourraient prendre. Il faut donc noncer
clairement les lments dangereux constats et
principalement ceux qui sont lorigine des
accidents vcus auparavant selon les procds
du retour dexprience [LgiFrance, 00,03].
Les donnes exploites par lAPR sont de
natures diverses : symboliques, descriptives,
numriques, etc. Elles peuvent tre inexactes,
ambigus,
incompltes
et
parfois
contradictoires tant donn que lAPR
seffectue tt une phase prmature du cycle
de dveloppement dun systme, plus
prcisment entre la phase de spcification et
celle de conception. En effet, il convient que la
phase de recueil de donnes soit faite en se
basant sur un formalisme solide. Evidemment,
ceci rend plus accessible les phases de
capitalisation et dexploitation.

(A1)

(A2)

III. Mthode dAnalyse des risques

liste prliminaire
des dangers

liste dfinitive des

accidents potentiels

(R1)

Analyse de la liste des

dangers

dommages engendrs
par accident potentiel

liste dfinitive
des dangers

(A3)

(A4)
(R2)

liste prliminaire des

lments dangereux

Analyse de la liste des

lment dangereux

liste dfinitive des

lments dangereux

(A5)

()$*!

+, $

+ $!

"
Cette dmarche inclut tout la fois des phases
de raisonnement dductives (A2, A4) et
inductives (A1, A3, A5) ainsi que deux boucles
de rtroaction (R1, R2) :

Les actions:
A1: phase inductive partir des accidents
potentiels pour identifier les ventuels
dommages.
A2: phase dductive partir des accidents
potentiels pour identifis les dangers.
A3: phase inductive partir des dangers pour
identifier les accidents potentiels.
A4: phase dductive partir des dangers pour
identifier
les
lments
dangereux
correspondants.
A5: phase inductive partir des lments
dangereux pour identifier les dangers qui
peuvent surgir.

hal-00160738, version 1 - 9 Jul 2007

Les rtroactions:
R1: rtroaction en cas d'
identification de
nouveaux accidents potentiels l'
issue de la
phase A3.
R2: rtroaction en cas d'
identification de
nouveaux dangers l'
issu de la phase A5.
Ordonnancement du processus d'analyse:
L'
analyse de la liste des accidents
potentiels exploite une liste prlabore
daccidents potentiels pour en conclure les
dommages possibles (A1), on rcupre en
mme temps lissue de cette phase une liste
de dangers (A2), cette dernire est ajoute
une liste de dangers prliminaire, la liste
obtenue est introduite pour une nouvelle phase
qui retourne comme rsultat la liste des
accidents potentiels (A3) et aussi la liste des
lments dangereux correspondants (A4) qui
seront examins pour identifier les dangers
inhrents (A5).
Les nouveaux accidents potentiels et les
nouveaux dangers identifis respectivement
lors des phases (A3), (A5) seraient examins
lors du prochain cycle de traitement
(respectivement (R1) et (R2)).
En rsum, un cycle de traitement contient
3 phases d'
analyse:
1. Analyse partir des accidents potentiels,
2. Analyse partir des dangers,
3. Analyse partir des lments dangereux.
Lintroduction des rtroactions dans la
dmarche favorise la compltude de lAPR en
permettant de dresser une nouvelle fois et de
manire diffrente la liste des accidents
potentiels et des dangers et de les enrichir au
fur et mesure.
Larrt de lanalyse est conditionn par
latteinte dun point fixe. Un point fixe renvoie

l'
atteinte d'
une configuration stationnaire, cest-dire qu'
un cycle donn, aucun nouvel
lment n'
est identifi par les mcanismes
d'
induction ou dduction.
Soit ANALYSE1, ANALYSE2, ANALYSE3
les fonctions reprsentant les 3 phases
d'
analyse partir des accidents potentiels, des
dangers et des lments dangereux. Soit X1,
X2, X3 : 3 variables reprsentant respectivement
les sous ensemble d'
accidents potentiels, de
dangers et d'
lments dangereux :
Arrt de l'
analyse si et seulement si on
obtient la configuration suivante :
ANALYSE1.A2(X1) = X2
ANALYSE2.A4 (X2) = X3
ANALYSE2.A3(X2) = X1
ANALYSE3.A5(X3) = X2
Lexploitation de trois segments sources de
donnes (liste des accidents potentiels, liste
des dangers, liste des lments dangereux) au
mme temps en lecture (donnes en entre) et
en criture (rsultats) fait appel des
techniques de linformatique distribue et
notamment d'
exclusion mutuelle. En outre,
l'
ordonnancement des diffrentes phases d'
un
cycle de traitement dpend de plusieurs
facteurs telle que la qualit des donnes en
entre. Les 3 phases d'
analyse sont ordonnes
circulairement, on peut donc commencer par
n'
importe laquelle.

Conclusion
Dans ce papier nous avons prsent dans
un premier temps une bauche du formalisme
de base quon a dfinit pour une Analyse
Prliminaire des Risques applique dans le
domaine des transport. Ensuite, nous avons
expos une mthode dAPR de type
inductive/dductive rtroactive regroupant la
fois 3 actions inductives, 2 actions dductives
et 2 rtroactions.
Nos travaux se poursuivent actuellement
sur la conception et llaboration dune base de
connaissance
dAPR
et
notamment
lexploitation de ces connaissances par un outil
dcisionnel daide lvaluation et llaboration
de cette analyse.

Bibliographie
[CEI, 95]

Gestion de la sret de
fonctionnement , CEI 300-39, premire dition, 1995.

hal-00160738, version 1 - 9 Jul 2007

[CENELEC, 94]

Principes directeurs pour

inclure dans les normes les
aspects lis la scurit ,
CENELEC, Mmorandum n9,
Edition n1, 1994.

[CENELEC, 05]

scurit
fonctionnelle
systmes instruments de
scurit pour le secteur des
industries de transformation ,
NF EN 61511, mars 2005.

[HADJ, 95]

HADJ-MABROUK H., La
matrise des risques dans le
domaine des automatismes
des systmes de transport
guids, RTS, n49, pp 101112, France, Dcembre 1995.

[HADJ, 97]

HADJ-MABROUK H., Projet

SAPRISTI : proposition dune
mthode et dune maquette
daide llaboration et la
capitalisation des analyses
prliminaires de risques, 1997.

[HADJ, 99]

HADJ-MABROUK H., Projet

SAPRISTI
:
l'
analyse
prliminaire de risques des
systmes
de
transports
guids. Principaux travaux
raliss de 1994 1998. ,
Rapport d'
tape n ESTAS/A99-16, Arcueil, septembre
1999. (diffusion restreinte).

[HADJ, 03]

HADJ-MABROUK
H.,
Concepts de base pour la
scurit
des
transports
ferroviaires, Rapport, Janvier
2003 (Diffusion restreinte).

[ISO 14971, 00]

Application de la gestion des

risques
aux
dispositifs
mdicaux,
ISO
14971,
premire dition , 2000.

[ISO/CEI, 99]

Aspects lis la scurit

principes directeurs pour les
inclure dans les normes ,
Guide ISO/CEI 51, 1999.

[MAZOUNI, 05]

MAZOUNI
M-H.,
HADJMABROUK H., Lanalyse
des risques daccidents dans
les transports ferroviaires
40e Congrs annuel de
lAQTR
(Association
Qubcoise du Transports et
des Routes), Qubec-Laval,
Avril 2005.

[LgiFrance, 00]

Dcret n2000-286 du 30
mars 2000 relatif la scurit
du rseau ferr national et son
arrt dapplication du 08
janvier 2002

[LgiFrance, 03]

Article 17 du dcret n 2003425 du 9 mai 2003 relatif la

scurit des transports publics
guids

[VigiPirate, 78]

VigiPirate : Dispositif de
scurit franais destin
prvenir les menaces ou
ragir face aux actions
terroristes
Site Officiel du Ministre de
lintrieur :
http://www.interieur.gouv.fr