Académique Documents
Professionnel Documents
Culture Documents
Techniques de lIngnieur
lexpertise technique et scientifique de rfrence
se4010
Analyse prliminaire de risques
Par :
Yves MORTUREUX
Vice-Prsident de l'Institut de Sret de fonctionnement, Ingnieur civil des Ponts et Chausses, Expert Sret
de fonctionnement la direction Dlgue Systme d'exploitation et scurit la SNCF
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite. Editions T.I.
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 1
1. Objectifs de la dmarche APR divers sous-projets susciteront des dmarches APR partielles dont
les dmarrages peuvent tre postrieurs non seulement celui de
lAPR globale mais mme des analyses dtailles entreprises
dans dautres sous-projets plus avancs du mme projet.
La dmarche APR peut prendre des formes extrmement
diverses. Nanmoins, sous des apparences varies, on retrouve
systmatiquement trois phases qui sont aussi trois objectifs :
identification des dangers, des vnements redouts 1.1 Identification des vnements redouts
prendre en compte ( 1.1) ;
valuation et classement des risques associs ; Cette premire phase de la dmarche APR consiste identifier
propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici lexhaustivit est un objectif essentiel. La valeur dune dmar-
che APR dpend directement de la confiance que lon peut placer
Globalement, on peut dire que lobjectif gnral dune dmarche dans le fait de navoir oubli aucun scnario daccident. Par
APR est dvaluer les problmes rsoudre en matire de matrise contre, ce stade, il est normal de ne pas pouvoir tre trs prcis
des risques. Une APR doit permettre : sur ces scnarios et de ne pas pouvoir distinguer des scnarios
de se rendre compte si le projet pourrait devoir tre aban- vraisemblables, dautres, thoriquement possibles, mais qui se
donn parce que certains risques inacceptables se rvleraient rvleront ensuite invraisemblables.
irrductibles ; En effet, le but est didentifier les vnements redouts pren-
de dimensionner a priori les efforts dtudes et de rduction dre en considration. Toutes les informations disponibles (connais-
de risques ; sance a priori dvnements redouts mais aussi modes de
de localiser les domaines du systme qui demanderont le plus dfaillance des composants du systme, potentiel dnergie des
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
defforts et donc, les comptences requises en matire de matrise composants du systme, etc.) doivent tre exploites. partir de
des risques. ces informations on se pose la question des scnarios qui peuvent
Inversement la dmarche APR permet danticiper sur la nature se dvelopper partir des phnomnes voqus et on recense
des faiblesses en sret de fonctionnement et les limites des per- donc les vnements (redouts) sur lesquels ces scnarios pour-
formances sret de fonctionnement quil est raisonnable de vou- raient dboucher.
loir atteindre. Rappel : le risque est un triplet (vnement redout, frquence, gravit). Identifier, recen-
ser des risques, cest donc identifier des vnements redouts ; valuer les risques consiste
En poursuivant lobjectif essentiel de reprer les difficults et les leur associer frquence et gravit (ou criticit) (cf. [AG 4670]). On peut connatre a priori
efforts les plus importants de rduction de risque et de dmons- les vnements redouts envisager mais il est aussi courant que lon connaisse mieux les
sources de danger et que lon doive en dduire les scnarios puis les accidents craindre.
tration de la sret de fonctionnement, une dmarche APR bien
mene contribue de faon dcisive la matrise des risques Cette recherche sappuie naturellement avant tout sur les spci-
projet , cest--dire la matrise des cots, des dlais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec latteinte des objectifs de performance du produit ou pas encore choisies. La dmarche peut tre mene de faon
du service. En particulier, la dmarche APR doit permettre trs tt systmatique sur les fonctions du systme. Nanmoins, en matire
de construire une vision commune et un accord entre les parties de scurit, il faut prendre en compte les dangers crs par les
concernes par le projet sur les mesures prendre pour assurer la techniques choisies indpendamment des exigences fonctionnel-
sret de fonctionnement requise et les rles de chacun dans ces les (notamment en chimie) dans le cadre de la mthode HAZOP).
efforts. Pour raliser une mme fonction, une solution lectrique amne se
Si la dmarche APR est unique par son esprit, chacun la conduit poser la question du risque dlectrocution, une solution pneumatique
son niveau en fonction des risques qui le concernent. Si une celle du risque dexplosion par surpression, tout cela indpendamment
dmarche APR globale peut dmarrer ds les origines dun projet, des risques lis lchec total ou partiel de la fonction.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 2 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
Aussi cette recherche des vnements redouts ne sera-t-elle Les actions peuvent tre des actions de prvention, de protection
complte quen prenant en compte les choix de ralisation, de (voire dlimination ou de transfert).
maintenance, dexploitation... Pratiquement cette recherche des
Une action de prvention est une action de rduction de la fr-
vnements redouts doit intgrer les hypothses de choix envisa-
geables au moment de la recherche et la dmarche APR doit tre quence de lvnement redout.
rvise au fur et mesure que les choix se prcisent. Exemple : ajouter lABS peut rduire ( conduite gale) le risque
La dfinition du systme tudi dterminera totalement la ma- daccident suite blocage des roues au freinage.
trise des risques qui en rsultera. Elle doit tre mrement rflchie,
comprise, interprte de la mme faon par les diffrents acteurs Une action de protection est une action de rduction de la
du projet. gravit (des consquences) de lvnement redout.
Exemple : le coussin gonflable air-bag rduit les consquences
dun choc frontal sur les occupants.
La dfinition du systme porte sur :
les lments constitutifs du systme (techniques, humains Une action dlimination est une action qui supprime la pos-
et organisationnels) et leurs interactions ; sibilit de lvnement redout.
les conditions entourant le systme dans les diffrentes
phases de son cycle de vie (environnement, agressions...) ; Exemple : remplacer des pneumatiques par des roues pleines ou
les conditions de son utilisation, de son exploitation, de sa autres limine le risque de crevaison.
maintenance, voire de son retrait du service...
Une action de transfert consiste prendre une assurance
contre le risque concern.
Parmi les conditions dans lesquelles le systme devra tenir ses
performances (et, en particulier, maintenir la scurit), il est impor- Exemple : assurer sa responsabilit civile en cas daccident ne
tant de prciser, pour les systmes exposs au public, les agres- rduit pas ce risque, mais lisse le cot et rachte le risque dinsolvabi-
sions qui doivent tre prises en considration : utilisations lit.
incorrectes ou illicites par les clients, sollicitations incorrectes par Le choix entre prvention et protection est avant tout un choix
des tiers, agressions, sabotages, attentats. Lesquelles doivent tre defficacit. Les mesures qui rduisent le plus le risque au meilleur
prises en compte et quelle rsistance le systme doit-il offrir ces prix sont toujours les meilleures.
agressions ? En pralable toute tude, la politique et les exigen-
ces des pouvoirs publics doivent apporter des rponses ces En gnral, dans les industries risques (chimie, nuclaire,
questions qui dterminent le primtre de ltude. transport...) la prvention joue un rle prpondrant et la protec-
tion plutt un rle complmentaire.
Les trois aspects de cette dfinition sont importants, en particu-
lier, pour dterminer les modes dgrads (pas seulement ceux dus Les industriels, les exploitants tentent dobtenir par la seule pr-
aux dysfonctionnements du systme mais aussi ceux crs par des vention un niveau de scurit suffisant. Des mesures de protection
conditions extrieures particulires, dfavorables ou agressives ou complmentaires permettent de rduire encore le niveau de risque.
par des utilisations, exploitations ou maintenances inattendues, fau- Les services de secours, eux, ont pour fonction, partant du prin-
tives...) qui doivent tre pris en compte dans la matrise des risques. cipe quun accident peut toujours arriver, dassurer de la protection
(au sens global) et misent entirement sur les moyens de rduire
les consquences dun accident.
1.2 valuation des risques Il est dautant plus important pour les industriels ou exploitants
de miser sur la prvention que les systmes de scurit impliqus
Il sagit dabord dassocier chacun des vnements recenss dans la prvention sont luvre en permanence et que le mana-
ltape prcdente ( 1.1) une gravit et une frquence. gement de la scurit peut surveiller et redresser en continu ces
systmes alors que les systmes impliqus dans la protection sont,
Il sagit ensuite de confronter ces valuations aux objectifs
en grande partie des systmes dormant quil faut tester (ce qui
dcoulant de la politique de scurit pour classer les risques en
nest jamais tout fait quivalent une situation relle) pour
fonction du besoin de rduction (acceptable en ltat, rduire
sassurer du maintien de leurs capacits.
dans une certaine proportion, inacceptable liminer).
La notion de frquence est prendre ici dans un sens large. chaque niveau la dmarche APR doit permettre de reprer les
ce stade, il serait souvent illusoire et inutile de vouloir tablir une mesures quil faudra prendre pour tenir les exigences de sret de
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
fonction de probabilit de la survenue de chaque vnement fonctionnement. Elle permet donc aussi de reprer les exigences
(celle-ci ntant dailleurs pas si souvent de nature alatoire). Il pour lesquelles on ne peut trouver de mesure raisonnable dans son
sagit plutt de juger si la faible vraisemblance ou la quasi-impos- primtre. Lacteur qui se trouve dans cette situation doit signaler la
sibilit de sa survenue, en regard de sa gravit, permet de difficult et indiquer quelles modifications dpendant dautres
considrer un risque comme assurment acceptable ou suppose acteurs lui permettraient de prendre des mesures efficaces pour
de conduire des tudes plus approfondies (dans lesquelles les atteindre ses objectifs. La dmarche APR permet de soulever ce type
choix de solution joueront un rle) pour limiter les choix de faon de problme au plus tt, quand les remises en cause qui peuvent en
garantir lacceptabilit du risque. ventuellement il peut sagir de rsulter sont encore minimales.
pointer une difficult susceptible de mettre le projet en pril du fait
dun risque que lon ne peut tre certain de rduire un niveau
acceptable. La dmarche APR aura alors servi dclencher des
recherches pour trouver des solutions sur ce point avant dengager
un projet qui pourrait ne pas aboutir.
2. Usages de la dmarche APR
Les fonctions fondamentales dcrites ci-avant ( 1) justifient
1.3 Proposition de couverture des risques dentreprendre des dmarches APR quand un projet a tout ou par-
tie des caractristiques suivantes :
Pour les risques ncessitant une action, il sagit de dterminer la projet concernant plusieurs acteurs ;
ou les actions sur lesquelles on mise pour atteindre les objectifs et exigences de scurit ;
de prciser, pour chacune de ces actions, lobjectif propre quelle systme complexe ;
doit atteindre. influence forte de lenvironnement.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 3
Toutefois, la dmarche APR tant initie, elle est trs utile pour ventuellement des organismes de contrle qui interviendront
supporter la coordination et le besoin de cohrence des actions de aprs la mise en service tout au long de la vie du systme pour
matrise des risques du projet. garantir certaines conformits ;
les sous-traitants des uns et des autres.
Nota : en matire dinstallations classes par exemple, le rle de ces acteurs peut tre
La dmarche APR consiste : diffrent. Le lecteur se reportera donc aux articles traitant des applications aux diffrents
dfinir les besoins en tudes de risques ; secteurs industriels.
construire un consensus sur la dmonstration de scurit ; Nous nous placerons dans le cas de figure le plus intressant o
rpartir les tches et les responsabilits ; les risques et les exigences de scurit sont assez levs pour quil
prparer la structure de la documentation. ne sagisse pas simplement pour le promoteur de matriser les
risques dont il a la responsabilit mais quil faille convaincre une
Dfinir les besoins en tudes de risque autorit de leur matrise pour recevoir les autorisations ncessaires
pour la mise en service puis lexploitation (cest le cas des activits
Dans la dmarche APR, on rpertorie, entre autres, les vne- dites risque qui sont celles qui utilisent le plus la dmarche
ments redouts tudier (des dfaillances dont les consquences APR).
pourraient tre inacceptables, des accidents qui pourraient surve-
nir...), les niveaux de risque acceptables lis ces vnements. On Selon les organisations, les noms donns aux diffrentes fonc-
identifie gnralement la nature des mesures prendre pour ma- tions et la rpartition de certaines responsabilits varient. Ce nest
triser ces risques. pas le sujet que de rappeler les structures et les vocabulaires du
management et de la gestion de projet, aussi nous attacherons
Il en dcoule lattribution de ces tudes aux acteurs pertinents et nous identifier les fonctions accomplir et invitons nous le lec-
la dfinition des rsultats attendus. teur identifier dans son domaine dactivit les noms des entits
Construire un consensus sur la dmonstration de scurit en charge des fonctions voques.
La dmarche APR permet de construire un consensus sur le fait Le matre douvrage assume la responsabilit globale du sys-
que si toutes les tudes et mesures dtermines dans cette dmar- tme. Il doit donc organiser les activits de matrise des risques de
che atteignent chacune leur objectif, alors le systme global tien- faon satisfaire les besoins en ce domaine de chacun des
dra ses objectifs de sret de fonctionnement. acteurs : il laborera donc un programme de scurit (la mthode
peut tre applique au-del des risques Scurit ; nanmoins
Elle produit le canevas de construction de la compltude, de la
cest habituellement dans ce domaine que la dmarche est appli-
cohrence et de la traabilit de la prise en compte des risques.
que) qui doit convaincre chacun que sa mise en uvre lui don-
La dmarche APR ayant tabli la liste des mesures prendre nera les assurances dont il a besoin compte tenu de ses
pour atteindre un niveau de risques acceptable, constitue donc une responsabilits et de sa politique en matire de scurit.
rfrence pour la validation du systme.
Ce programme se traduit pour chacun des acteurs dune part par
Rpartir les tches et les responsabilits les assurances quil va recevoir et, dautre part, celles quil va
La dmarche APR permet de rpartir des tches de rduction de devoir donner. Chacun devra donc se prononcer sur la satisfaction
risques et dtude de sret de fonctionnement et de faire vivre que lui apporte les assurances quil reoit et sa capacit donner
cette rpartition en cas de difficults. Elle construit des allocations les assurances qui lui sont demandes. La dmarche APR joue un
de fiabilit et de maintenabilit. Elle est le support de la transmis- rle essentiel dans ce processus.
sion formelle des responsabilits entre les acteurs du systme.
Prparer la structure de la documentation
3.2 Autorit
La dmarche APR sert de rfrence pour ltablissement de la
documentation du systme.
Lautorit des pouvoirs publics en matire de scurit des biens,
des personnes et de lenvironnement est dvolue divers services
de ltat ou des collectivits locales. Les services concerns (ser-
vices spcialiss des ministres, prfectures, Directions dparte-
3. Divers acteurs mentales, administration judiciaire, services dhygine, services de
secours, etc.) directement ou en vertu de dlgations peuvent tre
et leurs relations lAPR nombreux et dpendent du projet (type dindustrie, nature des
risques, implantation...).
Le besoin de lautorit est davoir les assurances ncessaires
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 4 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
Lautorit ne ralise pas de dmarche APR. Par contre elle value expertises lgales, techniques, socio-organisationnelles... ;
dans un premier temps un dossier prliminaire de scurit qui degr dinnovation du projet (soit au niveau de composants
indique quels sont les risques identifis et la faon dont on se pro- nouveaux, soit au niveau dassemblages originaux de composants
pose de dmontrer quils sont suffisamment (au sens des exigen- connus, soit les deux) ;
ces de lautorit) matriss. contexte mdiatique, sensibilit de lenvironnement selon les
La dmarche APR qui peut prendre des formes diverses est la implantations envisages...
base dun tel dossier. Elle doit convaincre de la prise en compte de Tout au long de la progression de projet, les lments suivants
tous les dangers rels et de la pertinence des mesures prvues devront tre intgrs au fur et mesure quils se dessineront :
pour en protger les populations. Par contre la dmonstration du connaissance des dangers propres aux technologies ou orga-
niveau de scurit ninterviendra que bien plus tard. nisations retenues ;
validit et prcision des donnes disponibles ;
sensibilit des donnes connues ( quels paramtres, forte ou
faible ?) ;
3.3 Matre douvrage diversits des rglementations (pour un projet se dclinant sur
plusieurs sites dans des pays diffrents par exemple), risques dvo-
Le matre douvrage, linitiative du projet, en est le promoteur : lution des rglementations ;
si dautres acteurs (autorit, financeur(s)...) sont convaincre dune rsultats des expriences conduites pour rduire les incerti-
bonne matrise des risques (scurit, financier...), cest lui de le tudes sur les lments les plus innovants ou les moins bien connus ;
faire. capacit susciter la confiance des acteurs lgitimes exiger
dtre convaincus avec les lments disponibles (il peut tre plus
Le matre douvrage dcide des fonctions du systme : cest lui difficile de convaincre que de se convaincre surtout si il y a de fortes
qui exprime les besoins satisfaire, fixe des exigences de sret de dissonances culturelles entre matre douvrage et autorit).
fonctionnement, dcline ces expressions de besoin et exigences
pour chaque acteur du systme, dcide des modifications fonction-
nelles ventuelles et, in fine, procde la rception du systme. tout moment et tout niveau, une expression claire,
comprise de la mme faon par les acteurs impliqus des limites
Le matre douvrage arrte la liste des vnements redouts du systme et de lenvironnement pris en compte est essen-
prendre en compte et les niveaux de risque acceptables (en prenant tielle. Incomprhension ou mauvais choix ce niveau rduisent
naturellement en compte linsertion du systme dans son environ- zro la valeur dune APR.
nement). Il rpartit les exigences de matrise des risques entre
construction et exploitation, entre matre duvre et exploitant ou
utilisateur.
Le matre douvrage sassure du respect de ces exigences par le
matre duvre et ses sous-traitants et par lexploitant et la mainte- 3.4 Organisme valuateur
nance, et de la cohrence densemble, cest--dire que latteinte par
chacun de ses objectifs suffise garantir latteinte des objectifs glo- Son rle est dvaluer la confiance qui peut tre place dans les
baux. dossiers de scurit prsents, non seulement du point de vue de
la forme (conformit aux normes en vigueur, prsence des pices
Le matre douvrage utilise, ralise ou fait raliser des APR. Cette
requises) mais aussi du point de vue de la valeur des dmons-
dmarche est essentielle pour lui : elle doit lui viter de sengager
trations prsentes (non seulement il y a bien une dmarche APR
dans des impasses. chaque stade elle doit lui permettre de
par exemple, mais ce qui est prsent sous ce nom est bien
sassurer :
conforme ce que lon en attend et les lments pris en compte
que les risques lis aux dcisions en jeu sont identifis ; dans ce processus sont dment justifis).
que le respect des exigences, compte tenu de tous ces risques,
reste porte ;
que les mesures permettant de matriser les risques identifis Lavis mis porte donc sur la conception et sur la ralisation
pour satisfaire les exigences sont identifies et compatibles avec les des dossiers de scurit.
objectifs de projet et les choix en jeu.
La dmarche APR globalement doit lui permettre de donner Les dossiers de scurit comportent trs usuellement des
confiance aux acteurs qui il doit ce service. Au fur et mesure dmarches APR. Ces APR ne sont pas ralises par lorganisme
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
que la conception se prcise elle permet de prciser les mesures dvaluation ; celui-ci na normalement pas en raliser. Par contre
qui garantissent le respect des exigences, compte tenu des risques. il doit bien connatre cette dmarche, car il doit apprcier la perti-
Elle permet aussi de distribuer les exigences de matrise des ris- nence des APR et sassurer quelles ont t correctement ralises.
ques et, ce faisant, de prparer lintgration des dossiers FMDS Cet organisme cherchera rpondre aux questions suivantes (
(fiabilit, maintenance, disponibilit, scurit) des uns et des autres propos dune APR ; il est entendu quil ny a pas que des APR dans
pour une dmonstration globale de la matrise des risques du sys- ce domaine (cf. [AG 4 670]), mais que nous nous en tenons au sujet
tme dans son environnement. de larticle) :
Le droulement de la dmarche APR commence avec les une dmarche APR peut-elle conduire aux conclusions quen
lments prsents au dbut du projet : tirent ceux qui la proposent ? ;
politique du matre douvrage en matire de matrise des les lments pris en entre de lAPR sont-ils suffisamment
risques ; justifis ? ;
exigences issues des diverses tudes ayant suscit le projet la dmarche APR est-elle conduite dune faon qui donne
(tudes de march, expressions de besoin des clients, comparaison confiance en ses conclusions, conformment aux rgles de lart ? ;
avec la concurrence, etc.) ; les conclusions proposes dcoulent-elles directement de
exigences lgales et rglementaires, en particulier en matire lanalyse faite ?
de scurit ; En pratique, une question principale retient lattention de
retours dexprience des systmes semblables ; lvaluateur : la faon dont lAPR a t conduite donne-t-elle toute
retours dexprience sur les technologies, les organisations confiance dans lidentification de tous les risques associs au pro-
quil est envisag de mettre en uvre ; jet (dans la limite du primtre de lvaluation demande : cette
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 5
valuation ne porte souvent que sur les risques datteinte la La dmarche APR, qui nest pas normalement ralise ni
sant des personnes ou de dgradation de lenvironnement, commande par lexploitant recense les risques ou situations dan-
excluant les risques financiers, commerciaux, etc.) ? gereuses et les mesures de matrise prvues ; parmi celles-ci il y en
a gnralement beaucoup la charge de lexploitant.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 6 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
3.9 Sous-traitants Ce mode de dfaillance a pour effet de bloquer la porte dans la posi-
tion o elle est quand la dfaillance se produit. On ne peut carter le ris-
Lanalyse prliminaire de risques joue pour un sous-traitant le que correspondant en comptant sur une quasi-impossibilit de ce
mme rle que pour son client dans une proportion qui dpend du mode de dfaillance de se produire, il doit donc tre supportable. Sans
contrat qui les lie : autre prcaution, on pourrait donc ne pouvoir ni entrer, ni sortir de
ltablissement, ou ne pas pouvoir fermer lenceinte ou, avec une porte
un extrme est la dlgation complte du donneur dordre au entrouverte, ne pas pouvoir fermer lenceinte, pouvoir entrer et sortir,
sous-traitant, y compris la contribution aux dmarches danalyse de mais avec les vhicules.
sret de fonctionnement ;
lautre extrme est le cas o le sous-traitant est troitement On peut supposer que ces consquences sont inacceptables : on
encadr par le donneur dordre qui prcise les moyens utiliser et peut envisager comme mesures une maintenance susceptible de
garde la charge des tudes, en particulier de sret de fonction- remdier assez vite aux situations cres (mais est-ce suffisant face au
nement. besoin ventuel dvacuer en cas dincendie... ?) ou bien des solutions
de secours comme une porte assez grande pour permettre aux person-
Entre les deux toutes les situations intermdiaires sont imagina- nes dentrer et sortir pied (mais la consquence de labandon des
bles. vhicules est-elle acceptable ?) ou encore, une possibilit de dbrayer
le moteur et de manuvrer la main [il faudra tudier la fiabilit de ce
processus de secours ( manuvrabilit de la porte, disponibilit du
Limportant pour russir est de respecter les principes non- systme de dbrayage si celui-ci tait lectrique, il faudrait noter
cs dans larticle gnral sur la matrise des risques : quen cas de dfaillance du moteur due la dfaillance de lalimenta-
la rpartition des responsabilits doit tre explicite ; tion lectrique, cette solution serait aussi en chec , disponibilit de
les parties doivent stre assures quelle est comprise de personnes formes...) pour prtendre avoir rduit suffisamment ce
la mme faon par les partenaires ; risque !].
chacun doit explicitement accepter les responsabilits Dans la dmarche AMDE, on peut aussi envisager une dfaillance de
quil prend ; la surveillance du passage pendant la fermeture de la porte. En fonc-
le donneur dordre doit sassurer que les responsabilits tion de la masse de la porte et de la puissance du moteur, il y aurait ris-
prises par le sous-traitant nexcdent pas ses comptences. que dcraser un imprudent qui chercherait se faufiler pendant la
fermeture. On peut envisager un dispositif de scurit susceptible de
stopper leffort du moteur en cas de dtection de danger : rsistance
excessive, dtection de prsence, etc. Il faudra alors envisager les
4. Mthodes de la dmarche APR dfaillances de ce dispositif...
Quand des choix de technologies ou de composants sont arr-
Compte tenu des descriptions prsentes en paragraphe 3, on ts, lAMDEC dans le cadre dune dmarche APR permet au matre
imagine facilement quune dmarche APR peut tre mene laide duvre ou son sous-traitant qui introduit ce composant, de
de certaines mthodes ou outils classiques de la sret de fonc- sassurer que ces choix nintroduisent pas des risques incompa-
tionnement (cf. article [AG 4 670]). tibles avec les exigences de sret de fonctionnement.
Dans le mme esprit linterrogation systmatique sur les effets
LAMDEC (analyse des modes de dfaillance, de leurs effets et de
des situations non nominales, des faits anormaux, ( mthode What
leurs criticits, cf. article spcialis paratre [SE 4 040]) est souvent
if ? ) est une dmarche typique de lAPR, mme si elle ne peut
employe dans une dmarche APR. Cette mthode permet de pren-
garantir didentifier tous les risques.
dre en compte tous les risques dus la dfaillance dun lment du
systme. La dmarche de lAMDEC, consiste partir de la liste des Larbre de dfaillance (cf. article [SE 4 050] dans ce CD-Rom) peut
lments composant le systme tudi, dassocier chacun tous les aussi tre utilis dans le cadre dune dmarche APR. Quand les v-
modes de dfaillance quil peut connatre et didentifier les nements redouts du plus haut niveau (globaux) sont clairement
consquences pour le systme (et la gravit) de chacun de ces identifis, larbre de dfaillance est une mthode trs adapte
modes de dfaillance. Cette dmarche systmatique est tout fait identifier les combinaisons de faits ou de conditions qui suffisent
approprie pour mener une APR (en ne descendant pas trop dans les provoquer. Il permet de reprer les scnarios qui constitueraient
les dtails), mais elle a une limitation essentielle : elle ne prend en les faiblesses du systme et il permet de reprer les points sur les-
compte que les risques dus une (ou plusieurs) dfaillance(s) quels des mesures de prvention ou de protection permettraient de
connue des lments du systme. Elle ne saurait anticiper les rduire le risque global.
consquences de modes de dfaillance inconnus au moment de Par sa prsentation synthtique des scnarios daccidents ou
Ce document a t dlivr pour le compte de 7200092269 - cerist // 193.194.76.5
ltude ; elle ne prend pas en compte des risques dus au fonctionne- dchecs larbre de dfaillance (pas trop dtaill) est un excellent
ment nominal du systme dans des circonstances particulires, aux support pour les fonctions de la dmarche APR (identification des
agressions, aux utilisations inadaptes ou frauduleuses, etc. contributions fortes au risque, identification du potentiel de
Exemple : la porte principale vtuste de ltablissement va tre rduction de risque des mesures envisageables, allocations de fia-
remplace par un portail roulant et manuvr par un moteur lectrique bilit, cohrence des actions, dmonstration que le niveau de ris-
qui peut tre command distance depuis des postes pourvus de que rsiduel global est conforme aux exigences...).
camras montrant le portail et ses abords immdiats.
Lessentiel de la dmarche danalyse prliminaire de risque pour un
systme comme celui-ci dont les fonctionnements sont simples et
connus peut reposer sur ltude de tous les cas qui rsulteraient des
5. Mthode APR
dysfonctionnements. On peut donc raliser une AMDE (analyse de
mode de dfaillance et de leurs effets) pour identifier toutes les 5.1 Prsentation
situations de pannes. En face de chaque cas, on prcisera le niveau de
risque accept et la mesure prise (si ncessaire) pour respecter ce Pour raliser cette dmarche APR, on utilise trs couramment
niveau dans le cas envisag. une mthode et une prsentation spcifique cette dmarche qui
On regarde lquipement moteur lectrique . On envisage le prsente les caractristiques suivantes :
mode de dfaillance panne immobilisant la porte , diffrent du lespoir didentifier tous les risques raisonnablement imagina-
mode de dfaillance panne laissant la porte libre de rouler sur son bles repose sur une utilisation systmatique sans impasses de listes
rail . qui peuvent faire penser tous les scnarios daccidents ;
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 7
le reprage des risques exigeant des mesures repose sur lva- circulations ferroviaires se dirigeant lune vers lautre sans
luation usuelle du risque dans ses deux dimensions frquence et dispositif darrt avant la rencontre (vnement = dfaillance de la
gravit repres sur des chelles simples 3 ou 4 niveaux signalisation, non-respect dun signal darrt par un mcanicien, enga-
habituellement ; gement non autoris dune circulation depuis un chantier, annulation
la prsentation de la dmarche dans des tableaux types qui, intempestive dun dispositif de scurit par un aiguilleur, etc.) ;
en mme temps, guident un peu le rdacteur. personnes sur les voies parcourues par une circulation,
(vnement = agent de maintenance travaillant sur la voie parcourue
La mthode APR repose : au lieu de la voie consigne suite une erreur ou un malentendu,
vhicule routier avec conducteur ou passager franchissant ou immo-
sur les enchanements : bilis sur un passage niveau qui se ferme, traverse non autorise
lment dangereux + vnement = situation dangereuse ; de voie par des tiers ou par des voyageurs ou par des agents, autori-
situation dangereuse + vnement = accident ; sation de traverser donne tort, etc.).
sur les cotations des frquences des vnements On peut aussi considrer la haute tension de la catnaire comme
lorigine des situations dangereuses ou des accidents ; une entit dangereuse (risque dlectrocution ou dincendie). Il peut en
sur la gravit des consquences des accidents. rsulter des situations dangereuses comme :
catnaire non disjoncte tombe terre (rupture dlments de
Exemple : lment dangereux (stockage de gaz inflammable) la catnaire provoquant la chute sans contact avec un conducteur pro-
+ vnement (fuite) = situation dangereuse ; voquant la disjonction) ;
situation dangereuse + vnement (flamme) = accident (explosion, personnes montes sur des vhicules ferroviaires sous cat-
incendie). naire alimente (personnes non autorises comme des enfants qui
Lvnement fuite ne peut tre considr comme suffisamment jouent, non-respect des rgles de scurit par des agents ayant
improbable (impossible) pour liminer ce risque de ceux tudier. La intervenir sur la toiture dengins ou de vhicules, erreurs dans la pro-
gravit de lexplosion ou de lincendie dpend de nombreux facteurs cdure de consignation conduisant des agents monter sous une
(quantit de gaz, confinement, personnes exposes au risque, valeur catnaire quils croient tort consigne, etc. ;
des biens exposs, etc. Il faudra agir la fois sur ces facteurs pour personnes portant de longues chelles ou perches, proximit
rendre supportable laccident sil doit arriver et sur la probabilit de de la catnaire (personnes non autorises dans les emprises, person-
fuite et la probabilit de flamme (ou autre source dignition) pour nes non formes aux dangers autorises intervenir sous catnaire
rduire le risque en rduisant la frquence a priori des accidents. non consigne, non-respect des rgles de scurit par personnes for-
Des dispositions devront donc tre prises (systmes de scurit, mes et habilites, erreurs dans une procdure de consignation
dispositions organisationnelles comme la limitation de la quantit stoc- conduisant des agents considrer comme consigne une catnaire
ke, la dtection de gaz dans latmosphre, des interrupteurs lec- qui ne lest pas, etc.).
triques anti-tincelles, linterdiction daccs toute personne en Chacun des points cits ci-avant (et dautres) est tudier dans
priode de stockage, des interdictions de fumer, lloignement ltude de scurit dun systme ferroviaire. Pour chacun un ensemble
dautres produits dangereux ou inflammables, etc. de dispositions permet de rduire le risque aux niveaux acceptables
Enfin les tudes de scurit dtailles devront dmontrer que les (les dispositions les plus adaptes et les plus efficaces ne sont pas les
mesures prises sous les dispositifs choisis auront une efficacit (fiabi- mmes selon le systme et son environnement).
lit, disponibilit) suffisante pour atteindre les objectifs. (0)
dangers lis aux combustibles (risques dincendie, dchauf- leurs, action faite par mgarde)
fement...) ; Conteneurs sous pression Explosion
dangers lis latmosphre (risque dasphyxie...) ; Ressorts tendus Feu
etc. Systmes de suspension Chaleur, temprature (y compris
Fluides sous pression variations)
La premire tape consiste reprer les entits dangereuses pr- Gnrateurs lectriques Fuites
sentes dans le systme tudi. Chaque domaine technique possde
Objets susceptibles de tomber Humidit, bue
ses listes dentits dangereuses. En gnral, on peut dire que tout ce
Objets susceptibles Oxydation
qui contient de lnergie est une entit dangereuse. de se dplacer, dtre catapults Pression (trop leve, trop
Exemples : Dispositifs de chauffage faible, variations rapides)
Villemeur [1] cite une liste dentits dangereuses et une liste de Pompes Chutes, mouvements,
situations dangereuses de laronautique (tableau 1). Ventilateurs, hlices, soufflantes catapultage dobjets
Pour un systme de transport comme le chemin de fer (trains, Machines tournantes Radiations (thermique, lectro-
tramways, etc.), on peut considrer dabord lnergie cintique du Interrupteurs, dispositifs magntique, ultraviolet,
de mise feu nuclaire, ionisation...)
mobile comme source de danger. Il en dcoule des situations dange-
lments nuclaires Chocs
reuses comme :
Racteurs Concentration de contraintes
obstacle sur la voie parcourue, (vnement = chute dun rocher
Matriaux favorables Endommagement structurel
sur la voie, coule de boue sur la voie, chute dune grue sur la voie,
vhicule routier sur la voie, chargement perdu par une circulation fer- llectricit statique Toxicit
roviaire sur la voie, malveillance, etc.) ; nergie sous toutes ses formes Vibration et bruit...
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 8 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
Lindustrie chimique utilise beaucoup cette mthode (souvent vnement significatif (bless lger, perte de clients, dgts
sous le nom danalyse prliminaire des dangers) et lUIC (Union aux installations),
des industries chimiques) a normalis dans ses cahiers de vnement grave (bless grave, destruction de loutil de pro-
scurit [2] une dmarche de recherche des entits et des situa- duction, atteinte grave lenvironnement...),
tions dangereuses grce des fiches produits et des fiches proc- vnement catastrophique (morts, destruction totale de lins-
ds qui posent toute une srie de questions propres aux produits tallation, atteintes catastrophiques lenvironnement).
ou aux procds respectivement qui conduisent mettre en vi-
dence les phnomnes dangereux qui peuvent se produire du fait La reprsentation du couple frquence - gravit et du critre de
de la prsence de ces produits ou du fait de ces procds. dcision se reprsente couramment dans un tableau comme le
tableau 2 :
Les informations issues de ces dmarches sont classes dans
des tableaux qui reprennent dabord : (0)
la partie tudie. Par exemple, le sous-systme tudi et la
phase ou le type de fonctionnement tudi. Bien entendu, tous les
sous-systmes devront tre tudis dans toutes les phases quils Tableau 2 Reprsentation du couple frquence-gravit
peuvent connatre (y compris accidentelles) ; dans la mthode APR
les entits dangereuses, les situations dangereuses et, entre
les deux, les vnements qui peuvent crer la situation dangereuse Gravit
partir de lentit dangereuse ; Frquence
les accidents possibles et, entre la situation dangereuse et Catastro-
Grave Significatif Mineur
laccident potentiel, lvnement qui provoque laccident partir de phique
la situation dangereuse.
Rare Inacceptable Acceptable Acceptable Acceptable
Le tableau est ensuite complt par lvaluation de la gravit des
accidents potentiels.
Peu
frquent Inacceptable Inacceptable Acceptable Acceptable
ou bien chelle quatre niveaux : Avec les deux colonnes rsumant cette dernire tape, un
vnement mineur (perte de production sans perte de client), tableau-type dAPR prend la forme du tableau 3. (0)
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 9
Bibliographie
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 10 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques