Méthodes D'analyse Des Risques

ENVIRONNEMENT - SCURIT
Ti112 - Scurit et gestion des risques
Mthodes d'analyse des risques
Rf. Internet: 42155 | 3e dition
Actualisation permanente sur

www.techniques-ingenieur.fr
Tec h n ique s de l I n g ni eur
La plus impor tante ressource documentaire scientifique
et technique en franais
Une information fiable, claire et actualise

Valids par un comit scientifique et mis jour en permanence sur Internet,
les articles Techniques de lIngnieur sadressent tous les ingnieurs et
scientifiques, en poste ou en formation.
Outil daccompagnement de la formation et de la carrire des ingnieurs,
les ressources documentaires Techniques de lIngnieur constituent le socle
commun de connaissances des acteurs de la recherche et de lindustrie.
Les meilleurs experts techniques et scientifiques

Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de lIngnieur lditeur
scientifique et technique de rfrence.
Les meilleurs spcialistes sont runis pour constituer une base de
connaissances ingale, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne

Accessibles sur www.techniques-ingenieur.fr, les dernires nouveauts et
actualisations de votre ressource documentaire
Les articles tlchargeables en version PDF
Des services associs

Rendez-vous sur votre espace Mon compte en ligne pour retrouver la liste
des services associs vos droits daccs et les utiliser.
Des services associs

Pour toute information, le service clientle reste votre disposition :
Tl : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com
III
Cet ouvrage fait par tie de
Scurit et gestion des risques
(Rf.Internetti112)
compos de:
Management de la scurit Rf. Internet: 42154
Mthodes d'analyse des risques Rf. Internet: 42155
Risques chimiques - Toxicologie et cotoxicologie Rf. Internet: 42156
Risques chimiques - Pesticides et produits phytosanitaires Rf. Internet: 42568
Encadrer le risque chimique et connatre ses obligations Rf. Internet: 22742
Matriser le risque chimique - management, sant et scurit Rf. Internet: 22743
dans lentreprise
Risques d'explosion Rf. Internet: 42157
Risques d'incendie Rf. Internet: 42583
Risques lectriques Rf. Internet: 42496
Scurit par secteur d'activit et par technologie Rf. Internet: 42159
Scurit des systmes industriels Rf. Internet: 42830
Sant et scurit au travail Rf. Internet: 42158
Menaces et vulnrabilits: protection des sites industriels Rf. Internet: 42648
Risques naturels et impacts industriels Rf. Internet: 42828
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
IV
Cet ouvrage fait par tie de
Scurit et gestion des risques
(Rf.Internetti112)
dont les exper ts scientifiques sont:
Jean-Pierre DAL PONT

Prsident de la Socit Franaise de Gnie des Procds (SFGP), Secrtaire
Gnral de la Fdration Europenne du Gnie Chimique (EFCE), Prsident de
la Socit des Experts Chimistes de France (SECF)
Franois FONTAINE
Responsable Scurit Globale et Scurit Globale et terrorisme , INERIS
Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN
Expert en scurit des procds Rhodia Recherches et Technologies
Andr LAURENT
Professeur mrite, Nancy Universit, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX
Expert en matrise des risques la Direction de la scurit de la SNCF
Jean-Paul PERES
Ancien Directeur Responsable Care de Rhodia
V
Les auteurs ayant contribu cet ouvrage sont :
Alain DESROCHES Pierre PERILHON

Pour larticle: SE4015 Pour les articles: SE4060 SE4061
Michel FEDERIGHI Michel ROYER

Pour larticle: SL6210 Pour les articles: SE4030 SE4031
SE4032
Emmanuel GARBOLINO
Pour larticle: SE2065 Jean-Pierre SIGNORET
Pour les articles: SE4070 SE4071
Olivier GRANDAMAS SE4072 SE4073
Pour larticle: SE4062
Samantha THIEBOT
Franck GUARNIERI Pour larticle: SE1212
Pour larticle: SE2065
Jacques VALANCOGNE
Olivier IDDIR Pour larticle: SE2525
SE4077 SE2090 SE5080 Gilles ZWINGELSTEIN
Yves MORTUREUX SE4006 SE4007
SE4050 AG4670
VI
Mthodes d'analyse des risques
(Rf. Internet 42155)
SOMMAIRE
Rf. Internet page
Analyse prliminaire de risques SE4010 9
Analyse globale des risques (AGR) SE4015 11
HAZOP: une mthode d'analyse des risques. Prsentation et contexte SE4030 17
HAZOP: une mthode d'analyse des risques. Principe SE4031 21
HAZOP: une mthode d'analyse des risques. Mise en oeuvre SE4032 27
AMDE (C) SE4040 29
Arbres de dfaillance, des causes et d'vnement SE4050 33
Le noeud papillon: une mthode de quantiication du risque SE4055 39
MOSAR. Prsentation de la mthode SE4060 45
MOSAR. Cas industriel SE4061 49
Analyse des risques des systmes dynamiques: prliminaires SE4070 55
Mthode MADS-MOSAR. Pour en favoriser la mise en oeuvre SE4062 57
Analyse des risques des systmes dynamiques: approche markovienne SE4071 61
Analyse des risques des systmes dynamiques: rseaux de Petri. Principes SE4072 67
Analyse des risques des systmes dynamiques: rseaux de Petri. Exemples de SE4073 71
modlisation
La mthode LOPA: principe et exemple d'application SE4075 75
Mthode PDS SE4077 83
Mthode HACCP- Approche pragmatique SL6210 87
La sret de fonctionnement: mthodes pour matriser les risques AG4670 91
Mesures de matrise des risques instrumentes (MMRI). tat zro et iche de vie SE2090 95
Pondration des frquences de fuite dans le cadre des analyses de risques industriels SE5080 101
VII
valuation de la criticit des quipements. Mthodes d'exploitation des jugements SE4004 109
d'experts
valuation de la criticit des quipements. Mthodes analytiques SE4005 115
Mthodes d'valuation de la criticit des quipements. Mtriques et indicateurs de SE4006 123

performance
valuation de la criticit des quipements. Mthodologie globale SE4007 129
La mthode B pour la spciication et la ralisation de logiciels et de systmes critiques SE2525 135

prouvs
Concept de dfense en profondeur: contribution la scurit des ICPE SE2065 141
Mthodes d'analyse de la vulnrabilit des sites industriels SE1212 145

Analyse prliminaire de risques
par Yves MORTUREUX

Ingnieur civil des Ponts et Chausses
Expert Sret de fonctionnement la direction Dlgue Systme dexploitation
et scurit la SNCF
Vice-Prsident de lInstitut de Sret de fonctionnement
1. Objectifs de la dmarche APR.............................................................. SE 4 010 - 2

1.1 Identication des vnements redouts.................................................... 2
1.2 valuation des risques ................................................................................ 3
1.3 Proposition de couverture des risques ...................................................... 3
2. Usages de la dmarche APR ................................................................. 3
3. Divers acteurs et leurs relations lAPR........................................... 4
3.1 Acteurs ......................................................................................................... 4
3.2 Autorit......................................................................................................... 4
3.3 Matre douvrage ......................................................................................... 5
3.4 Organisme valuateur................................................................................. 5
3.5 Matre duvre ............................................................................................ 6
3.6 Exploitant ..................................................................................................... 6
3.7 Mainteneur ................................................................................................... 6
3.8 Organisme de contrle................................................................................ 6
3.9 Sous-traitants............................................................................................... 7
4. Mthodes de la dmarche APR ............................................................ 7
5. Mthode APR............................................................................................. 7
5.1 Prsentation ................................................................................................. 7
5.2 Typologies. Listes ........................................................................................ 8
5.3 Frquence et gravit.................................................................................... 9
Bibliographie ...................................................................................................... 10
analyse prliminaire de risques (APR) est une dmarche, un processus dont

L lobjectif est dvaluer les problmes rsoudre en matire de matrise des
risques. La mthode APR est ddie cette dmarche.
Cette dmarche peut prendre des formes trs diffrentes dans sa mise en
uvre suivant le domaine technique ou la lire industrielle considrs. Dans
bien des cas une analyse prliminaire de risques met en uvre des mthodes
plus connues dans les phases ultrieures de lanalyse de risques comme larbre
de dfaillance (cf. article [SE 4 050]), lAMDE(C) (analyse des modes de
dfaillance, de leurs effets et de leurs criticits, cf. article La sret de
fonctionnement : mthodes pour matriser les risques [AG 4 670] dans le trait
Lentreprise industrielle) ou des blocs-diagrammes de abilit, etc. Mais une
mthode particulire a aussi t dveloppe pour cette phase initiale danalyse
prliminaire de risques. On parle alors de mthode APR. La confusion des
termes est totale, la confusion des notions est viter : disons quune dmarche
APR ne se fait pas forcment avec la mthode APR.
La premire partie de larticle ( 1, 2, 3, 4) sera consacre la dmarche : les
objectifs, le processus, la pertinence de lanalyse prliminaire de risques. La
seconde partie ( 5) sera consacre la mthode : la mthode APR, particuli-
rement adapte la conduite dune dmarche danalyse prliminaire de risques.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 1
ANALYSE PRLIMINAIRE DE RISQUES ______________________________________________________________________________________________________
Lanalyse prliminaire de risques est essentielle et trs structurante, surtout

en matire de scurit, pour tout projet innovant, quil sagisse de modications
de systmes connus ou de nouveaux systmes.
Comme son nom le suggre, lAPR est une dmarche qui commence ds
quune dmarche de matrise des risques apparat ncessaire dans un projet
avant quil soit question de mthodes dvaluations de risques (AMDE, AMDEC,
arbres de dfaillance et autres...). Le gros de cette dmarche se droule au dbut
du projet et peut inclure lutilisation de mthodes comme les arbres de
dfaillance. Ensuite lAPR accompagne toute la vie du projet et peut tre rvise
et complte au fur et mesure que le projet se prcise, les mthodes comme
larbre de dfaillance tant utilises au cours des tudes prcises et dtailles
que la matrise des risques du projet va ncessiter. La dmarche dAPR est trs
utilise dans les domaines o les proccupations de scurit sont les plus pr-
sentes comme les transports et la chimie.
Le lecteur se reportera utilement aux articles du mme trait :

La sret de fonctionnement : mthodes pour matriser les risques [AG 4 670] ;
Arbres de dfaillance, des causes et dvnement [SE 4 050].
1. Objectifs de la dmarche APR divers sous-projets susciteront des dmarches APR partielles dont
les dmarrages peuvent tre postrieurs non seulement celui de
lAPR globale mais mme des analyses dtailles entreprises
dans dautres sous-projets plus avancs du mme projet.
La dmarche APR peut prendre des formes extrmement
diverses. Nanmoins, sous des apparences varies, on retrouve
systmatiquement trois phases qui sont aussi trois objectifs :
identification des dangers, des vnements redouts 1.1 Identification des vnements redouts
prendre en compte ( 1.1) ;
valuation et classement des risques associs ; Cette premire phase de la dmarche APR consiste identier
propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici lexhaustivit est un objectif essentiel. La valeur dune dmar-
che APR dpend directement de la conance que lon peut placer
Globalement, on peut dire que lobjectif gnral dune dmarche dans le fait de navoir oubli aucun scnario daccident. Par
APR est dvaluer les problmes rsoudre en matire de matrise contre, ce stade, il est normal de ne pas pouvoir tre trs prcis
des risques. Une APR doit permettre : sur ces scnarios et de ne pas pouvoir distinguer des scnarios
de se rendre compte si le projet pourrait devoir tre aban- vraisemblables, dautres, thoriquement possibles, mais qui se
donn parce que certains risques inacceptables se rvleraient rvleront ensuite invraisemblables.
irrductibles ; En effet, le but est didentier les vnements redouts pren-
de dimensionner a priori les efforts dtudes et de rduction dre en considration. Toutes les informations disponibles (connais-
de risques ; sance a priori dvnements redouts mais aussi modes de
de localiser les domaines du systme qui demanderont le plus dfaillance des composants du systme, potentiel dnergie des
defforts et donc, les comptences requises en matire de matrise composants du systme, etc.) doivent tre exploites. partir de
des risques. ces informations on se pose la question des scnarios qui peuvent
Inversement la dmarche APR permet danticiper sur la nature se dvelopper partir des phnomnes voqus et on recense
des faiblesses en sret de fonctionnement et les limites des per- donc les vnements (redouts) sur lesquels ces scnarios pour-
formances sret de fonctionnement quil est raisonnable de vou- raient dboucher.
loir atteindre. Rappel : le risque est un triplet (vnement redout, frquence, gravit). Identier, recen-
ser des risques, cest donc identier des vnements redouts ; valuer les risques consiste
En poursuivant lobjectif essentiel de reprer les difcults et les leur associer frquence et gravit (ou criticit) (cf. [AG 4670]). On peut connatre a priori
efforts les plus importants de rduction de risque et de dmons- les vnements redouts envisager mais il est aussi courant que lon connaisse mieux les
sources de danger et que lon doive en dduire les scnarios puis les accidents craindre.
tration de la sret de fonctionnement, une dmarche APR bien
mene contribue de faon dcisive la matrise des risques Cette recherche sappuie naturellement avant tout sur les spci-
projet , cest--dire la matrise des cots, des dlais du projet cations fonctionnelles, car au stade initial les solutions ne sont
en lien avec latteinte des objectifs de performance du produit ou pas encore choisies. La dmarche peut tre mene de faon
du service. En particulier, la dmarche APR doit permettre trs tt systmatique sur les fonctions du systme. Nanmoins, en matire
de construire une vision commune et un accord entre les parties de scurit, il faut prendre en compte les dangers crs par les
concernes par le projet sur les mesures prendre pour assurer la techniques choisies indpendamment des exigences fonctionnel-
sret de fonctionnement requise et les rles de chacun dans ces les (notamment en chimie) dans le cadre de la mthode HAZOP).
efforts. Pour raliser une mme fonction, une solution lectrique amne se
Si la dmarche APR est unique par son esprit, chacun la conduit poser la question du risque dlectrocution, une solution pneumatique
son niveau en fonction des risques qui le concernent. Si une celle du risque dexplosion par surpression, tout cela indpendamment
dmarche APR globale peut dmarrer ds les origines dun projet, des risques lis lchec total ou partiel de la fonction.
SE 4 010 2 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
Analyse globale des risques (AGR)

par Alain DESROCHES
Professeur lcole CentraleSuplec
Ex expert en sret de fonctionnement et gestion des risques au Centre national dtudes
spatiales (CNES)
Ex prsident de la Commission risques accidentels et membre du Conseil scientifique
de lInstitut national de lenvironnement industriel et des risques (INERIS), Paris, France
1. Concepts prliminaires....................................................................... SE 4 015 - 2

2. Prsentation de lAGR ........................................................................ 4
2.1 Principe de la mthode............................................................................ 4
2.2 AGR Systme ........................................................................................... 5
2.3 AGR Scnarios ......................................................................................... 6
2.4 Rsultats et valorisation de lAGR .......................................................... 11
3. Exemple dapplication industrielle.................................................. 11
3.1 Donnes de lexemple dapplication industrielle .................................. 11
3.2 Analyse des scnarios ............................................................................. 14
3.3 Principaux rsultats danalyse et dvaluation...................................... 14
3.4 Valorisation de lAGR .............................................................................. 20
4. Conclusion ............................................................................................. 27
Pour en savoir plus ........................................................................................ Doc. SE 4 015
et article traite de lanalyse globale des risques (AGR) qui couvre lidenti-
C fication, lvaluation et la gestion des risques structurels, des risques
fonctionnels et des risques conjoncturels pendant tout le cycle de vie du
systme tudi, depuis le dbut de sa conception jusqu la fin de son
dmantlement.
Elle existe en version semi qualitative (note AGR), prsente dans cet
article, et en version quantitative ou probabiliste (note AGRq) [3].
LAGR est applicable lanalyse des risques de projet, des risques dentre-
prise ou des risques produits.
Les quatre catgories de dangers gnriques prises en compte sont :
les dangers extrieurs au systme ;
les dangers lis la gouvernance du systme ;
les dangers lis aux moyens techniques du systme ;
les dangers lis aux tudes et production du systme.
Le but de lAGR est :
didentifier les principaux risques pendant lactivit du systme partir
des dangers, des situations dangereuses, des vnements redouts ou acci-
dents conscutifs et de leurs consquences ;
de caractriser les scnarios daccident partir des trois facteurs de
risques : facteur dexposition, facteur dclenchant et facteur aggravant ;
dlaborer les cartographies des risques ;
didentifier les risques majeurs ;
dvaluer les bilans efforts/pertes en termes financiers ;
dlaborer le plan dactions en rduction des risques ;
dlaborer le catalogue des paramtres de scurit correspondant aux acti-
vits de scurisation ultrieures.
De plus, lAGR prend en compte la gestion financire du traitement des

risques et permet la ralisation dallocations dobjectifs de risques sur la per-
formance et la scurit (allocations de sret de fonctionnement).
Copyright Techniques de lIngnieur Tous droits rservs SE 4 015 1
ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________
1. Concepts prliminaires cre lexposition du systme S au danger D (repre 1) et donc la

situation dangereuse SD (repre 3). partir de laquelle loccur-
rence dune cause amorce ou facteur de risque dclenchant
Le danger [1] dont la notion prcde celle de risque est dfini FD (repre 4) entrane laccident A (repre 5). Puis loccurrence
comme un potentiel de prjudice ou de nuisance aux personnes, dune cause circonstancielle ou facteur de risque aggravant
aux biens ou lenvironnement. Ce concept abstrait couvre aussi FA (repre 6) qui dfinit et caractrise loccurrence, la nature et la
bien des ventualits physiques ou matrielles accessibles par nos gravit des consquences K (repre 7).
sens que des ventualits immatrielles comme lnergie poten- Les causes contact FE, amorce FD et circonstancielle FA sont des
tielle ou cintique. De faon plus gnrale, un danger peut tre une noms gnriques pour dfinir lensemble des causes qui engendre
substance (produit toxique...), un objet (virus, astrode...), un ph- respectivement la situation dangereuse SD, laccident A et les
nomne (inondation, sisme...) ou un processus (erreur de dia- consquences K. Les uns comme les autres peuvent tre des v-
gnostic, erreur dadministration, erreur opratoire...). nements programms, donc attendus, ou des vnements non
Ce prliminaire tant fait, le risque met en jeu deux notions. programms, donc non attendus. Les noms gnriques peuvent
Lune, qualitative, qui concerne son origine, savoir sa gense par correspondre chacun plusieurs causes.
lexposition du systme au danger, appele situation dange- Lensemble des tapes didentification et lvaluation des risques
reuse, qui, suivant les circonstances, peut se transformer en est gnralement appel apprciation des risques.
situation accidentelle avec des consquences de diffrentes
natures et importances. Lautre, quantitative, qui est la mesure en Dans la pratique, lidentification des risques est faite en utilisant
termes de probabilit doccurrence et de gravit de lincerti- un ensemble doutils mthodologiques traitant de faon compl-
tude de la situation dangereuse ou de la situation accidentelle, mentaire de la nature des vnements, de leur localisation spatiale
appele aussi vnement redout. et temporelle. Lvaluation des risques est faite dune part sur
lincertitude de loccurrence du risque en utilisant soit une chelle
Si sur une chelle de temps lvnement redout est considr dindex de vraisemblance V ou de valeurs de probabilit P, et
linstant prsent, alors sa probabilit doccurrence concerne ses dautre part sur les consquences en utilisant une chelle dindex
causes qui appartiennent son pass, tandis que la gravit de gravit G complte ou non par des index ou des valeurs de
concerne ses consquences qui appartiennent son futur. Le pertes et defforts, nots respectivement IP ou VP et IE et VE.
risque dun vnement est un concept abstrait qui ncessite donc
de prendre en compte de faon globale son pass, son prsent et La matrise des risques [2] est associe directement aux
son futur. actions de rduction et de contrle faites sur les composantes du
risque : la prvention regroupe les actions qui ont pour but de
Il en rsulte que le couple probabilit-gravit est indissociable et diminuer la probabilit doccurrence du risque, tandis que la pro-
doit tre considr comme une variable bidimensionnelle. Par l tection regroupe les actions qui ont pour but de diminuer la gra-
mme, un risque nest ni une probabilit, ni une gravit, mais les vit de ses consquences. Plus prcisment, la prvention vise
deux en mme temps. Il sensuit quune dcision associe un rduire conjointement les probabilits doccurrence des causes
risque ne peut tre prise sur la base dune seule de ses deux com- contact, amorce et circonstancielle non programmes . En pre-
posantes. mier, la rduction de la probabilit doccurrence de la cause
De sa nature bidimensionnelle, pour laquelle il nexiste pas de contact sera recherche, ce qui peut aboutir labsence doccur-
relation dordre, il dcoule que lon ne peut hirarchiser formelle- rence de situation dangereuse. En deuxime, ce sera celle de la
ment deux risques de faon directe par le couple gravit-probabi- cause amorce jusqu llimination ventuelle de loccurrence de
lit. laccident. En troisime, ce sera celle de la cause circonstancielle.
Un scnario daccident visualis sur la figure 1 est dfini Le processus de rduction des risques est bas sur le concept de
comme lenchanement ou la combinaison dvnements aboutis- criticit du risque C. Plus prcisment, la criticit du risque, est
sant un accident A (repre 5) puis ses consquences K le rsultat dune fonction de dcision fD associe une chelle
(repre 7). Sa ralisation est lie loccurrence dune cause de valeurs politique, thique, religieuse, conomique, etc. qui pour
contact ou facteur de risque dexposition FE (repre 2) qui chaque risque valu R (G, V ) associe ou non une action de rduc-
Systme
(S)
1 3
Danger Situation 5
(D) dangereuse
(SD)
vnement redout ou
accident
(A)
7
2
Cause contact
Consquence
ou
4 (K)
facteur dexposition (FE)
Cause amorce
ou
Cause circonstancielle 6
facteur dclenchant (FO)
ou
facteur aggravant (FA)
Figure 1 Arborescence dun scnario daccident
SE 4 015 2 Copyright Techniques de lIngnieur Tous droits rservs
_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)
Classe de criticit Intitul de la classe Intituls des dcisions et des actions
C1 Acceptable en ltat Aucune action nest entreprendre
C2 Tolrable sous contrle On doit organiser un suivi en termes de gestion du risque tel que contrle ou transfert
Inacceptable On doit refuser la situation et prendre des mesures de rduction des risques
C3
Sinon... on doit refuser toute ou partie de lactivit
Figure 2 Arborescence dun scnario daccident
Probabilit Probabilit
Pr (G > g) < p
V5 V5
p4 p4
Pr Protection
(G
V4 > V4
p3 g) p3
<
p Prvention
V3 V3
p2 p2
V2 Pr (G > g) < p V2
p1 p1
V1 V1
g1 g2 g3 g4 Gravit g1 g2 g3 g4 Gravit
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5
Figure 3 Diagrammes dacceptabilit des risques
tion ou de contrle. Ce qui sexprime en posant C = fD (G, V ). Le management des risques repose dune part sur lassigna-
L ensemble de dfinition de fD est lensemble des couples (G, tion dobjectifs de risques acceptables ou tolrables dfinis par le
V). L ensemble des valeurs de fD correspond lensemble des rfrentiel dacceptabilit des risques et dautre part par la mise en
criticits, appel chelle de criticit (figure 2), rparti en trois place de ressources ou moyens de traitement pour permettre
classes suivant le principe ALARA (As Low As Reasonably Achie- datteindre les objectifs (par la rduction des risques initiaux) et
vable). dassurer leur maintien (par le contrle des risques rsiduels).
Nota : la criticit du risque ne doit pas tre confondue avec le risque moyen qui est Autrement dit, le plan de rduction des risques comme le cata-
le produit de la probabilit par la gravit du risque et nest quun paramtre dvaluation logue des paramtres de scurit nont de ralit que dans la
et non de dcision. mesure o un plan de financement des actions, appel finance-
ment du risque a t prvu et consolid. Ce dernier doit tre
Cette classification de lensemble des risques de lactivit en orient par la contrainte effort/perte 1 qui exprime que
trois classes doit tre valide par la gouvernance du risque qui leffort correspondant au cot de traitement (des consquences) du
dispose des ressources associes aux dcisions rattaches risque doit rester infrieur la perte correspondant au cot (des
chaque classe. consquences) du risque en labsence de traitement.
Les trois classes sont visualises par zone respectivement en Le principe du financement du risque est dfini ainsi : Toute
vert, jaune et rouge sur le premier diagramme de la figure 3 action de rduction ou de contrle pour matriser un risque gn-
appel rfrentiel dacceptabilit des risques ou diagramme rant une perte est un effort qui a un cot .
ou tableau de criticit. Le second diagramme visualise les
actions de matrise des risques. Nota : effort de traitement du risque, que ce soit en termes de financement de llimi-
nation du risque, de sa rduction (prvention ou protection) ou de sa gestion telle que la
Des exemples de diagrammes qualitatif et probabiliste sont don- prise dune assurance ou encore de son contrle.
ns sur la figure 4.
Il est naturel de considrer le rapport : K = effort/perte, o :
Le regroupement structur des actions de prvention et de pro- perte est le cot du risque correspondant au montant (ou
tection est appel plan de rduction des risques. quivalent) de la perte financire brute en labsence de traitement
Les actions de contrle permettent dassurer la traabilit des de matrise du risque ;
actions prcdentes et de garantir dans le temps le maintien du effort est le cot investi dans le traitement du risque,
niveau de risque acceptable ou tolrable atteint. Ces actions sont cest--dire au montant (ou quivalent) financier des actions de
regroupes dans le catalogue des paramtres de scurit. rduction, et plus globalement de matrise des risques.
Gravit
G1 G2 G3 G4 G5
V5
V4
Vraisemblance
V3
V2
V1
Rfrentiel dacceptabilit des risques Rfrentiel dacceptabilit des risques

Classes de gravit Pr (G > g) = p
G1 G2 G3 G4 G5
1 10 0 1 100
Probabilit (p)
1 101 1 101
5,0 102
1 102 1 102
1,0 102
Probabilit
1 103 1 103
5,0 104
5,0 104
1 104 1 104
5,0 105
1 105 1 105
1 106
1 106
5,0 107
1 107
1 107 10 100 1 000 10 000 100 000
1,0 107 1,0 107
C1 C2 C3 Gravit (g)
Figure 4 Exemples de diagrammes dacceptabilit des risques
Dans le cadre du traitement pour matriser le risque deux cas

sont donc considrer : 2. Prsentation de lAGR
K < 1, autrement dit le cot de la perte est suprieur au cot de
leffort de traitement. Dans ce cas il y a un intrt sans restriction
traiter et on parlera de traitement conomique du risque ;
2.1 Principe de la mthode
K 1 , autrement dit le cot de la perte est infrieur au cot de LAGR est une mthode globale danalyse semi qualitative ou
leffort de traitement. Dans ce cas il ny a pas dintrt logique probabiliste qui permet dapprcier et de matriser les risques
traiter, sauf cas de force et on parlera de traitement politique du dactivits de nature diffrente, tels que les risques dentreprise,
risque. les risques projet ou les risques produit suivant un processus
Nota : les pertes et les efforts doivent tre dfinis dans les mmes units (valeurs invariant [2]. La spcificit tient la nature du systme considr
montaires, ressources, etc.). et de la cartographie des dangers considrs (structurels, conjonc-
turels ou fonctionnels) et non au processus danalyse proprement
Cette contrainte ne doit pas tre confondue avec le principe plus dit. Il en est de mme des cartographies des risques comme le
abstrait appel bnfice/risque qui exprime que le bnfice ou visualise la figure 5.
gain tir de la prise de risque doit tre a priori suprieur la perte
ou inconvnient qui peut en rsulter. Nota : lAGR est conforme la norme ISO 31000 [4].
_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)
2.2 AGR Systme
2.2.1 Modlisation du systme

Le systme est modlis sous forme de processus (), de fonc-
tions (F ) et/ou de sous-systmes de ressources humaines ou mat-
rielles (S/S ) dcrit en trois lignes.
Le tableau 1 visualise un exemple de modlisation gnrique
par phase de systme.
2.2.2 laboration de la cartographie des dangers

La cartographie des dangers est une liste structure de dangers
dfinie en trois colonnes auxquels le systme est susceptible
dtre expos. Son format est prsent sur le tableau 2.
La cartographie des dangers est labore partir dune liste de
vingt-six rubriques de dangers gnriques qui couvre les quatre
grandes catgories suivantes :
les dangers externes au systme ;
les dangers de gouvernance du systme ;
les dangers lis aux moyens techniques du systme ;
les dangers lis aux tudes et production du systme.
La figure 7 prsente cette liste de faon dtaille.
Figure 5 Exemples de cartographies des risques
2.2.3 laboration de la cartographie
Le diagramme de la figure 5 visualise des cartographies des des situations dangereuses
risques obtenues par AGR des trois catgories dactivits. La structure de la cartographie des situations dangereuses est
Le processus de lAGR est ralis en trois tapes comme le ralise par la juxtaposition croise du systme et de la cartogra-
montre la figure 6. phie des dangers. Les interactions dangers/systme sont les fac-
teurs de gnration de situations dangereuses. Celles-ci sont
Nota : les trois tapes-cls de la figure 6 regroupent plusieurs sous-tapes. cres autant par la sensibilit ou la vulnrabilit intrinsque des
1
AGR SYSTME
Modlisation du systme et laboration de la cartographie des dangers
Identification des situations dangereuses
Cartographie des situations dangereuses
2
AGR SCNARIOS
Analyse des situations dangereuses

valuation des risques initiaux et traitement des consquences des vnements redouts
valuation des index de pertes et defforts
valuation des risques rsiduels
Cartographies des risques (/aux situations dangereuses, au systme ou aux dangers)

Diagrammes de dcision (/au systme ou aux dangers)
3
Gestion des actions
Plan dactions de rduction des risques (risques initiaux)

Catalogue des paramtres de scurit (risques rsiduels)
Plan de financement des risques (actions et paramtres)
Figure 6 tapes du processus de lAGR
Tableau 1 Exemple de modlisation dun systme

Phase 1 Phase 2 Phase 3
Fonction 11
Fonction 12
Fonction 13
Fonction 14
Fonction 21
Fonction 22
Fonction 23
Fonction 24
Fonction 25
Fonction 26
Fonction 31
Fonction 32
Fonction 33
Fonction 34
Ressource 111
Ressource 121
Ressource 131
Ressource 132
Ressource 141
Ressource 142
Ressource 211
Ressource 221
Ressource 231
Ressource 241
Ressource 251
Ressource 261
Ressource 311
Ressource 312
Ressource 321
Ressource 322
Ressource 331
Ressource 341
Ressource 342
La cartographie des situations dangereuses est dfinie par
Tableau 2 Exemple de format de la cartographie lensemble des lments du rfrentiel systme/danger. Chaque
des dangers lment correspond une case qui repre une interaction poten-
Dangers Dangers vnements tielle dun vnement dangereux sur un lment systme
gnriques spcifiques ou lments dangereux laquelle doit alors tre affect un index de priorit. La figure 9
visualise un exemple de cartographie des situations dangereuses.
DS1 ED111
Nota : une situation dangereuse peut tre dfinie sur une ou plusieurs cases qui appa-
DS2 ED121 raissent fusionnes. Ainsi, si un danger impacte plusieurs lments contigus du systme,
DG1 alors la fusion sera horizontale. Si plusieurs lments dangereux contigus impactent un
lment systme, alors la fusion sera verticale. La combinaison des deux est aussi
DS3 ED131 possible.
DS4 ED141
ED211 2.3 AGR Scnarios
ED212
DS1
ED213 2.3.1 lments dvaluation et de dcision
ED214 Cinq chelles ou tableaux de donnes permettent dvaluer les

DG2 risques et dorienter leur gestion.
ED221
DS2 1) Lchelle de gravit est cinq niveaux dindex correspon-
ED222 dant cinq natures diffrentes de consquences impactant la mis-
sion ou la performance du systme, ainsi que son intgrit ou sa
ED231 scurit comme le montre le tableau 3.
DS3
ED232 Les cinq niveaux peuvent aussi tre associs quatre seuils
dune variable caractristique des consquences VCC caractrisant
ED311 des seuils de gravit tels que le retard calendaire de livraison dun
DS1
ED312 produit comme visualis dans le tableau 4.
DG3
ED321 Nota : dans le tableau 4 on peut lire quun retard de livraison infrieur ou gal 1
semaine est considr comme mineur (G1). Tandis quun retard de livraison suprieur ou
DS2 gal 6 mois est considr comme catastrophique (G5).
ED322
DS1 ED411 2) Lchelle doccurrence peut-tre quantitative (probabiliste),
ou qualitative par la dfinition de cinq niveaux de vraisemblance
DG4 ED411 associs des priodes de rcurrence comme le montre le
DS2 tableau 5.
ED422
3) Lchelle et le rfrentiel de criticit : comme rappel
plus haut le rfrentiel dacceptabilit des risques ou tableau de
lments du systme (identifis dans les fonctions, S/S ou phases) criticit permet dassocier une dcision de traitement une classe
que par limportance du niveau de danger auquel ils sont exposs. de risque. Ce rfrentiel est quantitatif ou qualitative suivant que la
mesure de lincertitude est dfinie par vraisemblance ou de faon
Les interactions doivent tre considres a priori comme dter- probabiliste (figure 4).
ministes. L'estimation de la potentialit et de limportance de ces
interactions permet ensuite de caractriser les situations dange- 4) Lchelle de pertes est quatre niveaux dindex qui sont
reuses potentielles et de dfinir les index de priorits d'actions assigns chacune des consquences de criticit C2 ou C3. Les
conscutives. tableaux 6 et 7 prsentent respectivement la dfinition des index
de pertes et un exemple gnrique de valeurs moyennes associes
La figure 8 regroupe ces critres et lments de dcision.
aux index de pertes pour un systme compos de trois phases.
Nota : le report volontaire (priorit 10) a pour origine soit labsence de spcialiste du
domaine, soit la limitation de la suite des analyses des situations dangereuses en rela- Nota : les valeurs des incertitudes IPi sont donnes par lment systme pour
tion avec des lments systmes cibls (zoom) ou des classes de dangers. chacune des donnes financires de pertes associes.
HAZOP : une mthode danalyse

des risques
Prsentation et contexte
par Michel ROYER

Ingnieur chimiste
1. Prsentation............................................................................................... SE 4 030 - 2
2. Dfinition, objectifs et domaines dapplications ............................ 2
2.1 Dfinition et objectifs ................................................................................... 2
2.2 Notions de base ........................................................................................... 3
2.2.1 Dfinition du danger et de corollaires ............................................... 3
2.2.2 Dfinition de laccident et de ses corollaires .................................... 4
2.2.3 Dfinition du risq ue et de ses corollaires.......................................... 4
2.3 Domaines dapplication de la mthode ..................................................... 7
2.3.1 Secteurs dactivit............................................................................... 7
2.3.2 Comparaison avec les autres mthodes danalyse de risque ......... 8
2.4 Limites de la mthode ................................................................................. 8
2.4.1 Consommatrice de temps .................................................................. 8
2.4.2 Qualitative ou non............................................................................... 10
2.4.3 Exigeante ............................................................................................. 10
2.5 Points forts.................................................................................................... 10
2.5.1 Principe simple.................................................................................... 10
2.5.2 Mthode systmatique ....................................................................... 10
2.5.3 Mthode pluridisciplinaire ................................................................. 10
2.5.4 Large domaine applicatif .................................................................... 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033
a mthode HAZOP est un outil formalis, systmique et semi-empirique

L
utilis et dvelopp depuis q uarante ans pour analyser les risques poten-
tiels associs lexploitation dune installation industrielle.
Invente en 1965 en Grande-Bretagne par la socit ICI (I mperial chemical
industries), elle tait conue comme une technique et sadressait particuli-
rement la phase dingnierie de dtail de nouvelles installations chimiques
ou ptrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues scurit sur schmas employes lpoque par les
socits dingnierie, toutes bases sur lanalyse dvnements passs. Son
originalit rsidait dans son approche a priori des dangers et des dysfonction-
nements dune installation par ltude systmatique des dviations des
paramtres gouvernant le procd analyser.
Cette technique sest dveloppe hors des limites de la socit ICI, au sein de
lindustrie chimique et ptrochimique aprs lexplosion catastrophique, en 1974,
dun nuage de 40 tonnes de cyclohexane Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blesss. De simple technique, la mthode HAZOP est devenue
une pratique didentification des dangers et des problmes dexploitabilit,
adopte par de nombreuses industries risques , en particulier, lindustrie
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie

est strictement interdite. Editions T.I. SE 4 030 1
HAZOP : UNE MTHODE DANALYSE DES RISQUES ________________________________________________________________________________________
ptrolire caractrise par des dangers similaires ceux de lindustrie chimique

ou ptrochimique, mais aussi dans des industries o les dangers sont dune
autre nature, comme ceux rencontrs dans le nuclaire, lalimentaire et les
transports.
La mthode HAZOP est aborde en trois parties :
ce premier article [SE 4 030] est consacr aux dfinitions, objectifs et
domaines dapplication ;
le deuxime, [SE 4 031] en prsente le principe ;
le troisime, [SE 4 032] est consacr la mise en uvre et lillustration
de cette mthode.
Les rfrences bibliographiques sont regroupes dans la fiche documentaire
[Doc. SE 4 033].
Lanalyse des dviations fait lobjet dun enregistrement sous

1. Prsentation forme de tableaux des dviations, base indispensable pour la mise
en place ultrieure des actions recommandes par le groupe de
La gestion des risques est une exigence incontournable dans nos travail.
socits industrielles modernes pour lesquelles laccident majeur
est devenu inacceptable. En entreprise, limportance de la scurit Dans le cas de risques majeurs, la rglementation des sites
nest plus dmontrer. Le moyen le mieux adapt pour matriser industriels classs SEVESO impose une valuation du risque. La
les risques daccident est la sret de fonctionnement (SdF), mthode HAZOP conventionnelle, telle que dcrite plus haut,
laquelle est un ensemble de mthodes et de concepts ([1] [2]). comporte alors une estimation a priori de la probabilit dappari-
tion des dviations et de la gravit de leurs consquences. On
La mthode H AZO P(Haz ard and operability studies) sinscrit obtient une estimation semi-quantitative du risque, se poursuivant
dans la SdF en proposant une dmarche damlioration de la par une valuation permettant de dfinir lacceptabilit ou non du
scurit et des procds dun systme (installation industrielle risque. On qualifie alors la mthode HAZOP de probabiliste par
en projet ou existante). rapport lapproche originelle qualifie de dterministe .
Elle est traduite en franais dans la norme CEI 61882 (voir
[Doc. SE 4 033]). La mthode HAZOP est aujourdhui, parmi la soixantaine de
mthodes danalyses de risques existantes, lune des plus pra-
Cest un examen structur, en profondeur, rigoureux, systmatiques dans le monde.
tique, participatif, de type inductif, didentification des dangers et Les autres mthodes, parmi les plus utilises, sont :
des dysfonctionnements dun systme, mais qui ne propose pas de lAnalyse prliminaire de risques (APR) [3] ;
solution. Pour ce faire, le systme sige du danger est modlis lAnalyse des modes de dfaillance, de leurs effets
et analys pour dfinir comment son fonctionnement peut conduire (AMDE), et de leur criticit (AMDEC) [1] [4] ;
des drives par rapport lintention de son concepteur. lArbres de dfaillances (AdD) [1] [5] ;
La mthode est particulirement adapte aux systmes la What-if.
complexes de type thermo-hydrauliques, rencontrs sur des sites
industriels mettant en jeu des produits ou/et des procds dange-
Certaines de ces mthodes peuvent tre complmentaires (lAPR
reux, et entranant des consquences immdiates graves pour le
se situe avant lHAZOP), ou en concurrence entre elles. Un choix
personnel, la population, les biens et lenvironnement. Son
des mthodes simpose donc avant de lancer une tude HAZOP.
domaine dapplication comprend les procds et les processus
dans des secteurs aussi divers que la chimie, la ptrochimie (son
application originelle), le ptrole, lhydraulique, le nuclaire,
lindustrie alimentaire et les transports.
Sa mise en uvre ncessite la constitution dun groupe de tra-
2. Dfinition, objectifs
vail rassemblant autour dun animateur, garant de la mthode, une
quipe pluridisciplinaire ayant une connaissance approfondie de
et domaines dapplication
linstallation dcrite sur des plans dtaills. La mthode consiste
dcomposer le systme considr en sous-ensembles, appels 2.1 Dfinition et objectifs
nuds , puis laide de motscls, ou mots guides, spcifiques
la mthode, faire varier les paramtres du systme par rapport Dfinition
ses points de consignes, appeles intentions du procd .
La socit Chemetics International Ltd., dans son guide lintro-
On obtient ainsi une dviation dont lquipe examinera les
duction de la mthode HAZOP [10] retient la dfinition suivante.
causes possibles et en dduira leurs consquences potentielles
pour lensemble du systme, do lemploi frquent d analyse
des dviations pour caractriser la mthode HAZOP. Mthode HAZOP : ...application dun examen critJ ue
Lquipe se concentre alors sur les dviations conduisant des formel et systmatique aux intentions du procd et de ling-
risques potentiels pour la scurit des personnes, des biens et de nierie dune installation neuve ou existante afin dvaluer le
lenvironnement. Elle examine et dfinit ensuite les actions potentiel de danger li la mauvaise utilisation, ou au mauvais
fonctionnement, dlments dquipement et leurs effets sur
recommandes pour liminer, en priorit, la cause et/ou liminer
ou attnuer les consquences. linstallation dans son ensemble... .

SE 4 030 2 est strictement interdite. Editions T.I.
________________________________________________________________________________________ HAZOP : UNE MTHODE DANALYSE DES RISQUES
Objectifs Dommage
Lobjectif de la mthode HAZOP est, lorigine, didentifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) dfinit les notions de
dysfonctionnements de nature technique et opratoire dont dommage et de danger :
lenchanement peut conduire des vnements non souhaits. Il dommage : blessure physique ou atteinte la sant des
sagit donc de dterminer, pour chaque sous-ensemble ou lment personnes, aux biens ou lenvironnement ;
dun systme bien dfini, les consquences dun fonctionnement la notion de danger a fait lobjet dune dfinition plus spci-
hors du domaine dutilisation pour lequel ce systme a t conu. fique, dans la Directive SEVESO II concernant la matrise des dan-
La norme CEI 6 1882 (voir [Doc. SE 4 033]) dfinit les objectifs gers lis aux accidents majeurs impliquant des substances
de la mthode HAZOP originelle, savoir : dangereuses prsentes dans les Installations classes pour la pro-
tection de lenvironnement (ICPE) : danger : ...proprit intrin-
...identification des dangers potentiels dans le systme. Le sque dune substance dangereuse ou dune situation physue,
danger peut se limiter la proximit immdiate du systme ou de pouvoir provoquer des dommages pour la sant humaine et/ou
tendre ses effets bien au-del, comme dans le cas des dangers lenvironnement... .
environnementaux... ;
...identification des problmes potentiels dexploitabilit Exemples : une falaise (situation physique), un fl_on de lessive de
poss par le systme et, en particulier, lidentification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des dviations dans la lhomme (lment vulnrable) car ils peuvent provoquer des
production susceptibles dentraner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, br-
conformes... . lure grave dans le cas dun contact du corps avec la lessive de
soude).
Avec lapparition de la Directive SEVESO II et des nouvelles
exigences du ministre de lcologie et du dveloppement durable Sont rattaches la notion de danger les caractristiques
(MEDD) en matire de prvention des risques industriels, la suivantes :
mthode HAZOP originelle savre insuffisante pour lanalyse des
les proprits inhrentes une substance ou une prparation :
risques majeurs. Il faut lui adjoindre une phase dvaluation du ris-
inflammabilit, toxicit... ;
que. Cest ainsi que, de purement qualitative, la mthode HAZOP
devient semi-quantitative, contribuant ainsi amliorer la lnergie disponible dans le systme : pneumatique, poten-
connaissance du risque et, de ce fait, la scurit des installations. tielle...
Les raisons qui vont conduire engager une tude HAZOP sur On pourra rsumer la notion de danger en indiquant quil est
une installation industrielle peuvent rpondre de multiples objec- une caractristique dun systme, dune machine, dun atelier,
tifs qui sont en fait des exigences : dun procd, dune situation, ayant un certain potentiel cau-
satisfaire aux exigences de la politique Hygine-scurit- ser des atteintes aux personnes, aux biens, lenvironnement.
environnement (HSE) de lentreprise propritaire de linstal- Nous ajouterons quun danger est vrifiable et quantifiable.
lation ;
satisfaire aux exigences de lAdministration, reprsente, en
particulier, par les Directions rgionales de lIndustrie, de la On observera que de nombreuses substances ou prparations
recherche et de lenvironnement (DRIRE) : assurer la conformit non dangereuses peuvent le devenir lorsquelles se trouvent dans
avec la rglementation des Installations classes pour la protection dautres conditions.
de lenvironnement (ICPE), les codes du travail et de lenviron-
Exemple : leau la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, porte ds 6 0oC, elle le dev
ient.
tablir les plans durgence : Plan dopration interne (POI) pour
les installations industrielles, Plan durgence interne (PUI) pour les cette notion de danger peuvent tre associes les notions de :
installations nuclaires, tous deux tablis sous la responsabilit de potentiel de danger, phnomne dangereux, et situation de dan-
lexploitant, et le Plan particulier dintervention (PPI) et le Plan de ger.
prvention des risques technologiques (PPRT) tablis sous lauto-
rit du Prfet ; Potentiel de danger
renforcer la confiance des parties prenantes (stakeholders ) : La dfinition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; ...systme (naturel ou cr par lhomme) ou disposition adopte
satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) . Dans le domaine des
financirement le risque rsiduel. risques technologiques, un potentiel de danger correspond
un ensemble technique ncessaire au fonctionnement du proces-
sus envisag. Il est aussi appel source de danger ou lment
2.2 Notions de base porteur de danger ou lment dangereux... .
Exemple : un flacon contenant de la lessive de soude (systme)
2.2.1 Dfinition du danger et de ses corollaires constitue un potentiel de danger li la corrosivit de la substance
pour le corps humain.
Danger
Il existe plusieurs dfinitions de la notion de danger (hazard). La Phnomne dangereux
plus rcente mane du MEDD qui a publi, en octobre 2005, un La dfinition du phnomne dangereux retenue par le MEDD
Glossaire technique des risques technologiques [11] avec les est : ...libration dnergie ou de substance produisant des effets
termes suivants : au sens de larrt du 29 septembre 2005 susceptible dinfliger un
danger : proprit intrinsque une substance (lment ou dommage des cibles vivantes ou matrielles sans prjuger lexis-
compos chimique), un systme technique (mise sous pression tence de ces dernires... .
dun gaz), une disposition (lvation dune charge...), un orga-
nisme (microbes), etc., de nature entraner un dommage sur un Situation de danger
lment vulnrable ; La dfinition dune situation retenue par lINERIS est :
lment vulnrable : personne, bien et environnement. Un l- ...situation, si elle nest pas matrise, peut conduire lexpo-
ment vulnrable est aussi appel cible . sition de cibles un ou plusieurs phnomnes dangereux... .


des risques
Principe
par Michel ROYER
Ingnieur chimiste
1. Analyse du systme ................................................................................. SE 4 031 - 2

1.1 Objectifs de lanalyse................................................................................... 2
1.2 Dfinition du systme .................................................................................. 2
2. Paramtres et mots-cls......................................................................... 3
2.1 Paramtres.................................................................................................... 3
2.2 Mots-cls ou mots guides ........................................................................... 3
2.3 Dviations ..................................................................................................... 3
3. tude des dviations ............................................................................... 5
3.1 Logigramme de ltude ............................................................................... 5
3.2 Causes des dviations ................................................................................. 5
3.3 Consquences des dviations..................................................................... 7
3.4 Exemples de dviations, causes et consquences.................................... 7
4. Estimation et valuation du risque ..................................................... 8
4.1 Probabilit doccurrence.............................................................................. 8
4.2 Gravit des consquences .......................................................................... 10
4.3 Niveaux de risque ........................................................................................ 13
4.4 valuation du risque .................................................................................... 16
5. Dtection et barrires de scurit....................................................... 16
5.1 Dtection ....................................................................................................... 16
5.2 Barrires de scurit .................................................................................... 16
a mthode HAZOP (Hazard and operability studies) consiste dcomposer

L un systme donn en sous-ensembles appels nuds puis, laide de
mots-cls ou mots guides spcifiques (voir [SE 4 030]) et faire varier les para-
mtres du systme tudi par rapport ses points de consignes appels

intentions du procd . Les dviations ainsi obtenues sont examines par
une quipe pluridisciplinaire ddie (voir [SE 4 032]) afin den dduire leurs
consquences potentielles pour lensemble du systme et de dterminer celles
conduisant des risques potentiels pour la scurit des personnes, des biens
et de lenvironnement. Le groupe de travail examine et dfinit ensuite les
actions recommandes pour liminer en priorit la cause ou attnuer, voire
liminer les consquences. Lanalyse des dviations fait lobjet dun enregis-
trement sous forme de tableaux, base indispensable pour la mise en place
ultrieure des actions recommandes par le groupe de travail.
Dans cet article, nous aborderons donc lanalyse du systme, la dtermina-
tion des paramtres, le choix des mots- cls et ltude des dviations.
Aprs avoir prsent la mthode HAZOP et ses domaines dapplication dans
larticle [SE 4 030], le principe en est donc ici donn avec les diffrents points
prendre en compte.
Par la suite dans [SE 4 032], nous verrons comment cette mthode peut tre
applique. Les rfrences bibliographiques ici cites sont consultables dans la
fiche documentaire [Doc. SE 4 033].

La modlisation la mieux adapte pour lanalyse de risque par la

1. Analyse du systme mthode HAZOP est le schma dtaill de circulation des produits
tels que prsents dans linstallation considre, do lemploi fr-
1.1 Objectifs de lanalyse quent danalyse scurit sur schmas . Ce type de schma dit
PID , trs rpandu dans lindustrie chimique et ptrochimique,
Lanalyse du systme a pour objectif le maintien de ses perfor- comprend une reprsentation graphique de lensemble des appa-
mances dans le temps, dans les conditions de sa conception et au reils et quipements, des tuyauteries les reliant entre eux (flux pro-
moindre cot. Pour cela, il convient, comme pour toute tude de cds, mais aussi utilits), ainsi que la totalit de linstrumentation.
SdF, de procder une modlisation du comportement fonction- Le PID est, par dfinition, plus complet que le schma dit PFD
nel et dysfonctionnel du systme, puis valuer ses performances. qui se limite la reprsentation des flux procds et linstrumen-
tation de base.
La scurit des processus industriels dpend de linteraction, La modlisation dune installation industrielle peut requrir plu-
du contrle et de la matrise permanente de trois variables sieurs dizaines de PID. partir dun PID, il convient alors de le frac-
essentielles : le produit, le procd et le facteur humain. tionner en nuds dont on donnera la dfinition suivante pour
une installation : sous ensemble ou lment spcifique ralisant
une fonction dans le procd.
1.2 Dfinition du systme Exemple : un quipement (racteur, rservoir ou pompe) avec ses
connexions (tuyauteries) et son instrumentation ralise une fonction
1.2.1 Notion de systme (raction, stockage ou transfert).
La notion de systme fait lobjet de la dfinition suivante [1] : Le tableau 1 prsente une liste de seize quipements issus du
...ensemble de matriels, de logiciels, dhommes, organis pour projet europen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions donnes dans des conditions donnes... . nuds.
Le systme est constitu de lensemble du processus industriel, Dans un nud, le comportement fonctionnel du procd doit
de lacheminement des produits leur transformation, en passant tre clairement dfini, ce que la mthode HAZOP qualifie
par les conditions de stockage. d intention du procd et qui peut se dfinir simplement ainsi :
...description de la faon dont le procd doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nud... .
industriel), un quipement, sont parmi les systmes le plus souvent
considrs pour les tudes HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une dfini-
tion plus prcise en se rfrant au concepteur de linstallation :
...faon dont les lments et les caractristues doivent se
1.2.2 Primtre du systme comporter pour tre conformes aux dsirs du concepteur ou une
plage spcifie... .
La premire des actions engager dans une tude HAZOP est
de fixer le primtre du systme tudier. Les enjeux et les
moyens humains mettre en uvre sont diffrents selon que lon
sadresse un site, une installation, ou un quipement. Tableau 1 C lasses dquipements
selon le projet europen ARAMIS (daprs [18])
1.2.3 Modlisation du systme Classes

quipements
nuds
La deuxime action consiste modliser le systme. Une instal-
lation industrielle peut tre modlise comme un ensemble EQ1 Silo de stockage de solides
compos essentiellement de matriels (M1, M2...) et doprateurs
(O1, O2...) en interaction entre eux et avec lenvironnement comme EQ2 Stockage de solides en petits emballages
le prsente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matriels et oprateurs les lments suivants : EQ4 Rservoir sous pression
matriels : btiments, stockages, machines, appareils, quipe- EQ5 Rservoir de liquide stock une pression
ments ; suprieure la pression de saturation
oprateurs : tous les acteurs de linstallation, de la direction par inertage
aux excutants.
EQ6 Rservoir atmosphrique
EQ7 Rservoir cryognique
EQ8 quipement de transport sous pression
EQ9 quipement de transport atmosphrique
EQ10 Tuyauterie
EQ11 Rservoir intermdiaire intgr dans un procd
EQ12 quipement impliquant des ractions chimiques
EQ13 quipement ddi aux sparations physiques
et chimiques des substances
EQ14 quipement de production et de fourniture
dnergie
EQ15 quipement pour emballage
Figure 1 Exemple de modlisation dune installation industrielle EQ16 Autres quipements

_________________________________________________________________________________________ HAZOP : UNE MTHODE DANALYSE DES RISQUES
La norme entend par caractristique une proprit quantitative Depuis, se sont ajouts quatre mots-cls relatifs aux notions de
ou qualitative dun lment . temps et de squence :
Lintention concerne aussi bien le design (quipement) que la plus tt que (earlier than) ;
conduite (exploitation) de linstallation. plus tard que (later than) ;
Lintention du procd peut tre une grandeur physique (T, P, avant (before) ;
dbit), ou une activit (phases de chargement dun ractif, distilla- aprs (later).
tion dun produit). Soit un total aujourdhui de onze mots-cls. La recherche
Le premier cas concerne plus particulirement les procds dautres mots-cls est ouverte limagination.
continus en fonctionnement normal o les paramtres sont fixs
par le procd et le second cas les procds discontinus ou 2.3 Dviations
semi-continus o les paramtres varient avec le temps et la
squence. On intgrera dans ce dernier cas ltude des phases 2.3.1 Dfinition
transitoires de dmarrages et darrts rencontres dans les proc-
ds continus. La combinaison de mots-cls et de paramtres va constituer une
drive, ou dviation, de ce paramtre :
MOT-CL + PARAMTRE = DVIATION

2. Paramtres et mots-cls
La dfinition retenue pour la mthode HAZOP est : ...cart par
2.1 Paramtres rapport aux intentions du design et de la conduite des
oprations... [10].
La mthode HAZOP fait appel des paramtres spcifiques qui
Exemple : le paramtre grandeur physique temprature appli-
sexpriment par de simples mots (noms ou verbes) caractris-
qu au mot-cl plus de conduit la dviation plus de
tiques de lintention de la conception et que lon peut dfinir ainsi :
temprature , sous-entendu par rapport lintention du procd,
g randeur physiquement mesurable, action ou opration
dviation qui sexprimera plus clairement par temprature haute .
raliser . Le tableau 2 regroupe des listes de paramtres parmi
les plus frquemment employs dans lindustrie des procds. De la mme faon, le paramtre opratoire agitation appliqu
au mot-cl pas de conduit la dviation pas dagitation .
On observera que lhomme est partie prenante dans les op-
rations et les actions raliser. On conoit donc aisment que On notera que ltat de rfrence du paramtre soumis
son rle dans la scurit des installations soit dterminant. dviation dpend notamment de ltat du systme considr :
fonctionnement normal ou transitoire (dmarrage, arrt).
2.2 Mots-cls ou mots guides 2.3.2 Domaines dapplication

Paralllement, la mthode introduit un nombre limit (sept Les dviations peuvent sappliquer aux procds continus
lorigine) de mots-cls appels aussi mots guides et dfinis ori- (tableau 3), discontinus et semi-continus (tableau 4) et aux proc-
ginellement ainsi [10] : ds en dveloppement (tableau 5). Ces tableaux, issus respective-
...simple mot ou courte phrase qualifiant lintention en vue de ment des rfrences [10] et [19], reprennent les mots-cls adapts,
guider et de stimuler le processus cratif et ainsi de permettre la leur signification, ainsi que des exemples de dviations.
dcouverte de dviations... . Toutes les combinaisons paramtres/mots-cls ne conduisent
Liste des sept mots-cls (keywords) : pas ncessairement des dviations pertinentes.
non ou pas de (no ou not) ; Exemple : le paramtre temprature appliqu au mot-cl Pas
plus de (more) ; de conduit la dviation Pas de temprature , non pertinente
moins de (less) ; hormis si lon considre le zro absolu !
en plus de (as w ell as) ;
en partie (part of) ; Le tableau 6 montre plus gnralement les dviations pertinen-
autre que (other than) ; tes notes X issues des onze mots-cls et de douze paramtres (six
inverse (reverse). grandeurs physiques, trois oprations et trois actions raliser).
Tableau 2 Exemples de paramtres de la mthode HAZOP

Grandeurs physiques
Oprations raliser Actions raliser Fonctions-situations
mesurables
Temprature pH Chargement Contrle Dmarrer Protection
Pression Intensit Dilution Sparation chantillonner Fuite
Niveau Vitesse Chauffage Refroidissement Arrter Dfaut dutilits
Dbit Frquence Agitation Transfert Isoler Gel
Concentration Quantit Mlange Maintenance Purger Sisme
Contamination Temps Raction Corrosion Fermer Malveillance

Tableau 3 Liste de mots-cls applicables aux procds continus

Types de Mots-cls Signification des mots-cls
Exemples de dviations
dviations (Keywords) et commentaires
Pas de, Non, Plus du tout Aucune partie de lintention nest remplie, Pas de flux matire (dbit nul), racteur
Ngative
(No, Not, None) mais il ne se passe rien. vide (niveau liquide nul).
Dpassement, ou augmentation,
Temprature de raction suprieure la
quantitatif.
Plus de valeur prvue, temps de sjour plus long
Se rfre aux quantits et aux proprits (T,
(More than) que prvu, niveau liquide trop lev,
P), mais aussi aux activits (chauffage, rac-
Modification augmentation du chauffage.
tion).
quantitative
Insuffisance ou diminution quantitative. Flux matire infrieur la valeur prvue,
Moins de Se rfre aux quantits et aux proprits (T, niveau trop bas dans un racteur,
(Less than) P), mais aussi aux activits (chauffage, rac- composition plus faible quattendue,
tion). diminution du chauffage.
Accroissement qualitatif. Prsence dune impuret dans une matire
Aussi, Ailleurs, En plus de Lintention (design et opratoire) premire ou dans un produit de raction,
Modification (Also, As well as) est ralise avec une activit additionnelle. orientation dun produit vers un autre bac
qualitative Effet concomitant indsirable. de stockage que le sien (contamination).
En partie, en moins Diminution qualitative. Prsence dune phase aqueuse au stockage
(Part of) Une partie seulement de lintention est ralise. dun des ractifs, entrane en raction.
Autre que Substitution complte. Fuite de produit par corrosion
(Other than) Rsultat obtenu diffrent de celui de lintention. de canalisation.
Substitution Rsultat logiquement oppos celui de linten-

Inversion de lcoulement dans
Inverse, au contraire tion.
les canalisations, inversion des ractions
(Reverse) Se rfre principalement aux activits, mais
chimiques, antidote au lieu de poison.
aussi aux substances.
Tableau 4 Liste de mots-cls spcifiques aux procds discontinus et semi-continus

Types de Mots-cls,
Signification des mots-cls Exemples de dviations
dviations (Keywords)
Plus tt que vnement se produisant avant lheure (ou le Introduction des ractifs A et B ralise
(Earlier than) moment) prvu par lintention plus tt que la mise en chauffe du racteur
Temps
Plus tard que vnement se produisant aprs lheure (ou le Introduction du catalyseur C dans
(Later than) moment) prvu par lintention le racteur aprs laddition du solvant S
Avant vnement se produisant plus tt que prvu Introduction du catalyseur C dans le
(Before) dans une squence racteur avant le dmarrage de lagitation
Ordre
Aprs vnement qui se produit plus tard que prvu
Introduction du ractif B avant le ractif A
(After) dans une squence
Plus vite Dure dintroduction dun des ractifs deux
Squence plus rapide que lintention
(Faster) fois plus rapide que prvue
Squence
Plus lente Allongement de la dure de la vidange
Squence plus lente que lintention
(Slower) du racteur en fin dopration
Tableau 5 Liste de mots-cls applicables aux procds en cours de dveloppement

Types de Mots-cls
dviation (Keywords)
Pas de, Non, Plus du tout Aucune partie de lintention nest
Ngative limination dun solvant ou dun catalyseur
(No, Not) remplie
Augmentation de la temprature de raction
Plus de (More) Augmentation quantitative
Modification ou de la quantit dun solvant
quantitative Rduction de la temprature ou de la quantit
Moins de (Less) Rduction quantitative
de solvant

_________________________________________________________________________________________ HAZOP : UNE MTHODE DANALYSE DES RISQUES
Tableau 5 Liste de mots-cls applicables aux procds en cours de dveloppement (suite)

Types de Mots-cls
dviation (Keywords)
Modification Autant que, Aussi, En Activit concomitante celle de Prsence dune impuret contenue dans une matire
qualitative mme temps (As well as) lintention premire, excution dune autre opration ou tape
Activit substitue celle de Substitution dune matire premire ou dun solvant
Autre que (Other than)
lintention par une autre matire premire ou un autre solvant
Substitution
Activit oppose celle de Flux inverse de matire ou inversion de raction
Inverse (Reverse)
lintention chimique
Activit se produisant
Plus tt que, Plus tard que
Temps au mauvais moment (avant Changement des enchanements ou des squences
(Earlier than, Later than)
ou aprs dautres activits)
Tableau 6 Exemple de matrice mots-cls/paramtres HAZOP

Mots-cls
Paramtres HAZOP Pas Plus Moins En Autre Plus Plus
Aussi Inverse Avant Aprs
de de de partie que tt tard
Temprature X X X
Pression X X X
Grandeurs Niveau X X X X
physiques Dbit X X X X X X X X X X X
Concentration X X X X X
Contamination X X X X X
Chargement X X X X X X X X X X
Oprations Agitation X X X X X X X X X X
Chauffage X X X X X X X X X X
Dmarrer X X X X X X X
Actions Mesurer X X X X X X X
Arrter X X X X X X X
3. tude des dviations environnement. Cette approche est commune de nombreuses

mthodes comme le montre le tableau 7.
Les causes des dviations sont les raisons ou problmes pour
3.1 Logigramme de ltude lesquels ces dviations ont lieu.
Cette phase de ltude constitue le cur de la mthode HAZOP. Le tableau 8 prsente divers types de causes possibles de dvia-
Par un mcanisme itratif sur chacun des nuds, lassociation sys- tions, leur origine et des exemples.
tmatique paramtres/mots-cls doit permettre de couvrir de
faon exhaustive toutes les drives potentielles ou problmes ima- On notera que les dfaillances oprateur peuvent recouvrir de
ginables dans linstallation tudie. Le logigramme de ltude des nombreux aspects correspondant aux erreurs humaines. Lhomme
dviations HAZOP est prsent la figure 2. intervient comme vnement initiateur daccident, dautant plus
quil est aussi responsable des dfaillances de matriel.
Remarque. Il est possible de conduire lanalyse des dviations
en appliquant, linverse, un mot-cl chacun des paramtres. La cause fondamentale de ces dfaillances humaines est lie
une mauvaise gestion de la scurit.
3.2 Causes des dviations

3.2.2 Recherche des causes de dviations
3.2.1 Dfinitions et origine
La recherche des causes de dviations de chaque paramtre
La mthode HAZOP danalyse de risques procde selon une ncessite de se poser systmatiquement la question suivante : que
dmarche dite inductive , partant de la cause de la dviation faut-il faire pour que le paramtre tudi soit diffrent de celui de
dun paramtre afin didentifier ses effets sur le systme et son lintention ?


des risques
par Michel ROYER

Ingnieur chimiste
1 . Mise en uvre de la mthode............................................................... SE 4 032 - 2

1.1 Documentation ............................................................................................. 2
1.1.1 Documents relatifs aux produits........................................................ 2
1.1.2 Documents relatifs au procd .......................................................... 2
1.1.3 Documents relatifs aux oprations.................................................... 2
1.2 Acteurs .......................................................................................................... 2
1.2.1 Mise en place du groupe de travail ................................................... 2
1.2.2 Le chef de projet.................................................................................. 3
1.2.3 Lanimateur HAZOP ............................................................................ 3
1.2.4 Les spcialistes techniques ................................................................ 4
1.2.5 Autres fonctions .................................................................................. 4
1.2.6 Rgles de conduite de lquipe .......................................................... 4
1.3 Droulement ................................................................................................. 4
1.3.1 Prparation des sessions.................................................................... 4
1.3.2 Sessions HAZOP ................................................................................. 5
1.4 Dlivrables .................................................................................................... 7
1.4.1 Recommandations dactions.............................................................. 7
1.4.2 Documents de fin de session ............................................................. 8
1.4.3 Document de fin dtudes .................................................................. 8
2 . Illustration de la mthode...................................................................... 8
3 . C
.................................................................................................. 10
omme nous lindiquions dans le dossier [SE 4 030], la mise en uvre de

C la mthode HAZOP (Hazard and operability studies) ncessite la
constitution d'un groupe de travail rassemblant autour d'un animateur, garant
de la mthode, une quipe pluridisciplinaire ayant une connaissance appro-
fondie de linstallation dcrite sur des plans dtaills. Elle demande donc la
mobilisation dune quipe pluridisciplinaire pendant de longues priodes, et la
collecte de nombreux documents pour modliser linstallation [SE 4 031].
Dans ce troisime volet consacr la mise en uvre de la mthode HAZOP,
une prsentation des diffrentes composantes de lquipe de travail est faite
aprs avoir tabli la liste des diffrents documents runir. Sont ensuite
abords le droulement des diffrentes runions de travail et les documents
finaux produire. Enfin, une courte illustration dapplication est donne.
Les rfrences bibliographiques sont regroupes dans la fiche documentaire
[Doc. SE 4 033].

est strictement interdite. Editions T.I. S E 4 0 3 2 1
1. Mise en uvre 1.2 Acteurs

de la mthode 1.2.1 Mise en place du groupe de travail
Exemple : cas dun projet dindustrialisation
1.1 Documentation Pour un projet rendu au stade avanc correspondant aux phases
dingnierie de dtail et de construction, lentreprise (matre
douvrage) doit mettre en place une organisation approprie, du type
1.1.1 Documents relatifs aux produits de celle prsente par la figure 1 [9].
Le tableau 1 dtaille les cinq thmes majeurs documenter,

ainsi que la nature des documents collecter. Nombre de docu-
ments doivent tre dj disponibles si lon a procd pralable- Comit de Matre d'ouvrage Environnement
ment une APR (Analyse prliminaire de risques). pilotage (entreprise) socio conomique
Directeur de projet
1.1.2 Documents relatifs au procd Reprsentant du
Matre d'ouvrage
Le tableau 2 dtaille les thmes documenter, ainsi que la
Chef de projet
nature des documents collecter. Exploitant
(matre d'oeuvre)
- socit d'ingnierie Site d'accueil
- entrepreneurs Oprateurs
1.1.3 Documents relatifs aux oprations - spcialistes
Le tableau 3 dtaille les thmes documenter, ainsi que la Figure 1 Schma de lorganisation mettre en place pour mener
nature des documents collecter. un projet dindustrialisation
Tableau 1 Liste des documents collecter relatifs aux produits pour une tude HAZOP
Thmes documenter Documents collecter
Fiches produits* : proprits physiques, chimiques
Matires premires, intermdiaires, thermodynamiques, inflammabilit, ractivit, instabilit,
Caractristiques produits finis, sous-produits, impurets, toxicit, cotoxicit, modes de stockage, indices Dow et
des produits et utilits auxiliaires (solvants, catalyseurs), utilits, CHETAH, PEM, critres NFPA, traitement et destruction
dchets, rejets liquides et gazeux des produits, rglementation (ICPE, transport.).
Document unique
Caractristiques
Rejets, dchets chroniques et accidentels tudes dchets
des dchets
Fiches ractions : quations chimiques, chaleurs de raction
(exo ou endo-thermie), oprations (continues, discontinues,
semi-continues...), modes opratoires (tat physique, quantits,
flux, T, P, compositions...), cintique, risques associs
Caractristiques Ractions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des ractions parasites
matrise des ractions, mesures de prvention des pannes et
fausses manuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans lenvironnement
Fiches oprations : nature (distillation, filtration...), conditions
opratoires (tat physique, quantits, flux, T, P, compositions,
phases...), risques associs (explosion physique, rejet de
Caractristiques
Oprations de gnie chimique produit toxique...), mesures de prvention des pannes et des
des sparations physiques
fausses manuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans lenvironnement
Incompatibilits Matrice dincompatibilit : risques associs raction,
Produit-produit, produit-matriau,
des produits, utilits et explosion, incendie, polymrisation, corrosion, chauffement,
produit-utilit, produit-auxiliaire
matriaux dcomposition, prcipitation...
Bilan matires : flux par flux, prvisionnel et cohrent
Flux matires et flux Bilan matires
(par analyse de chacun des flux), bilan thermique par nud ou
thermiques Rejets dans lenvironnement
opration
* On se procurera auprs des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de donnes de scurit (ou FDS (MSDS))
jour et, auprs de lINRS, les fiches toxicologiques des produits (quand elles existent).

AMDE (C)
par Yves MORTUREUX

Expert en sret de fonctionnement la Direction dlgue Systme dexploitation et
scurit la SNCF
Vice-prsident de lInstitut de sret de fonctionnement
1. Introduction............................................................................................... SE 4 040 2
2. Sens et pertinence de lAMDE(C)......................................................... 2
2.1 Principe de lAMDE(C) ................................................................................. 2
2.2 Utilit de lAMDE(C) ..................................................................................... 2
2.3 Conditions de russite de lAMDE(C) ......................................................... 3
2.4 Place de lAMDE(C) dans une dmarche de matrise des risques ........... 3
3. Ralisation dune AMDE(C) ................................................................... 4
3.1 Prparation lAMDE(C).............................................................................. 4
3.2 Conduite de la mthode.............................................................................. 5
3.2.1 Premire tape : dcomposition et modes de dfaillance .............. 5
3.2.2 Deuxime tape : effets et criticit .................................................... 6
3.2.3 Le tableau AMDE(C) ........................................................................... 6
3.2.4 Troisime tape : synthse ................................................................ 7
4. Exploitations de lAMDE(C) ................................................................... 7
4.1 Produits directs dune AMDE(C)................................................................. 7
4.1.1 valuation des dfaillances................................................................ 7
4.1.2 Actions correctives ............................................................................. 7
4.1.3 Suivi des corrections .......................................................................... 8
4.1.4 Constitution dun dossier. Documents complmentaires du
tableau ................................................................................................. 8
4.2 Impacts de lAMDE(C).................................................................................. 8
4.2.1 Consquences tirer des rsultats dune AMDE(C) ........................ 8
4.2.2 Impacts sur la conception.................................................................. 9
4.2.3 Validation de la conception ............................................................... 9
4.2.4 Prescriptions dexploitation ............................................................... 9
4.2.5 Organisation de la maintenance ....................................................... 9
4.2.6 Exploitation, maintenance et retour dexprience........................... 9
4.2.7 Communication .................................................................................. 9
5. Recommandations sur le processus ................................................... 10
5.1 changes entre lanalyste, le commanditaire et les experts .................... 10
5.2 Lanimation du groupe de travail................................................................ 10
5.3 Pousser les limites de la mthode ............................................................. 11
5.4 Soigner la synthse ..................................................................................... 11
6. Limites de lAMDE(C) .............................................................................. 11
6.1 Rputation dexhaustivit de lAMDE ........................................................ 11
6.2 Domaines dapplication .............................................................................. 11
7. Conclusion ................................................................................................. 12
Pour en savoir plus........................................................................................... Doc. SE 4 040
e texte a pour ambition de prsenter la dmarche et les mthodes AMDE

C
(analyse des modes de dfaillance et de leurs effets)/AMDEC (analyse des

modes de dfaillance, de leurs effets et de leur criticit), non pour faire double
Techniques de lIngnieur SE 4 040 1
AMDE (C) _____________________________________________________________________________________________________________________________
emploi avec les nombreux fascicules, articles, supports de formation ou chapitres

douvrages consacrs la qualit ou la sret de fonctionnement qui dcrivent
lAMDE(C). Lauteur a tent de recueillir et de restituer la riche exprience de plu-
sieurs spcialistes qui ont pratiqu ces mthodes dans des contextes divers.
Aussi la valeur quil espre avoir ajoute est-elle forme surtout de commentai-
res et de recommandations visant aider mieux comprendre et mieux utiliser
ces mthodes trs largement rpandues.
Ce dossier commence par situer lAMDE(C) dans son environnement, lui don-
ner son sens. Ensuite, il aborde le droulement de la dmarche ; puis il illustre
lusage de ces mthodes avant de mettre en avant les principales recomman-
dations et limites. Un exemple plus scolaire pour tre bref rend concrte la
dmarche avant de conclure.
1. Introduction 2. Sens et pertinence

de lAMDE(C)
LAMDE et lAMDEC sont si connues et utilises quelles sont pra-
tiquement devenues le symbole de la sret de fonctionnement.
LAMDE (analyse des modes de dfaillance et de leurs effets) tant 2.1 Principe de lAMDE(C)
incluse dans lAMDEC (analyse des modes de dfaillance, de leurs
effets et de leur criticit), nous parlerons dans ce texte gnrale- Ne perdons jamais de vue le principe de lAMDE.
ment dAMDEC ou dAMDE(C). Cette dmarche est effectivement
trs utilise et trs utile dans toute approche des risques. Pourtant, il
Principe de LAMDE
ne faudrait pas confondre analyse des risques et AMDE(C) ou
Point de dpart : dcomposition du systme en compo-
croire que toute analyse de risque passe par une AMDE(C).
sants.
Notre but nest pas de minimiser les apports de cette mthode la tape 1 : recensement des modes de dfaillance des compo-
sret de fonctionnement, bien au contraire, mais il faut nanmoins sants.
lui redonner sa vraie place. Si la plupart des mthodes mritent une tape 2 : effets et consquences des modes de dfaillance
certaine promotion tant elles peuvent apporter plus que lusage qui des composants.
en est fait habituellement, lAMDE(C) bnficie au contraire dune Sortie : risques dcoulant des dfaillances des composants.
rputation extraordinaire au point que certains dirigeants industriels
voulant exprimer lexigence dune tude de risques avant mise en LAMDE est une mthode inductive qui part des dfaillances l-
service dun systme complexe et innovant ont crit quune mentaires des composants pour en dduire ce qui en rsulte et donc
AMDE(C) du systme devait tre ralise. quelles situations, dues ces dfaillances, il faut sattendre.
LAMDEC ajoute une dimension dvaluation de la gravit de ces
Nous nous attacherons dans ce texte expliquer de notre mieux situations.
le sens et la pertinence de lAMDE(C), dcrire le processus de ra-
LAMDE(C) consiste identifier et valuer limpact des dfaillan-
lisation dune AMDE(C) utile et rappeler les recommandations les
ces des lments du systme sur celui-ci, ses fonctions, son
plus importantes issues de lexprience pour russir une AMDE(C) environnement.
de faon quelle soit utile.
Le contenu de ce dossier doit tout aux membres de feu lInstitut

de Sret de Fonctionnement et aux membres de lactuel Institut de 2.2 Utilit de lAMDE(C)
Matrise des risques par la Sret de fonctionnement qui ont par-
tag leurs savoirs et leurs expriences dont lauteur de ce dossier a Comme avec toute mthode, on est beaucoup plus efficace quand
largement bnfici. Les membres du Groupe de Travail et de on comprend le but de la dmarche que quand on se contente
Rflexion Mthodes, Outils Standards ont particulirement tra- dappliquer les rgles dun manuel si bon soit-il. Aussi est-il plus
vaill sur cette mthode AMDE(C) et sont auteurs dun guide pda- profitable de conduire une AMDE(C) en fonction de lusage qui va en
gogique qui lui est consacr et dont lauteur de ce dossier sinspire tre fait quen application dune consigne ou dune exigence
contractuelle ou rglementaire du type raliser une AMDE(C) sur
au mme titre que de leurs expriences et conseils pour ce texte.
le systme conformment la norme X .
Quils en soient remercis comme ils le mritent ici.
Nous ne pourrons faire le tour de tous les usages possibles dune
En anglais, la mthode est connue sous le sigle FMECA (Failure AMDE(C), mais nous en voquerons quelques-uns caractristiques.
Modes Effects and Criticality Analysis) ou FMEA. LAMDE(C) identifie les problmes auxquels exposent les dfaillan-
ces internes du systme tudi. En tenant compte des limites de la
On considre gnralement que la mthode est apparue fin des mthode auxquelles nous reviendrons plus tard, cela permet :
annes 1950, dbut des annes 1960 dans lindustrie aronautique dvaluer la gravit des situations auxquelles il faudra peut-
militaire amricaine. tre faire face ;
SE 4 040 2 Techniques de lIngnieur
____________________________________________________________________________________________________________________________ AMDE (C)
dvaluer globalement les risques auxquels les dfaillances produit , AMDEC processus ou AMDEC moyen et bien
des composants exposent ; dautres encore. Il importe surtout de bien simprgner de lesprit de
didentifier et de hirarchiser les faiblesses du systme ; la dmarche qui est exactement le mme.
de prvoir la maintenance corrective ncessaire ;
dvaluer lintrt de modifications de la conception ou de
maintenance prventive pour rduire ces risques ;
de prvoir des mesures dexploitation adaptes aux situations
2.3 Conditions de russite de lAMDE(C)
venir ;
de hirarchiser limportance des rgles dexploitation et de
LAMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont runies :
dintgrer dans une vision globale du systme les comptences
des diverses sciences et techniques sollicites par le systme en fai- il faut savoir dcomposer lensemble du systme tudi en
sant dialoguer les spcialistes de celles-ci. composants dun niveau de finesse tel que chaque composant on
sache associer tous les modes de dfaillance qui peuvent laffecter ;
LAMDE, applique un produit destin au grand public, incluant
comme composant lutilisateur et lui associant comme modes il faut connatre les fonctionnements du systme pour pouvoir
de dfaillance les mauvais usages, erreurs ou manques de soin dcrire ce qui se passe quand apparat un mode de dfaillance dun
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chane de la cause vers les consquences.
dimaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, lAMDE(C) va se drouler au mieux et pro-
il sexpose du fait des dfaillances, intrinsques ou induites par son duire les rsultats attendus !
action, de lappareil. Sur cette base, lentreprise, qui commercialise
le produit, peut ajouter une dimension criticit ces vnements Il faut combattre avec fermet lillusion assez rpandue que, en
(responsabilit du constructeur du fait du produit en cas daccident, prsence dun systme mal connu ou qui nous apparat comme une
perte de clientle, perte dimage, cot daprs-vente) et valuer bote noire , une AMDE(C) serait bienvenue pour se couvrir. Une
lintrt de mesures de rduction de risque (avertissements sur la AMDE(C) sur un systme dont on ne connat pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de dtrom- ments est un leurre. Si laura de la mthode donne de lassurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, cest de la tromperie. Comme toute
retrait du march). mthode, lAMDE(C) exploite de linformation, elle nen cre pas
partir de rien.
LAMDEC, applique une chane de production, permet de hi-
rarchiser et de valoriser les consquences des dfaillances des
pices composant la chane et, en consquence, dvaluer lintrt :
des stocks de pices de rechange ; 2.4 Place de lAMDE(C)
de modifications de la chane pour rduire les temps de rem- dans une dmarche de matrise
placement de certaines pices ; des risques
de renforcer ou dallger la maintenance prventive sur telle
ou telle pice ;
de choisir tels ou tels points de contrle pour garantir la qualit Si on fait le bilan des expriences russies ici et l, on trouvera
du produit fini de faon optimale ; lAMDE(C) pratiquement tous les stades du cycle de vie dun
de payer plus cher des pices plus fiables ; systme. Toutefois, on peut souligner le caractre peu prs
de doubler tout ou partie de la chane ; incontournable de lAMDE(C) la fin de la conception, la charnire
de privilgier une srie ou un fournisseur pour telle ou telle avec la ralisation ou lexploitation et la maintenance. En effet,
pice quand le systme est dcrit de faon prcise, les composants choi-
sis, lAMDE(C) sapplique merveille pour complter la
LAMDE applique lalimentation lectrique dun important
connaissance des fonctionnements (fonctionnements souhaits
domaine, a permis didentifier toutes les dfaillances lmentaires
dcrits par la conception) avec les fonctionnements non souhaits,
susceptibles de provoquer des consquences sensibles sur lalimen-
mais invitables du fait quaucun composant nest infaillible. Il faut
tation dun tablissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut rsulter des dfaillances des
cune de ces dfaillances pour sassurer que des prcautions taient
composants choisis. ce stade, les spcialits diverses sollicites
prises pour que une ou deux dfaillances simultanes naient pas de par la conception ont d runir leurs apports et cest une caractris-
consquences dommageables. Le caractre systmatique de tique intressante de lAMDE(C) de runir et faire dialoguer les
lAMDE a permis didentifier quelques cas qui ntaient pas bien cou-
connaissances (modes de dfaillance et comportements des divers
verts et de renforcer les prcautions.
lments du systme) de toutes les spcialits.
Du seul point de vue dun fabricant, lAMDEC sapplique plu-
Exemple : quelle dfaillance peut affecter lalimentation lectrique
sieurs systmes . Elle sapplique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
rsultats vont alors permettre damliorer la conception de ce pro-
fluide qui se traduit comment sur la temprature qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits lectroniques qui produit quel rsultat sur le traitement des
client. Elle sapplique aussi au processus de fabrication du produit.
donnes, etc.
Ses rsultats permettent damliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des ce stade, lAMDE(C) permet de sassurer que les consquences
dlais, conformit de la fabrication) et matriser les risques de la des dfaillances internes au systme sont compatibles avec les
production (rebuts, pertes de production). Enfin lchelle inf- objectifs ou de reprendre la conception pour y remdier.
rieure, elle sapplique chacun des moyens de production. Ses
rsultats vont influer sur les exigences lgard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de rduire les impacts ngatifs (autorisons-nous ce nologisme pour dsigner les quipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description raliste du systme tel
tudes diffrentes, mais dont les enjeux et les rsultats ne sont pas que les concepteurs lont tudi. Non seulement ce quon en attend
totalement indpendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spcifications techniques de
entre les quipes menant ces analyses. On emploie couramment besoins) mais aussi ce quon a accept de ngatif dcrit et valu
des termes diffrents pour dsigner ces analyses comme AMDEC dans lAMDE(C).
AMDE (C) _____________________________________________________________________________________________________________________________
Toutefois, on pratique aussi souvent lAMDE(C) sur un systme dpendent trs lourdement des dysfonctionnements des moyens de
ancien ou achet sur tagre pour anticiper les pannes et optimiser production ; cest pourquoi lAMDE(C) est trs utilise avec grand
les ractions ces pannes (maintenance mais pas seulement). On bnfice sur les moyens de production.
trouve aussi lAMDE(C) comme un moyen dans une dmarche dAPR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse prliminaire de risques), cf. [SE 4 010] Analyse prliminaire
de risques. LAPR ayant globalement comme objectif didentifier les En prsence dun systme complexe qui passe par diverses
risques ncessitant une dmarche spcifique et de proposer une phases ou diverses configurations lAMDE(C) unique qui couvre
dmarche de maintien de ces risques un niveau acceptable, une tous les cas devient pratiquement trs difficile raliser, encore plus
AMDE(C) sur une partie du systme est la dmarche adquate si les difficile exploiter et le risque dtre gravement incomplte est trs
dfaillances des composants du systme sont susceptibles dtre lev : au moment de lanalyse, il est fort craindre que les diverses
lorigine de risques importants. Ces deux exemples illustrent le fait configurations naient pas t rellement envisages. Il est plus
quon peut trouver utilit lAMDE(C) aussi bien trs en amont que sage de raliser plusieurs AMDE(C) par phase ou par configuration,
trs en aval dun cycle de vie. quitte sinterroger sur la ncessit de les tudier toutes par une
AMDE(C).
Enfin, on doit mme souligner lintrt de dmarrer une AMDE(C)
trs tt dans le dveloppement dun nouveau produit ou service : Le critre de sagesse est dviter que, au moment de rpondre
avant mme de savoir prcisment comment une fonction sera ra- la question quels sont les effets de tel mode de dfaillance ? , la
lise, donc avant de connatre vraiment les composants et leurs rponse pertinente commence par a dpend de .
modes de dfaillance, on peut mettre des hypothses et imaginer
les consquences des dfaillances envisages. Cette dmarche a
trs souvent permis damliorer considrablement la compltude
des spcifications. En effet, sil est naturel dexprimer ce quon
attend dun nouveau systme, il nest ni naturel ni facile dexprimer
3. Ralisation dune AMDE(C)
ce quon ne veut pas quil fasse. Une AMDE(C) fonde sur des hypo-
thses de conception et de dfaillances est trs efficace pour tendre
la compltude des spcifications. 3.1 Prparation lAMDE(C)
Ainsi, en prsence dun systme complexe, lAMDE(C) revient
gnralement plusieurs fois dans le cycle dtude du systme. Cha-
que projet doit dterminer les revues (articulations entre phases du La mthode sinscrit dans un cycle dactivits. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du lAMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait ncessaire. Les normes ayant essay de donner des cri- avoir t ralise. Lanalyse fonctionnelle externe du systme dcrit
tres gnraux identifient trois niveaux de dcomposition pour un ce quon attend de lui. Cette description est essentielle pour donner
systme important et trois sujets dAMDE(C) : du sens lanalyse des dysfonctionnements. Il sagit de savoir si les
fonctionnements identifis sont conformes ces exigences, emp-
le niveau systme ;
chent la ralisation dune fonction exige, dgradent laccomplisse-
le niveau sous-systme ; ment dune fonction ou encore sils produisent un rsultat
le niveau composants ; indiffrent par rapport au cahier des charges, mais dont on devra
lAMDE(C) fonctionnelle ; sassurer quil ne prsente pas un danger.
lAMDE(C) produit ;
Lanalyse fonctionnelle interne dcrit comment les fonctions exi-
lAMDE(C) processus. ges par le cahier des charges pour le client sont ralises travers
Pourquoi plusieurs niveaux : des fonctions dcrites aux spcifications techniques de besoin en
dune part pour pouvoir dcouper en parties matriellement tant que fonctions accomplir, performances associes ces fonc-
ralisables et lisibles lAMDE(C) qui, ralise dun seul morceau tions, conditions dans lesquelles ces fonctions sont rputes exigi-
pour un systme aussi complexe quun avion moderne ou une cen- bles, contraintes respecter. Cette analyse fonctionnelle interne
trale dnergie, serait un monstre. Un monstre trop difficile exploi- dcrit, au niveau fonctionnel, comment le systme fonctionne
ter et un monstre inutile, car les consquences mises en vidence quand il fonctionne bien , elle est donc ncessaire pour valuer
par une analyse la fois globale et exhaustive seront de niveau de les effets des modes de dfaillance identifis.
criticit trs diffrents. Il vaut bien mieux rserver la mthode ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, chaque tape, est de premier ordre, en vaut la peine ; grands projets mens selon les rfrentiels qui les exigent. Dans de
dautre part, pour tirer des conclusions qui peuvent ltre des nombreux cas, elles sont implicites ou incompltes. Il importe pour
stades intermdiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systmes ( un stade o on ne sait peut-tre pas encore tions. Le droulement de lAMDE(C) peut sembler parfait sans tre
quels composants on les devra et si on saura intervenir sur leur pass par cette tape dans la mesure o les participants partagent
propagation) et raliser limportance de leurs consquences permet une vision commune du systme. Le droulement sans heurt de
damliorer larchitecture pour sen protger plutt que se trouver lanalyse peut masquer des divergences de conception sur ce qui
plus tard confront lalternative : soit remettre en cause larchitec- est attendu du systme, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrire, soit tre contraint dliminer les cau- ponsable de lanalyse, faute de rfrence, ne peut sassurer davoir
ses de ces dysfonctionnements ce qui peut se rvler impossible ou bien couvert les exigences du systme et des exigences importantes
trs coteux. (tellement dailleurs quelles sont implicites pour tout le monde)
auront t oublies. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banaliss par les exploitants parce que, en
LAMDE(C) sapplique aussi bien une dcomposition fonction- labsence de malchance, ils permettent quand mme de produire,
nelle ( condition de disposer dune dcomposition en fonctions l- seront traits comme des fonctionnements nominaux au lieu dtre
mentaires dont on connat les checs possibles) qu une traits comme des situations au moins de fragilit. Labsence
dcomposition matrielle. Une bonne AMDE(C) fonctionnelle, dexplicitation des exigences fonctionnelles externes et internes
quand elle est possible, prpare trs utilement et permet de cibler la rend lexploitation de lAMDE(C) trs prilleuse et potentiellement
ou les AMDE(C) matrielles. trompeuse.
LAMDE(C) sapplique aussi bien au produit ou service produire La validation des analyses fonctionnelles existantes ou la ralisa-
quaux moyens de le produire. La production dun produit ou ser- tion danalyses fonctionnelles est une tape dinitialisation nces-
vice conforme aux engagements pris et le cot de cette production saire pour aborder lAMDE(C). Elle devrait impliquer tous les futurs
SE 4 040 4 Techniques de lIngnieur
Arbres de dfaillance, des causes

et dvnement
par Yves MORTUREUX

Expert sret de fonctionnement la Direction dlgue Systme dexploitation et scurit
la SNCF
Vice-Prsident de lInstitut de sret de fonctionnement
1. Trois arbres mais trois dmarches distinctes .................................. SE 4 050 - 2

1.1 Principes et objectifs de ces mthodes...................................................... 2
1.2 Choix et complmentarit de ces mthodes............................................. 3
2. Arbre de dfaillance................................................................................ 3
2.1 Principes. Caractristiques. Objectifs......................................................... 3
2.2 Construction dun arbre de dfaillance...................................................... 4
2.3 Recherche des coupes minimales .............................................................. 9
2.4 Quantication dun arbre de dfaillance pas pas .................................. 12
2.5 Exploitation dun arbre de dfaillance ....................................................... 13
2.6 Conclusion.................................................................................................... 14
2.7 Exemple........................................................................................................ 15
3. Arbre des causes...................................................................................... 17
3.1 Principe. Caractristiques. Objectifs .......................................................... 17
3.2 Construction dun arbre des causes........................................................... 17
3.3 Exploitation de larbre des causes ............................................................. 19
3.4 Exemple........................................................................................................ 20
4. Arbre dvnement .................................................................................. 21
4.1 Principes. Caractristiques. Objectifs......................................................... 21
4.2 Construction de larbre dvnement ........................................................ 21
4.3 Exploitation de larbre dvnement.......................................................... 22
a sret de fonctionnement (comme expliqu dans les articles La sret de

L fonctionnement : mthodes pour matriser les risques [AG 4 670] et Sret
de fonctionnement : dmarches pour matriser les risques [SE 1 020]) au service
de la matrise des risques, dcrit les mcanismes qui conduisent aux incidents et
aux accidents. On trouve donc naturellement dans cette discipline des mthodes
destines reprsenter la logique des combinaisons de faits ou de conditions
qui ont conduit, conduisent ou pourraient conduire des incidents ou accidents.
Rien dtonnant donc que des reprsentations arborescentes fassent partie
des outils usuels de la sret de fonctionnement. Nous prsentons dans cet arti-
cle les trois mthodes les plus courantes : larbre de dfaillance, larbre des cau-
ses et larbre dvnement.
Ces trois mthodes ont en commun de produire des reprsentations de la logi-
que dun systme (ou dune partie) sous des formes arborescentes. Cette res-
semblance supercielle est trompeuse : ces trois mthodes rpondent des
besoins nettement diffrents et les arbres produits ne contiennent pas les
mmes informations. Cette ressemblance dans la forme et, naturellement, dans
lappellation nous a motivs les prsenter ensemble an daider le lecteur les
distinguer.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques S E 4 0 5 0 1
ARBRES DE DFAILLANCE, DE CAUSE ET DVNEMENT _______________________________________________________________________________________
Il ne faut donc pas prendre ces trois mthodes pour des variantes dune mme
mthode ou pour trois faons de conduire le mme raisonnement mais bien
pour trois mthodes diffrentes.
1. Trois arbres mais trois

dmarches distinctes
1.1 Principes et objectifs

de ces mthodes
La r b r e de dfaillance est une mthode qui part dun vnement

nal pour remonter vers les causes et conditions dont les combinai-
sons peuvent le produire. Il vise reprsenter lensemble des com-
binaisons qui peuvent induire lvnement tudi do sa
reprsentation schmatique donne titre dexemple gure 1 a.
On construit et on utilise un arbre de dfaillance dans le cadre
dune tude a priori dun systme. Ayant pour point de dpart un
vnement redout (dysfonctionnement ou accident), la dmarche
consiste sappuyer sur la connaissance des lments constitutifs
du systme tudi pour identier tous les scnarios conduisant
lvnement redout. Larbre de dfaillance est une reprsentation
en deux dimensions (cf. gure 1 a) des enchanements qui peuvent
conduire lvnement redout, le point de dpart de la dmarche.
On peut ensuite utiliser cette reprsentation pour calculer la proba-
bilit de lvnement redout partir des probabilits des vne-
ments lmentaires qui se combinent pour le provoquer.
Des logiciels sont commercialiss qui permettent de raliser com-
modment la mise en forme darbres pouvant comporter un grand a arbre de dfaillance
nombre dlments et qui permettent deffectuer les calculs de pro-
babilits. Les exemples darbres que nous pouvons donner dans cet
article pour illustrer nos propos sont naturellement trs petits, trs
simples. Les arbres quil est utile de construire pour tudier des sys-
tmes importants et assez complexes comportent tellement plus
dlments que lapport des logiciels de mise en forme et de calcul
est dcisif.
Nous attirons lattention du lecteur sur deux prcautions
dusage :
des calculs de probabilit sont toujours fonds sur des
approximations. Celles-ci sont gnralement valables pour les cas
usuels, mais il vaut mieux prendre attentivement connaissance des
algorithmes de calcul utiliss pour sassurer que les approximations
faites sont valables pour le cas particulier que lon traite ; b arbre des causes
par ailleurs, ce march, assez rduit est assez volatil : certains

produits font des apparitions fugitives. On ne peut gnralement
pas convertir un arbre construit avec un logiciel en un arbre utiliser
avec un autre. Comme dans les autres domaines, il est prudent de
sassurer (dans la mesure du possible) de la prennit de loutil
informatique. En effet un arbre de dfaillance peut tre un document
de rfrence faire vivre au long de la vie du systme tudi (tout
dpend des circonstances et objectifs de ltude).
Un arbre de dfaillance est une mthode-type pour rpondre
une question du genre : quelles chances y a-t-il que le disposi-
tif de dtection et extinction automatique dincendie manque se c arbre d'vnement
dclencher en prsence dun feu et sur quoi peut-on agir pour dimi-
nuer cette probabilit ? ou dans un systme avec redondances,
quelle est la probabilit nale dchec en fonction des probabilits Figure 1 Silhouettes des arbres de dfaillance, de cause
lmentaires des composants et de larchitecture ? . et dvnement
SE 4 050 2 Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques
_______________________________________________________________________________________ ARBRES DE DFAILLANCE, DE CAUSE ET DVNEMENT
Larbre des causes part dun vnement qui sest produit et orga- sent pas laccident sont identies, larbre dvnement est
nise lensemble des vnements ou conditions qui se sont combi- recommand pour valuer lefcacit du systme et les progrs les
ns pour le produire. Il repose sur un raisonnement dans le mme plus intressants.
sens que larbre de dfaillance mais ne dcrit quun scnario. Sa Un arbre est souvent un moyen satisfaisant de prsenter
reprsentation est illustre titre dexemple gure 1 b. synthtiquement les rsultats des tudes montrant les relations
On construit un arbre des causes dans une dmarche de retour entre causes et consquences (qualitativement-logiquement mais
dexprience, ou, de faon isole, pour apprendre le maximum dun aussi quantitativement), tudes qui ont pu solliciter bien dautres
accident. Larbre des causes est trs utilis pour dcrire le scnario mthodes (AMDE(C), graphes dtat, simulations de Monte-Carlo...)
dun incident ou accident, pour soutenir la dmarche danalyse de (cf. article [AG 4 670]).
laccident. Des logiciels sont galement disponibles pour guider et En prsence dun systme o de nombreux vnements initia-
raliser la mise en forme dun arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La dmarche de ralisation dun arbre des causes consiste tions humaines importantes donc possibilits derreurs, agressions
rpondre la question : quels faits ont jou un rle dans la surve- environnementales, etc.) mais pour lequel la proccupation porte
nue de cet accident et en se combinant de quelle faon ? sur la survenue ou non, du fait de tous ces incidents dun ou deux
vnements redouts du niveau du systme entier, larbre de
Larbre dvnement part dun vnement et dcrit les diffrentes dfaillance (ou les arbres de dfaillance) simpose(nt).
consquences quil peut avoir en fonction des conditions dans les-
quelles il sest produit et des vnements avec lesquels il se com- En prsence dun systme o la proccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres prcdents : ou trois vnements redouts (panne dun composant critique,
de la cause vers les consquences (do sa reprsentation donne erreur typique...) naient pas de consquences graves malgr la
titre dexemple gure 1 c). Comme larbre de dfaillance, il vise varit des scnarios dans lesquels ils peuvent intervenir, larbre
reprsenter lensemble des possibles, ici, des consquences possi- dvnement (les arbres dvnement) simpose(nt).
bles de lvnement tudi. Bien entendu, ces mthodes peuvent se complter. Les appro-
On construit et on utilise un arbre dvnement dans une dmarches inverses de larbre dvnement et de larbre de dfaillance
che dvaluation a priori. Le point de dpart est un incident, une peuvent tre utilises conjointement au mme niveau, ce quon
dfaillance, une erreur, une agression... dont on veut valuer les peut ne pas voir ou ngliger dans lune pouvant apparatre dans
consquences possibles qui dpendent dun certain nombre lautre. Elles peuvent aussi se complter des niveaux diffrents,
dautres facteurs. Si on connat les probabilits associes ces fac- lune servant valuer en entrant dans le dtail ce qui est un l-
teurs on peut calculer en sappuyant sur larbre dvnement la pro- ment de lautre.
babilit associe chacune des consquences possibles de
lincident initial. Exemple : la probabilit de succs dun dispositif utiliser dans un
arbre dvnement peut rsulter dun arbre de dfaillance dvelopp
pour lchec de ce dispositif.
1.2 C hoix et complmentarit

de ces mthodes
2. Arbre de dfaillance
Ces mthodes sont conues pour mettre en uvre des logiques
diffrentes. Elles ne se prsentent donc nullement comme des choix
alternatifs pour un mme problme. Chacune correspond une 2.1 Principes. Caractristiques. Objectifs
approche diffrente.
Le choix entre arbre dvnement et arbre de dfaillance dpend P incipes
dabord de la question pose : larbre dvnement cerne la ques-
tion des consquences dun vnement initiateur donn et larbre
de dfaillance cerne la question des scnarios conduisant un v- Un arbre de dfaillance reprsente de faon synthtique
nement redout donn. lensemble des combinaisons dvnements qui, dans certaines
Larbre des causes est propos pour assembler les lments conditions produisent un vnement donn, point de dpart de
dexplication dun accident ou incident. Il sagit prfrentiellement ltude. Construire un arbre de dfaillance revient rpondre
danalyse a posteriori. la question comment tel vnement peut-il arriver ? , ou
encore quels sont tous les enchanements possibles qui peu-
Ces mthodes peuvent servir initier une analyse ou la synth- vent aboutir cet vnement ? .
tiser.
Pour initier une analyse de sret de fonctionnement, en pr-
sence dune question peu prcise, la mthode recommander est Caractristiques
celle dont les bases sont les mieux connues : Un arbre de dfaillance est gnralement prsent de haut en bas
un arbre de dfaillance si la question tourne autour de la vrai- (cf. gure 1 a). La ligne la plus haute ne comporte que lvnement
semblance dun ou de quelques vnements redouts ; dont on cherche dcrire comment il peut se produire. Chaque ligne
plutt un arbre dvnement si la question tourne autour de la dtaille la ligne suprieure en prsentant la combinaison ou les
gravit de certaines dfaillances ou agressions ; combinaisons susceptibles de produire lvnement de la ligne
un arbre des causes si il sagit de tirer parti dun scnario suprieure auquel elles sont rattaches. Ces relations sont repr-
dincident qui sest ralis et dont la comprhension peut amliorer sentes par des liens logiques OU ou ET.
la connaissance gnrale du systme.
Objectifs
Si la liste des vnements redouts naux est bien tablie et que Lobjectif qualitatif est de construire une synthse de tout ce
les questions Quest-ce qui peut produire... ? trouvent facilement qui peut conduire un vnement redout et dvaluer leffet dune
rponses, larbre de dfaillance est recommand. modication du systme, de comparer les consquences des mesu-
Si, linverse, les vnements initiateurs qui peuvent affecter le res qui peuvent tre envisages pour rduire loccurrence de lv-
systme sont bien connus et que les mesures pour quils ne condui- nement redout tudi.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques SE 4 050 3
ARBRES DE DFAILLANCE, DE CAUSE ET DVNEMENT _______________________________________________________________________________________
L objectif quantitatif est dvaluer la vraisemblance de la dnition requiert les mmes prcisions : dfinition de la fonction et
survenue de lvnement tudi partir des combinaisons dvne- des conditions prendre en compte.
ments lmentaires qui peuvent le produire. Si on connat les pro-
babilits de ces vnements on peut en dduire la probabilit de
Le responsable de ltude doit sassurer que :
lvnement tudi et limpact sur celle-ci dune rduction (ou aug-
lvnement tudi est bien celui qui convient eu gard la
mentation) de telle ou telle des probabilits lmentaires.
dmarche dans laquelle sinscrit la construction de larbre ;
les conditions extrieures ou les agressions prendre en
dfaut dune quantication par probabilits, larbre permet
compte (et celles ne pas envisager) sont cohrentes avec les
dapprcier le nombre de scnarios conduisant lvnement tu- objectifs de ltude ;
di, le nombre minimum dvnements ou de conditions sufsant les participants lanalyse et les futurs utilisateurs de
pour quil arrive, etc. larbre ou des conclusions qui en seront tires partagent la
mme dfinition de lvnement tudi.
Dans larbre qui est une reprsentation synthtique, le libell de

2.2 Construction dun arbre lvnement devra tre court. Ce libell sera, en gnral, trop court
de dfaillance pour dnir prcisment lvnement et lever les ambiguts. Il
devra donc y avoir :
un libell bref, mais aussi vocateur que possible dans la bote
qui reprsente lvnement-sommet dans larbre ;
2.2.1 vnement-sommet un texte complmentaire apportant toutes les prcisions utiles
sur la dfinition de lvnement.
La premire tape est la dfinition de lvnement qui doit tre Dans certains modles darbres (en particulier quand on utilise
tudi. Dans larbre, ce sera lvnement-sommet. Un arbre na certains logiciels), chaque bote reoit un nom. On voit alors la bote
quun vnement-sommet ; il runit tout ce qui et uniquement ce qui contient le libell en quelques mots de lvnement et, dessous,
qui peut provoquer cet vnement-sommet. un seul mot (idalement) qui est le nom de lvnement pour
larbre. Il faut alors veiller ne pas donner le mme nom deux bo-
La dnition de cet vnement est totalement dterminante pour tes (ce que les logiciels qui utilisent ce formalisme contrlent gn-
ralement).
la valeur des conclusions qui seront tires de lanalyse. Le risque
nest pas de dvelopper un arbre qui serait faux mais un arbre qui
rponde une autre question que celle pose : Ce qui vient dtre dit sur la dfinition commune, claire, pr-
cise de lvnement et le libell bref de la bote vaut non seule-
soit lutilisateur des rsultats sen rend compte et la cons- ment pour lvnement-sommet mais aussi pour tous les
quence est quaprs le travail effectu, larbre attendu est toujours vnements qui vont gurer dans larbre ; ce commentaire ne
faire et exploiter ; sera pas repris dans chaque paragraphe consacr aux vne-
ments.
soit lutilisateur ne sen rend pas compte et il tire des conclu-
sions tout fait injustifies de lanalyse.
Il importe donc de dnir lvnement tudi de faon explicite et 2.2.2 vnements intermdiaires
prcise.
Lvnement tudi tant dni, ltape suivante est de le dcrire
Exemple : les vnements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
quivalents : ou plusieurs vnements plus rduits.
collision de deux trains ;
collision impliquant un train ; Exemple : une dfaillance dclairage peut rsulter de la dfaillance
collision impliquant une circulation ferroviaire ; de lampoule ou de la dfaillance de lalimentation ou de la dfaillance
collision impliquant un train due une dfaillance du systme du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparatre des vnements moins globaux que
dommages une circulation ferroviaire ou des passagers ou du lvnement-sommet que lon appellera vnements intermdiaires
personnel de bord ou au chargement, dus une collision... (si ils sont eux-mmes appels tre dcrits en combinaison dv-
On peut croiser de toutes les faons chacune des prcisions ou res- nements plus dtaills) et un connecteur logique qui les relie lv-
trictions qui figurent dans ces exemples (et bien dautres) et chacun nement-sommet.
des vnements produits sera diffrent des autres (certains plus gn-
raux en incluant dautres).
Les consquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou dimprudence de tiers sont ou ne sont pas pris en
compte ; laccident de tiers percut par un train la traverse des voies Les deux connecteurs logiques de base sont ET et OU (gure 2).
(sans dommage au train) est ou nest pas inclus dans cette analyse-l, Toutes les combinaisons logiques sexpriment avec ces deux
etc. connecteurs (et la ngation logique qui exprime le contraire de
lvnement quelle affecte), mais il peut tre pratique dutiliser
Pour bien comprendre les enjeux de cette dnition de lvne- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallle avec les dnitions de la abilit (disponi- Exemple : si un systme tombe en panne si deux sur trois des
bilit, maintenabilit, scurit...) (cf. article [AG 4 670]). Les quipements A, B, C tombent en panne, il est pratique de reprsenter
dnitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur 2/3 , mais cest quivalent
formules comme accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions donnes . Un vnement tudier est gnralement un De mme A OU exclusif B est quivalent [A ET (non B)] OU [(non A)
chec (non accomplissement dune fonction) ou une agression. Sa ET B] (cf. figure 3 b).
SE 4 050 4 Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques
_______________________________________________________________________________________ ARBRES DE DFAILLANCE, DE CAUSE ET DVNEMENT
Les botes qui les reprsentent sont au bout de larbre, ce pour-

quoi elles sont couramment appeles les feuilles.
2.2.5 Conditions
Quand on sinterroge sur ce qui peut produire tel vnement-con-

squence, on est couramment amen dire que tel autre vne-
ment-cause entrane lvnement-consquence tudi si telle
condition est prsente. Nous sommes donc conduits introduire
dans larbre des conditions dont la ralisation conditionne lencha-
Connecteur ET Connecteur OU nement cause-consquence.
Pour quun vnement (sommet ou intermdiaire) se produise, il
Figure 2 Connecteurs ET et OU faut une combinaison dvnements mais aussi souvent de condi-
tions (on pourrait dire dtats ou de situations). Ces conditions inter-
viennent dans la construction dun arbre exactement comme des
vnements intermdiaires (sauf quelles ne sont plus
quivalent dcomposes et donc deviennent de base mme si les vne-
ments de mme niveau avec lesquels elles se combinent sont eux,
dcomposs plus nement) ou comme des vnements de base,
2/3
mais ne sont pas proprement parler des vnements.
Exemple : dans un systme form de deux chanes en parallle qui
fonctionnent en alternance, linterruption de fonctionnement du sys-
A B C A.B A.C B.C tme est provoque par le dysfonctionnement dune chane seulement
si celle-ci est celle qui assure le fonctionnement ce moment-l. Donc
lvnement Interruption du fonctionnement du systme se
dcompose en ( Dfaillance de la chane A ET Chane A en
service ) OU ( Dfaillance de la chane B ET Chane B en
service ). Dans cette dcomposition, Dfaillance de la chane A
est un vnement, Chane A en service est une condition.
Cette distinction nest pas essentielle au stade de construction de
A B A C B C
larbre, elle devient intressante quand on affecte des probabilits
aux vnements et conditions.
Connecteur n/p
2.2.6 Symboles normaliss

quivalent
Les symboles normaliss des connecteurs, vnements et condi-

OU tions sont reprsents sur la gure 4.
exclusif
Nous plaons donc dans un arbre :
un vnement-sommet ;
des vnements intermdiaires ;
A.B A.B
des vnements de base ;
ventuellement des conditions ;
des connecteurs OU ;
des connecteurs ET ;
ventuellement des connecteurs particuliers.
Les vnements et les conditions sont reprsents par des rectan-
gles lintrieur desquels gurent les libells de ces vnements ou
A nonB nonA B conditions. Lvnement-sommet et les vnements intermdiaires
se dcomposent en une combinaison ; on trouve donc immdiate-
Connecteur OU exclusif ment sous la bote qui les reprsente le symbole du connecteur qui
lie les vnements dont la combinaison est ncessaire et sufsante
Figure 3 Connecteurs 2/3 et OU exclusif le provoquer.
Les vnements de base ou les conditions ne se dcomposent
pas ; on trouve donc immdiatement sous la bote qui les repr-
Certains ajoutent cette panoplie la possibilit de reprsenter un sente un symbole particulier : un cercle pour les vnements de
aspect temporel avec un connecteur ET squentiel. Si deux vne- base et un pentagone (en forme de maison) pour les conditions.
ments A et B sont lis par ce connecteur, cela signie que si A se pro- Comme un arbre peut occuper plusieurs pages et se construire
duit puis B, lvnement suprieur se produit, mais pas si B se progressivement pour un systme un peu important, il existe deux
produit puis A. autres symboles. Le triangle permet de renvoyer dune page une
autre : un triangle est plac sous un vnement intermdiaire dont
la dcomposition commencera sur une autre page. Sur cette autre
2.2.4 vnements de base ou feuilles page, cet vnement apparat en tte, mais un triangle est attach
la bote qui le reprsente pour indiquer quil ne sagit pas de lv-
Un vnement de base est un vnement qui ne se dcompose nement-sommet dun arbre, mais dune partie dun arbre plus
plus en vnements plus ns. important.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques SE 4 050 5
Nud papillon : une mthode

de quantification du risque
par Olivier IDDIR

Ingnieur quantification des risques Service expertise et modlisation Membre du
rseau des experts de TECHNIP
TECHNIP France, Paris-La Dfense
1. Quantification du risque : une ncessit........................................ SE 4 055v2 - 2

2. Notion dacceptabilit du risque ...................................................... 2
3. Prsentation de la mthode ............................................................... 5
4. Quantification du nud papillon ...................................................... 15
5. Limites lies la quantification dun nud papillon.................. 22
6. Exemple de nud papillon quantifi ............................................... 25
7. Conclusion............................................................................................... 29
8. Glossaire Dfinitions ......................................................................... 29
Pour en savoir plus ........................................................................................ Doc. SE 4 055v2
ans de nombreux secteurs dactivit tels que laronautique, lindustrie

D chimique, lindustrie ptrolire, le nuclaire, il est ncessaire dvaluer les
risques afin de pouvoir se prononcer sur leur acceptabilit. Les notions de
danger et de risque sont trs souvent confondues, le risque tant toujours li
lexistence dun danger, ou dune situation dangereuse. Pour les diffrencier, il
est possible de considrer que le danger est rel et le risque potentiel .
Certaines installations industrielles prsentent, de par leurs activits, de nom-
breux dangers. Citons, par exemple, le stockage ou la synthse de produits
inflammables et/ou toxiques. Sur de telles installations, un des vnements
redouts est la perte de confinement qui peut aboutir des phnomnes dange-
reux de type incendie, jet enflamm ou explosion dans le cas dun produit
inflammable et dispersion atmosphrique dans celui dun produit toxique.
Lvaluation dun risque ncessite dvaluer les deux composantes du couple
probabilit/gravit. La gravit des phnomnes dangereux est habituellement
estime par modlisation de lintensit des effets laide doutils ou de logi-
ciels. Lestimation de la probabilit doccurrence pour les risques lis au
secteur de lindustrie ncessite aujourdhui davoir recours des mthodolo-
gies utilises depuis de nombreuses annes dans dautres domaines, tels que
le nuclaire ou laronautique. En effet, en France, avant les annes 2000 et
contrairement aux pays anglo-saxons, lvaluation des risques reposait sur une
approche dterministe. Les probabilits doccurrence daccidents taient alors
en grande majorit estimes par avis dexperts. Le tragique accident survenu
Toulouse le 21 septembre 2001 a initi un profond remaniement de la rgle-
mentation franaise qui prne aujourdhui lapproche probabiliste.
Lobjectif de cet article est de prsenter la mthode danalyse de risques
nomme nud papillon qui rsulte de la combinaison dun arbre de
dfaillances et dun arbre dvnements, centre sur un mme vnement
redout. Aprs avoir expos les fondements de cette mthode, il sera dress
un panorama des diverses banques de donnes pouvant tre utilises lors de
la phase de quantification. Enfin, larticle abordera les limites de la mthode.
Copyright Techniques de lIngnieur Tous droits rservs SE 4 055v2 1
NUD PAPILLON : UNE MTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________
1. Quantification du risque : Gravit

une ncessit Gk
5
Depuis une trentaine dannes, la succession daccidents signifi-
catifs en termes de dommages matriels et humains, majoritaire-
Gravit croissante
ment lis lexpansion de lactivit industrielle, vient mettre en 4
lumire la question primordiale de la scurit.
En 1966, Feyzin, 18 personnes ont trouv la mort suite au 3

BLEVE de plusieurs sphres de stockage. Par la suite, les accidents
de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, 2
AZF (Toulouse) en 2001 ou plus rcemment Buncefield (Grande-
Bretagne) en 2005 sont tous des accidents qui rappellent si besoin
la ncessit de disposer de mthodes et doutils performants pour 1
estimer les risques.
En France, depuis 2001, la rglementation visant garantir que E D C B A Probabilit Pk

les industriels matrisent leurs risques a beaucoup volu. En fonc-
tion de la dangerosit des installations, les industriels doivent rali-
ser des tudes dmontrant quils ont pris lensemble des mesures Probabilit dcroissante
de prvention et de protection permettant de garantir que les ris-
ques lis leurs activits sont acceptables. Pour valuer ces risques, A : niveau de probabilit le plus fort
diffrentes mthodes danalyse peuvent tre dployes (APR, E : niveau de probabilit le plus faible
HAZOP, etc.). Cependant, le nud papillon constitue aujourdhui la 1 : niveau de gravit le plus faible
mthodologie danalyse quantifie du risque recommande par 5 : niveau de gravit le plus fort
ladministration franaise pour tudier les scnarios daccidents les
plus critiques.
Risque jug inacceptable
Risque ALARP
2. Notion dacceptabilit
du risque Risque jug acceptable
2.1 Estimation Figure 1 Exemple de matrice de criticit 5 2 5
2.1.1 Matrices de criticit La matrice de criticit, prsente en figure 1, comporte trois

zones de risque :
Dans le domaine du risque industriel, la quantification des ris- acceptable : dans cette zone, les accidents prsentent une
ques constitue une tape incontournable. Elle permet, au regard probabilit suffisamment faible au regard de la gravit des
de la probabilit et de la gravit dun accident, de juger de la suffi- consquences associes ;
sance ou non des mesures de prvention dont lobjectif est de pr-
dite ALARP (As Low As Reasonably Practicable ) : dans
venir lapparition daccident, et des mesures de mitigation/
cette zone, lensemble des mesures envisageables a t mis en
protection dont le but est de limiter les effets en cas daccident. Or,
place et il nest plus possible, avec un cot conomique raisonna-
afin de se prononcer sur lacceptabilit dun risque, il faut pouvoir
ble, de diminuer ni la probabilit, ni la gravit ;
le mesurer en le comparant une chelle.
inacceptable : dans cette zone, il est ncessaire de mettre
Reprenant la philosophie du diagramme de Farmer, la matrice en place des actions qui visent rduire la gravit et/ou la proba-
de criticit permet de juger de lacceptabilit dun risque. Mais con- bilit, en dfinissant de nouvelles mesures de prvention et/ou de
trairement au diagramme de Farmer, les matrices de criticit ne mitigation, afin de ramener si possible le risque dans la zone
font pas intervenir une frontire linaire, mais un ensemble de acceptable, ou a minima dans la zone ALARP.
couples de valeurs de probabilit/gravit (Pk/Gk ) au-del desquels La notion dacceptabilit dun risque peut sembler subjective,
le risque passe du domaine de lacceptable celui de linaccepta- surtout lorsque la vie dindividus est en jeu. En effet, la distinction
ble. Pour limiter les erreurs de jugement sur des vnements dont entre les diffrentes zones de risque nest pas aise et dpend
le couple (Pk/Gk ) se rapprocherait de la frontire, une notion de essentiellement des dfinitions donnes aux diffrents niveaux de
risque, dite ALARP (As Low As Reasonably Practicable), est fr- probabilit et de gravit qui constituent la matrice de criticit.
quemment utilise.
Il est noter que le nombre de niveaux de probabilit et de gra- 2.1.2 Matrice de criticit rglementaire en France
vit, constituant une matrice de criticit, na rien duniversel. Nan-
moins les matrices de criticit, dites 5 5, cest--dire composes Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilit et de 5 niveaux de gravit, sont cou- laire du 10 mai 2010), relative aux critres dapprciation de la
ramment utilises. dmarche de matrise des risques daccidents susceptibles de sur-
venir dans les tablissements dits Seveso , viss par larrt du
La figure 1 prsente un exemple de matrice de criticit. Le 10 mai 2000 modifi, il nexistait pas de matrice de criticit rgle-
dcoupage entre les diffrentes catgories de risque est unique- mentaire. Les matrices utilises taient soit celles proposes par
ment donn titre indicatif. les industriels eux-mmes, soit celles ralises par des socits
SE 4 055v2 2 Copyright Techniques de lIngnieur Tous droits rservs
___________________________________________________________________________ NUD PAPILLON : UNE MTHODE DE QUANTIFICATION DU RISQUE
expertes dans lvaluation des risques. Dans un souci dhomog- (/an). Lunit de temps associe la notion de probabilit confirme
nit, le ministre de lEnvironnement (MEDAD lpoque) a donc que les notions de frquence et de probabilit sont bien souvent
propos une matrice de criticit 5 5 (grille dapprciation des ris- confondues.
ques), telle que prsente en figure 2. Elle se subdivise en La frquence est une grandeur observe issue dune exploitation
25 cases, correspondant des couples probabilit/gravit des con- dun retour dexprience. Elle sexprime gnralement en unit de
squences identiques ceux du modle figurant lannexe V de temps1 ou opration1.
larrt du 10 mai 2000 modifi, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur tude Dans le cas o le temps est le critre dobservation, la frquence
de dangers. Cette matrice dlimite trois zones de risque est dfinie par le quotient entre le nombre dvnements observs
accidentel : sur la priode dobservation et ce temps dobservation. Lorsque la
priode dobservation est exprime en annes, les frquences sont
risque lev, figur par le mot non ; alors donnes en unit an1.
risque intermdiaire, figur par le sigle MMR (mesures de
matrise des risques), dans laquelle une dmarche damlioration La probabilit doccurrence dun accident est assimile sa fr-
continue est particulirement pertinente, en vue datteindre, dans quence doccurrence future estime sur linstallation considre.
des conditions conomiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de ltat des connaissances,
des pratiques et de la vulnrabilit de lenvironnement de En France, les accidents potentiels ou les phnomnes dan-
linstallation ; gereux identifis dans les tudes de dangers sont tudis sur
risque moindre, qui ne comporte ni non ni MMR . un intervalle temporel donn. La priode de temps retenue
La gradation des cases non ou MMR en rangs , corres- dans le cadre rglementaire est celle rappele dans lchelle de
pond un risque croissant, depuis le rang 1 jusquau rang 4 pour probabilit de larrt PCIG, savoir lanne. LINERIS a donc
les cases non , et depuis le rang 1 jusquau rang 2 pour les introduit la notion de probabilit doccurrence annuelle (POA).
cases MMR . Cette gradation correspond la priorit que lon
peut accorder la rduction des risques, en sattachant dabord
rduire les risques les plus importants (rangs les plus levs). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilit et de gravit retenus pour constituer suivante :
cette matrice sont respectivement prsents dans les tableaux 1 frquence doccurrence pour les vnements redouts (ER) ;
et 2. probabilit doccurrence pour les vnements redouts secon-
Concernant lchelle rapporte dans le tableau 1, on peut noter daires (ERS) et pour les phnomnes dangereux (PhD).
quil est fait mention de la notion de probabilit doccurrence et Nanmoins, en toute rigueur, le produit entre une frquence et
que les donnes quantitatives sont exprimes en unit de temps1. une probabilit donne une frquence.
Gravit des PROBABILIT (sens croissant de E vers A) (1)

consquences
sur les personnes
exposes E D C B A
au risque (1)
Non partiel
(sites nouveaux : (2))
Dsastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))
Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3
Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2
Srieux MMR rang 1 MMR rang 2 Non rang 1
Modr MMR rang 1
(1) Probabilit et gravit des consquences sont values conformment larrt ministriel relatif lvaluation et
la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets, et de la gravit des
consquences des accidents potentiels dans les tudes de dangers des installations classes soumises autorisation.
(2) Lexploitant doit mettre en uvre des mesures techniques complmentaires permettant de conserver le niveau
de probabilit E en cas de dfaillance de lune des mesures de matrise du risque.
(3) Sil sagit dune demande dautorisation AS , il faut galement vrifier le critre C du 3 de lannexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critres dapprciation de la matrise du risque
accidentel considerer sont ceux de larrt ministriel rglementant ce type dinstallations.
Figure 2 Matrice de criticit rapporte dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)
Tableau 1 chelle de probabilit propose dans larrt du 29 septembre 2005

Classe de probabilit
Type dapprciation
E D C B A
vnement
vnement possi- improbable : un
ble mais extrme- vnement similaire vnement
vnement trs
Qualitative ment peu dj rencontr dans courant : se produit
improbable : sest
(les dfinitions entre probable : nest pas le secteur dactivit vnement proba- sur le site considr
dj produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site : sest et/ou peut se pro-
secteur dactivit,
valables que si le connaissances dorganisation au produit et/ou peut se duire plusieurs
mais a fait lobjet de
nombre dinstalla- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontr, au niveau que les ventuelles dure de vie des dure de vie des ins-
rduisant significati-
dexprience sont mondial, sur un trs corrections interve- installations tallations, malgr
vement sa probabi-
suffisants) grand nombre nues depuis appor- dventuelles mesu-
lit
dannes dinstalla- tent une garantie de res correctives
tions rduction significa-
tive de sa probabilit
Semi-quantitative Cette chelle est intermdiaire entre les chelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de matrise des risques mises en place
Quantitative
j 105 105 104 104 103 103 102 h 102
(par unit et par an)
Ces dfinitions sont conventionnelles et servent dordre de grandeur la probabilit moyenne doccurrences, observable sur un grand nombre dinstallations
pendant x annes. Elles sont inappropries pour qualifier des vnements trs rares dans des installations peu nombreuses ou faisant lobjet de modifications
techniques ou organisationnelles. En outre, elles ne prjugent pas de lattribution dune classe de probabilit pour un vnement dans une installation particu-
lire, qui dcoule de lanalyse de risque et peut tre diffrent de lordre de grandeur moyen, afin de tenir compte du contexte particulier, de lhistorique des
installations, ou de leur mode de gestion.
Un retour dexprience mesur en nombre dannes x installations est dit suffisant , sil est statistiquement reprsentatif de la frquence
du phnomne (et pas seulement des vnements ayant rellement conduit des dommages) tudi dans le contexte de linstallation
considre, condition que cette dernire soit semblable aux installations composant lchantillon sur lequel ont t observes les don-
nes de retour dexprience. Si le retour dexprience est limit, les dtails (figurant en italique) ne sont, en gnral, pas reprsentatifs de
la probabilit relle. Lvaluation de la probabilit doit tre effectue par dautres moyens (tudes, expertises, essais) que le seul examen
du retour dexprience.
Tableau 2 chelle de gravit propose dans larrt du 29 septembre 2005

Zone dlimite par le seuil Zone dlimite par le seuil Zone dlimite par le seuil
Niveau de gravit
des effets ltaux significatifs des effets ltaux des effets irrversibles sur la vie humaine
des consquences
(personnes exposes) (personnes exposes) (personnes exposes)
Dsastreux Plus de 10 Plus de 100 Plus de 1 000
Catastrophique Moins de 10 Entre 10 et 100 Entre 100 et 1 000
Important Au plus 1 Entre 1 et 10 Entre 10 et 100
Srieux Aucune Au plus 1 Moins de 10
Prsence humaine expose des effets
Modr Pas de zone de ltalit hors tablissement
irrversibles infrieure 1
Personne expose : en tenant compte, le cas chant, des mesures constructives visant protger les personnes contre certains effets, et la possibilit de mise
labri des personnes en cas doccurrence dun phnomne dangereux, si la cintique de ce dernier et la propagation de ses effets le permettent.
Pouvoir positionner des situations dangereuses dans une de causes, ncessite de recourir des mthodologies qui permet-
matrice de criticit suppose quil soit possible dvaluer la probabi- tent une analyse exhaustive :
lit doccurrence et la gravit dun vnement, de sorte que se des combinaisons de causes pouvant aboutir la ralisation
tromper de zone de risque est exclu. Or, les vnements les plus de tels accidents ;
graves sont aussi gnralement les plus rares, laccidentologie
rvle ainsi que ces accidents sont souvent la consquence de des consquences en cas de survenue de tels accidents.
combinaisons de plusieurs vnements. On parle alors de
squence accidentelle . Cest donc lors de ltape dvaluation de la probabilit doccur-
rence des vnements redouts et de leurs consquences quil est
valuer la probabilit doccurrence daccidents complexes , primordial de disposer dune mthode robuste pour estimer au
cest--dire dont lorigine peut tre de nombreuses combinaisons plus juste ces valeurs.
___________________________________________________________________________ NUD PAPILLON : UNE MTHODE DE QUANTIFICATION DU RISQUE
3. Prsentation de la mthode Le point central du nud papillon est constitu par un vne-
ment redout qui peut tre par exemple une perte de confinement.
La partie en amont de lvnement redout est constitue par un
3.1 Principe arbre de dfaillances qui permet danalyser les combinaisons de
causes, et de valoriser les barrires de prvention mises en place
Le concept du nud papillon a t introduit par la compagnie pour prvenir lapparition de lvnement redout. La partie en
ICI (Imperial Chemical Industries ). Aprs laccident survenu sur la aval est, quant elle, constitue par un arbre dvnements qui
plate-forme ptrolire Piper Alfa, la compagnie Royal Dutch/Shell a permet de diffrencier les consquences en fonction du fonction-
dvelopp cette technique danalyse au dbut des annes 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin damliorer la scurit sur de telles installations. Lutilisation que, prsent en figure 3, prsente la structure dun nud
de la mthode du nud papillon tend aujourdhui se dmocra- papillon. Le tableau 3 dtaille les dfinitions associes chacun
tiser et son application au secteur de lindustrie est de plus en plus des vnements figurant sur le modle du nud papillon de la
rpandue. Le programme de recherche europen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur lvaluation des risques
dans le contexte de lapplication de la directive Seveso II met en En France, diffrents groupes de travail nationaux ont tra-
avant les avantages de cette mthode. Pour rappel, ce programme vaill sur la ralisation de nuds papillons gnriques . Sil
avait pour but : est possible de sen inspirer, il est indispensable de les adapter
au cas tudi en prenant en compte les spcificits du site.
le dveloppement dune mthodologie plus prcise et harmo-
nise danalyse de risque pour les tudes de dangers (ou safety
reports ), dans le contexte de lapplication de la directive En fonction de la nature de lvnement redout, les vne-
Seveso II ; ments de base peuvent tre dits indsirables . Citons, par exem-
ple, un choc mcanique sur une canalisation pouvant aboutir
lidentification et la qualification des principaux phnomnes
lvnement redout : brche sur canalisation , ou bien la
accidentels majeurs (apprciation de la probabilit et de la gravit
combinaison entre un vnement courant et une dfaillance, tel
des effets physiques en utilisant, par exemple, la reprsentation
que le montage dun bras de dpotage et labsence de contrle de
sous forme de nud papillon) ;
bonne tanchit pouvant aboutir lvnement redout
lvaluation de la performance des fonctions et lments de mauvaise tanchit au niveau dun bras de dpotage , en cas
scurit lis la prvention des phnomnes accidentels ; de montage dfectueux.
lidentification de la vulnrabilit de lenvironnement des sites.
Le principal intrt du nud papillon est quil permet de visua-
liser lensemble des chemins conduisant des vnements de base
jusqu lapparition des phnomnes dangereux. Chaque chemin
Le fondement de la mthode du nud papillon est rela-
dcrit un scnario daccident. Un scnario daccident est dfini
tivement simple. Elle propose pour un mme vnement
comme un enchanement dvnements aboutissant un vne-
redout de runir un arbre de dfaillances pour expliciter les ment redout, conduisant lui-mme des consquences lourdes
causes et un arbre dvnements pour expliciter les
ou effets majeurs. Cette notion est prsente dans les articles rela-
consquences.
tifs la mthode MOSAR [SE 4 060] [SE 4 061].
Diffrenciation des
Valorisation des barrires phnomnes dangereux
de mitigation
PhD 1
EB1 ERS 1
EI1
PhD 2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
Arbre de dfaillances Arbre dvnements Arbre des consquences
Identification des Identification des vnements Identification des

combinaisons de causes redouts secondaires phnomnes dangereux
Figure 3 Schma dun nud papillon
Tableau 3 Dfinition des vnements composant un nud papillon
Identification Signification Dfinition Exemples
Drive ou dfaillance sortant du cadre des conditions

vnement dont la ralisation, seule dexploitation usuelles dfinies
ou combine, est susceptible dabou- (monte en temprature, sur remplissage, etc.)
EB vnement de base
tir la matrialisation dun vnement vnement courant survenant de faon rcurrente
intermdiaire (EI) dans la vie dune installation
(vibration, maintenance, etc.)
vnement dont la ralisation, seule

vnement ou combine, est susceptible dabou- Monte en temprature non dtecte, corrosion non
EI
intermdiaire tir la matrialisation de lvnement dtecte lors de test dinspection, etc.
redout (ER)
vnement rsultant de drives de

paramtres de fonctionnement, ou de
Rupture de capacit, brche sur canalisation,
ER vnement redout dfaillances dlments, pouvant avoir
dcomposition de substance, etc.
des consquences dommageables sur
lenvironnement
vnement redout Consquence directe de lvnement Formation dune nappe dhydrocarbure, fuite de gaz
ERS
secondaire redout toxique, sur une dure de 10 min, etc.
Libration dnergie ou de substance

susceptible dinfliger un dommage
PhD Phnomne dangereux Jet enflamm, BLEVE, Boil Over, explosion, etc.
des cibles (ou lments vulnrables)
vivantes ou matrielles
Le nud papillon permet alors de juger de la bonne matrise ou

La mthode du nud papillon est habituellement rserve non des risques, en explicitant clairement le rle de chacune des
pour lanalyse dvnements dont les combinaisons de causes barrires de scurit sur le droulement dun accident.
sont complexes identifier, et/ou lorsque des barrires de
mitigation/protection sont prvues pour limiter les cons- La figure 4 prsente un exemple de ce type de reprsentation. Il
quences de lvnement redout. est noter que ces reprsentations simplifies sapparentent plus
la combinaison dun arbre des causes et dun arbre des
consquences qu un rel nud papillon. En effet, pour la partie
En fonction de lutilisation du nud papillon, il est possible que avale du nud papillon, les diffrents ERS ne sont gnralement
ces nuds soient plus ou moins complexes (arborescence plus ou pas tous dtaills et plus particulirement ceux conscutifs au
moins dveloppe). fonctionnement des barrires. Sur la reprsentation de la figure 4,
La complexit dun nud papillon tient en effet : les deux ERS possibles en fonction du fonctionnement ou non de
la BM1 sont envisags.
au niveau de dveloppement de larbre de dfaillances ;
la mise en vidence, explicite ou non, de la dfaillance des
barrires de prvention dans larbre de dfaillances ; Lorsque les ERS conscutifs au fonctionnement des barri-
la mise en vidence, explicite ou non, de la dfaillance des res sont susceptibles dtre lorigine de phnomnes dange-
barrires de mitigation/protection dans larbre dvnements. reux pouvant avoir des consquences non ngligeables, il est
impratif de ne pas oublier de faire apparatre ces scnarios.
Ainsi, deux utilisations du nud papillon sont distinguer :
lanalyse qualitative des risques qui vise identifier les diff-
rents scnarios daccidents ; Lorsque le nud papillon est labor dans lobjectif de quantifier
lanalyse quantitative des risques qui vise quantifier les les probabilits des phnomnes dangereux, cet outil peut savrer
probabilits des diffrents scnarios daccidents. relativement lourd mettre en place et son utilisation ne doit tre
rserve qu des vnements jugs particulirement critiques pour
Lorsque le nud papillon est ralis uniquement dans le but de lesquels une analyse dtaille du risque est indispensable. En
formaliser une dmarche danalyse des risques, les barrires de dautres termes, comme cet outil danalyse peut tre particulire-
scurit sont le plus souvent reprsentes sous la forme de barres ment coteux en temps, il doit tre utilis bon escient.
verticales pour symboliser le fait quelles sopposent au dve-
loppement dun chemin critique aboutissant un accident. De ce
fait, dans cette reprsentation, chaque chemin, conduisant dune
Habituellement, les vnements redouts tudis par un nud
dfaillance dorigine (vnements de base de larbre de dfaillan-
papillon sont prslectionns lors dune tape dvaluation prli-
ces) jusqu lapparition des phnomnes dangereux, dsigne un
minaire qui permet de hirarchiser les risques.
scnario daccident particulier pour un mme vnement redout.
MOSAR
Prsentation de la mthode
par Pierre PERILHON
Ingnieur de lcole nationale suprieure des arts et mtiers (ENSAM)
Ancien responsable de scurit-sret au Commissariat lnergie atomique (CEA)
1. Ncessit dune mthode danalyse des risques

dune installation industrielle .............................................................. SE 4 060 - 2
1.1 Problmatique.............................................................................................. 2
1.2 Les besoins danalyse de risques............................................................... 3
1.3 Les outils existants ...................................................................................... 3
1.4 Ncessit dune mthode ........................................................................... 3
2. Structure gnrale de la mthode MOSAR ...................................... 4
2.1 Les deux modules et les dix tapes ........................................................... 4
3. Modles mis en uvre : MADS............................................................ 4
3.1 Description de MADS .................................................................................. 4
3.2 Applications une dmarche mthodique ............................................... 5
4. Diffrents modes de mise en uvre de la mthode ...................... 7
4.1 MOSAR comme bote outils .................................................................... 7
4.2 Les parcours de MOSAR ............................................................................. 8
4.3 Gense de scnarios dans lanalyse de risques dun site industriel ....... 9
4.4 Extraits dexemple danalyse en conception dune installation .............. 10
4.5 Extrait dexemple danalyse en diagnostic dune installation existante . 13
5. Avantages de la mthode ...................................................................... 14
5.1 La rponse aux besoins .............................................................................. 14
5.2 Exhaustivit.................................................................................................. 15
5.3 Coordination des outils ............................................................................... 15
5.4 Souplesse ..................................................................................................... 15
5.5 Mise en uvre en situation oprationnelle et pdagogique ................... 15
Rfrences bibliographiques ......................................................................... 16
analyse des risques dune installation industrielle est une dmarche

L complexe car cette dernire est elle-mme une structure complexe constitue
de machines, de stockages, en interaction entre eux, avec les oprateurs ainsi
quavec lenvironnement. Pour se donner le maximum de chances de mettre en
vidence la majorit des risques dune installation, une mthode logique est
propose : la mthode organise systmique danalyse des risques ou MOSAR.
Elle fait appel la modlisation systmique [1] car aprs avoir dcompos linstal-
lation en sous-systmes et recherch systmatiquement les dangers prsents
par chacun dentre eux, ces sous-systmes sont remis en relation pour faire appa-
ratre des scnarios de risques majeurs. Cette partie de lanalyse est une APR
(Analyse prliminaire des risques) volue car elle ne se contente pas de passer
linstallation au crible de grilles prtablies issues du retour dexprience. Elle
construit, partir dune modlisation des diffrents types de dangers par le
modle MADS (Mthodologie danalyse de dysfonctionnement des systmes), les
scnarios possibles. La ngociation dobjectifs permet de hirarchiser ces scna-

rios. La recherche systmatique de barrires permet de neutraliser ces scnarios
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 060 1
MOSAR ______________________________________________________________________________________________________________________________
et leur qualification dans le temps en assure la prennit. La dmarche peut se

poursuivre par une analyse dtaille de type sret de fonctionnement avec mise
en uvre doutils comme les AMDEC (Analyse des modes de dfaillance, de leurs
effets et de leur criticit) (cf. article AMDEC-Moyen [AG 4 220] dans le trait
lEntreprise industrielle), les arbres de dfaillances (cf. article Arbres de
dfaillance, des causes et dvnement [SE 4 050] dans ce trait), HAZOP (Hazard
and Operability study) [4].
Sa constitution modulaire permet une grande souplesse dutilisation. Elle se
termine sur la construction des plans dintervention.
Le modle MADS, labor dans les annes 1980 par un groupe dingnieurs
du CEA (Commissariat lnergie atomique) et duniversitaires de lIUT de
scurit de Bordeaux, est une modlisation systmique gnrale du danger
mise en uvre ici de manire spcifique dans la mthode MOSAR.
La mthode MOSAR complte fait lobjet dun support [5], dun rsum [8] et
dun logiciel dapprentissage [6].
Cet article constitue la premire partie dune srie consacre la mthode MOSAR :
MOSAR - Prsentation de la mthode [SE 4 060] ;
MOSAR - Cas industriel [SE 4 061].
Terminologie
Problmatique Une certaine faon de poser un ou des problmes propres une notion
ou un domaine de connaissance.
Mthodologie Rflexion qui a pour objet dexaminer la nature, la valeur et le choix des
matriaux avec lesquels nous pouvons construire notre connaissance
en vue de dterminer quels usages ils sont propres ou impropres.
Mthode Programme rglant davance une suite doprations accomplir et
signalant certains errements viter, en vue datteindre un rsultat
dtermin.
Outils Procds techniques de calcul ou dexprimentation utiliss pour le
dveloppement dune mthode.
Analyse de risques Toute dmarche structure permettant didentifier, valuer, matriser,
manager et grer des risques et notamment les risques industriels.
1. Ncessit dune mthode

danalyse des risques
dune installation industrielle M1
O1
O4
M2
1.1 Problmatique
O3
Une installation industrielle peut tre modlise comme un sys-
tme ouvert sur son environnement, et compos essentiellement de M3
O2
matriels (M1 , M2 , M3 ...) et doprateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec lenvironnement (figure 1).
Les matriels (machines, stockages, appareils, btiments...)
peuvent :
Figure 1 Modlisation dune installation industrielle
interagir de manire squentielle (squences linaires, paral-
lles ou en rseaux) lorsquils constituent des chanes de fabrica-
tion ; Analyser les risques dune installation va consister essentiel-
ou tre isols. lement identifier les dysfonctionnements de nature technique et
Les oprateurs sont tous les acteurs de linstallation depuis le opratoire (oprationnelle, relationnelle, organisationnelle) dont
responsable jusqu lexcutant. Ils peuvent tre aussi isols ou en lenchanement peut conduire des vnements non souhaits par
relation travers des hirarchies linaires ou parallles, des groupes rapport des cibles (individus, populations, cosystmes, systmes
en rseau ou des structures diverses. matriels ou symboliques).
SE 4 060 2 Techniques de lIngnieur, trait Scurit et gestion des risques
______________________________________________________________________________________________________________________________ MOSAR
Ces dysfonctionnements proviennent des matriels, de leurs de faciliter la communication avec le public ;
liaisons et de leur proximit, ainsi que des oprateurs, de leurs indispensable pour la construction des Plans dIntervention : le
liaisons entre eux et avec les matriels. Plan dOpration Interne (POI) qui gre lorganisation des secours en
Il est possible dimaginer analyser les risques dune installation cas daccident lintrieur du primtre de linstallation, sous la
un instant donn, par exemple t 1 ou t 2 . On dira alors que lon a responsabilit du directeur de cette dernire ; le Plan Particulier
travaill dans une coupe synchronique de linstallation. Mais entre dIntervention (PPI) qui gre lorganisation des secours lextrieur
les instants t 1 et t 2 , linstallation a volu (diachronie). Il est donc du primtre de linstallation, si les consquences de laccident fran-
impossible de faire lanalyse des risques dune installation dans sa chissent ce primtre, sous lautorit du Prfet.
diachronie. Tout au plus pourra-t-on la pratiquer certains moments
discrets de cette dernire, que nous allons identifier, et lon pourra
ventuellement mettre en vidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte dune analyse de risques peut tre dfini par deux
Ces moments de vie dune installation ou phases de vie sont les situations principales :
suivants :
on sintresse un objet technique, par exemple un avion, un
conception (CO). Cest le travail de bureau dtudes qui dfinit vhicule, une machine ;
un cahier des charges, un dossier dappel doffre, un descriptif, un on sintresse un milieu plus complexe, par exemple un
dossier de ralisation. Il est videmment trs intressant danalyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intgrer leur matrise ds le cole, urbaine... Ce milieu comportera bien sr des objets comme des
dpart et cela est moins coteux que de modifier par la suite linstal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de scurit ; de manutention..., mais il y aura beaucoup de relations entre ces
montage (MO). Cest la phase de ralisation qui correspond au objets et avec leur environnement.
chantier avec des risques trs spcifiques notamment de manu-
tention ; Les mthodes et outils mis en uvre pour lanalyse de risques ne
essais (ES) ou recette. Cest la phase qui permet de faire les seront pas les mmes dans chacun des deux cas :
vrifications de conformit par rapport au cahier des charges. Elle dans le premier cas ce sont plutt les outils classiques de la
est souvent lobjet de risques spcifiques car les lments de lins- Sret de fonctionnement qui seront utiliss (consulter ce propos
tallation peuvent tre tests jusqu leurs performances maximales les articles Analyse prliminaire des risques [SE 4 010] et Arbres
voire au-del ; de dfaillance, des causes et dvnement [SE 4 050] et la rf-
exploitation. Cette phase correspond aux priodes de mise en rence [4]) ;
uvre de linstallation. On peut la diviser en : dans le deuxime cas, ces outils seuls ne permettront quune
fonctionnement normal (on la symbolisera par EX) : linstalla- analyse parcellaire, notamment des objets de linstallation, et il
tion fonctionne dans le cadre de ses caractristiques nomina- sera ncessaire de disposer de mthodes, cest--dire de dmar-
les. Elle peut alors gnrer des nuisances et tre la source ches compltes incluant bien sr les outils, mais capables den
daccidents, organiser la mise en uvre.
maintenance qui comprend : Les outils disponibles peuvent tre classs en deux catgories :
lentretien (EN), prventif ou curatif, des outils semi-empiriques comme lAPR (Analyse Prliminaire
le dpannage (DE), des Risques) qui a donn lieu au dveloppement de grilles issues du
arrt (AR). Linstallation peut prsenter des dangers spci- retour dexprience, lAMDE (Analyse des modes de dfaillance et de
fiques larrt ; leurs effets) et lAMDEC (bien que normalis il reste dans cette cat-
transformation. Cette phase concerne les transformations gorie), HAZOP, lAnalyse Fonctionnelle ;
gnrant des risques spcifiques lis aux chantiers ncessaires des outils logiques comme les arbres logiques (arbre de
pour les raliser ou linstallation transforme ; dfaillances, arbres causes consquences ou arbres dvnement) et
dmantlement (DEM) ou dconstruction. Cette phase cor- des outils de type rseaux comme les chanes de Markov (cf. article
respond aussi une phase de chantier trs spcifique. Relations entre probabilits et quations aux drives partielles
[A 565] dans le trait Sciences fondamentales) ou les rseaux de Ptri
Il est donc ncessaire de prciser la phase de vie de linstallation
(cf. articles Rseaux de Petri [R 7 252] dans le trait Mesures et
dans laquelle lanalyse est ralise. Il est aussi possible de se situer
Contrle, Applications des rseaux de Petri [S 7 254] dans le trait
dans une phase et de faire apparatre les risques principaux des
Informatique industrielle et la Sret de fonctionnement : mthodes
autres phases.
pour matriser les risques [AG 4 670] 5.5 dans le trait LEntreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systmique consiste par exemple prvoir et notamment en matire de probabilit.
matriser les risques apparaissant dans les autres phases ds la La mise en uvre de ces outils prsente un certain nombre de dif-
phase de conception. ficults. Ce sont en effet pour la plupart des outils dont lorigine est
lie lanalyse de fiabilit dobjets ou dlments dobjets et
leur adquation lanalyse de risques nest pas totale. Par ailleurs,
leur mise en uvre ncessite de linformation et loutil en lui-mme
1.2 Les besoins danalyse de risques nest pas gnrique de cette dernire.
Nota : le lecteur consultera utilement sur ce sujet larticle Importance de la scurit dans
lentreprise [AG 4 600] dans le trait lEntreprise industrielle. 1.4 Ncessit dune mthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la matrise des risques de lentreprise sont tout dabord un problme On voit donc apparatre une double ncessit :
dthique, ce sont aussi un moyen : essayer de rationaliser les outils caractre empirique. Le modle
daccrotre la confiance du public, du personnel, des investis- MADS (Mthodologie danalyse de dysfonctionnement des systmes)
seurs et de conserver une bonne image de marque ; tente de rpondre ce besoin. Modlisation systmique gnrale du
de satisfaire les contraintes rglementaires multiples : Code du danger, le modle MADS constitue la structure conceptuelle des outils
travail, installations classes pour la protection de lenvironnement, et mthodes empiriques ou semi-empiriques qui se sont dvelopps
circulaire Seveso, rgles des services de prvention des CRAM sur le terrain. MADS permet par exemple de faire apparatre les
(Caisses rgionales dassurance maladie) et des assurances ; concepts de lAMDEC ;
MOSAR ______________________________________________________________________________________________________________________________
construire des mthodes qui assurent la fois une cohrence blir un consensus sur les risques acceptables sous forme dune
dans le droulement de la dmarche analytique, qui facilitent et arti- grille Gravit-Probabilit ;
culent la mise en uvre des outils prcits, et qui participent la une vision microscopique conduisant un module B qui consiste
gense de linformation ncessaire la bonne utilisation de ces der- faire une analyse dtaille et complmentaire des dysfonctionne-
niers. MOSAR essaie de rpondre ces contraintes. Dans MOSAR, ments techniques et opratoires identifis dans le module A. Cest en
MADS permet de faire apparatre la structuration des dangers et fait une approche de type sret de fonctionnement qui vient faire
par consquent de les identifier de manire rationnelle. foisonner lanalyse prcdente. Dans les scnarios tablis dans le
module A, on va dvelopper les dysfonctionnements de nature opra-
toire et ceux de nature technique. Cest ce niveau que lon mettra en
uvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure gnrale module se termine par le rassemblement et lorganisation de linfor-
mation acquise pour la gestion des risques cest--dire des scnarios
de la mthode MOSAR identifis sils surviennent.
2.1 Les deux modules et les dix tapes 3. Modles mis en uvre :
La mthode sarticule autour de deux visions, do les deux MADS
modules qui la composent (figure 2) :
une vision macroscopique conduisant un module A qui
consiste faire une analyse des risques de proximit ou analyse prin- 3.1 Description de MADS
cipale de scurit ou analyse des risques principaux. Cest parce
que les lments qui constituent linstallation (stockages, machines, Le modle MADS (Mthodologie de dysfonctionnement des sys-
chanes de fabrication, oprateurs) sont proximit les uns des autres tmes, figure 3), appel aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces lments sont lement vocation pdagogique qui permet de construire et de
modliss sous forme de systmes ce qui va permettre didentifier en comprendre la problmatique de lanalyse des risques. Il est
quoi ils peuvent tre sources de danger. On recherche ensuite construit sur les bases des principes de la modlisation systmique
comment ils peuvent interfrer entre eux et avec leur environnement dvelopps par Jean-Louis Le Moigne dans La Thorie du Sys-
pour gnrer des scnarios daccidents. Ce travail ncessite la mise tme gnral [1].
en uvre du modle MADS (Mthodologie dAnalyse de Dysfonction- Lunivers du danger est form de deux systmes appels systme
nement des Systmes) [2] [3]. Ce module comporte aussi une phase source de danger et systme cible, en interaction et immergs dans
de ngociation avec les acteurs concerns, qui va permettre dta- un environnement dit actif.
partir
d'une Identifier les Module A : vision macroscopique de l'installation
modlisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation
Identifier les
scnarios de
dangers
valuer les
scnarios de
risques
Identifier les
risques de Ngocier des
fonctionnement objectifs et
hirarchiser
valuer les risques les scnarios
en construisant
des ADD et en Dfinir les
les quantifiant moyens de
prvention et
les qualifier
Ngocier des
objectifs prcis
de prvention
Module B : vision microscopique de l'installation Affiner les

Analyse des risques de fonctionnement ou moyens de
Sret de fonctionnement prvention
ADD : arbre de dfaillance Grer

les
risques
Figure 2 Les deux modules et les dix tapes de MOSAR : le parcours complet du MOSAR
MOSAR
Cas industriel
par Pierre PERILHON
Ingnieur de lcole nationale suprieure des arts et mtiers (ENSAM)
Ancien responsable de scurit-sret au Commissariat lnergie atomique (CEA)
1. Dfinition de lexemple. Modlisation ............................................... SE 4 061 - 2

1.1 Dcomposition du systme tudi et des systmes environnement
et oprateurs en sous-systmes................................................................. 2
2. Le module A de la mthode et ses cinq tapes............................... 3
2.1 Identification des sources de danger ......................................................... 3
2.2 Identifier les scnarios de danger .............................................................. 5
2.3 valuation des scnarios risques ............................................................ 9
2.4 Ngociation dobjectifs et hirarchisation des scnarios......................... 9
2.5 Dfinition et qualification des moyens de prvention et de protection.. 11
2.6 Conclusion sur le module A........................................................................ 12
3. Le module B de la mthode et ses cinq tapes ............................... 13
3.1 Identifier les risques de fonctionnement ................................................... 13
3.2 valuer les risques en construisant des arbres de dfaillances
et en les quantifiant ..................................................................................... 17
3.3 Ngocier des objectifs prcis de prvention ............................................. 18
3.4 Affiner les moyens de prvention .............................................................. 18
3.5 Grer les risques.......................................................................................... 21
4. Lorganisation des barrires dans une stratgie de dfense
en profondeur ........................................................................................... 22
a mthode MOSAR, dcrite dans larticle MOSAR - Prsentation de la

L mthode [SE 4 060], est ici dveloppe partir dun exemple concret.
Le choix de ce dernier rpond plusieurs contraintes :
difficult de dcrire un exemple industriel rel qui serait ainsi mis dans le
domaine public ;
ncessit de choisir un exemple que lon peut mettre sous forme
pdagogique pour montrer lintrt de la mthode. Il doit tre ni trop simple, ni
trop compliqu et doit cependant montrer toute lamplitude de la mthode ;
impossibilit de dvelopper compltement lexemple mais obligation den
dtailler suffisamment certaines phases pour en montrer lefficacit.
Nous avons donc retenu et construit en partie un exemple raliste, par ailleurs
suffisamment connu pour ne pas dsaronner les lecteurs et suffisamment riche
pour en retenir lattention.
MOSAR ______________________________________________________________________________________________________________________________
1. Dfinition de lexemple. tions pour lesquelles une telle dcomposition na pas dintrt,
voire est impossible.
Modlisation Cest le cas dun laboratoire qui comprend une multitude dobjets sans
sous-systmes clairement identifiables.
Nous prendrons comme exemple une installation de dpotage Elle permet cependant de gnrer des scnarios dinterfrence
de propane alimentant des ateliers prsente sur la figure 1. ou de proximit entre les sous-systmes si ces derniers peuvent
Les manires de segmenter le contexte sont multiples mais il tre identifis.
faut remarquer que pour un dcoupage donn dfinissant le sys- Il existe plusieurs manires de dcomposer une installation en
tme analyser, le reste du contexte se trouve dans lenvironne- sous-systmes :
ment du systme. Ainsi, quelle que soit la situation de la frontire dcomposition hirarchique en fonction des relations des
retenue entre le systme et son environnement, la somme des lments de linstallation entre eux ;
deux redonne toujours lensemble du contexte. dcomposition topologique en fonction de la position des
Le systme le plus dangereux dans ce contexte est linstallation lments de linstallation dans lespace ;
de dpotage de propane. Elle sera donc le systme sur lequel va dcomposition fonctionnelle de par la situation des lments
porter lanalyse (figure 2). de linstallation dans la chane de fonctionnement de cette der-
nire.
Nous utiliserons une association des deux dernires en rpon-
1.1 Dcomposition du systme tudi dant trois conditions :
et des systmes environnement les sous-systmes rpondent aux cinq critres dun systme
(structure, fonction, finalit, volution et environnement selon le
et oprateurs en sous-systmes modle canonique de Le Moigne [1]) ;
chacun doit tre homogne ;
La dcomposition du systme tudi (ici, le systme de dpo- leur nombre doit tre le plus limit possible, en tout cas inf-
tage) en sous-systmes nest pas obligatoire. Il existe des installa- rieur ou gal 12.
Lotissement Lotissement
30 m
Voie ferre 45 m
Dpotage
120 m
Ateliers
250 m
Parking
90 m
70 m Btiment administratif
30 m
Route 20 m
10 m
250 m 300 m
Rivire
Figure 1 Linstallation tudie
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphre
Systmes de Bras mobile

connexion Tuyau souple
Oprateur
Wagon Canalisations fixes
Pompe Vanne trois voies pour

prlvement contrle qualit
Figure 2 Le systme tudi
Dans le cas de linstallation de dpotage de propane, ceci

conduit cinq sous-systmes (figure 3) : 2. Le module A de la mthode
SS1 - la sphre et ses quipements ; et ses cinq tapes
SS2 - les tuyauteries de remplissage et dquilibrage ;
SS3 - le wagon et ses quipements ; Le lecteur consultera la figure 2 de larticle [SE 4 060].
SS4 - le bras mobile ;

SS5 - la pompe.
2.1 Identification des sources de danger
Pour ce qui concerne lenvironnement on considre que celui-ci 2.1.1 Identification des sources de danger de
est constitu dun ensemble denvironnements embots [environ- chaque sous-systme du systme dpotage
nement spcifique directement li linstallation, environnement
proche (ville, campagne), environnement lointain (dpartement, Il sagit didentifier en quoi chaque sous-systme peut tre
rgional)]. source de danger.
Pour effectuer ce travail, on lit chaque sous-systme travers la
On ne prend en compte, dans lexemple, que lenvironnement grille de typologie des systmes sources de danger dcrite au
spcifique que lon appellera pour simplifier, sous-systme envi- 2.2, encadr 1 de larticle [SE 4 060].
ronnement. On remplit la premire colonne du tableau A (figure 4).
Il en est de mme pour les oprateurs. Ils sont constitus en En faisant cette identification pour tous les sous-systmes, on
quipes, structures hirarchiques (services, dpartements...). Dans obtient donc une liste exhaustive des dangers de linstallation
lexemple, pour simplifier aussi, et dune manire gnrale dans la dpotage.
mthode danalyse, on ne modlisera dans un premier temps, La colonne phases de vie permet de prciser certains dangers.
dune manire globale, quun oprateur que lon appellera : Par exemple dans le cas de la sphre, si lon fait lanalyse dans la
sous-systme oprateur. phase dexploitation normale, il ny a pas de danger de manuten-
tion. En revanche, dans les phases montage et entretien il apparat
Dans lexemple, en ajoutant le sous-systme oprateur et le un danger de manutention avec les organes tels que les vannes et
sous-systme environnement (figure 3), on arrive pour le contexte la soupape.
au total sept sous-systmes, dont on tudie dabord linteraction
des cinq qui constituent le systme dangereux (systme tudi) et Il est donc possible de faire lanalyse soit phase par phase, soit
partir du rsultat obtenu dont on tudiera linteraction avec les en cherchant identifier les principaux dangers apparaissant dans
deux autres sous-systmes. les diffrentes phases.
Remarque : Deux phrases mnmotechniques pour saider

On pourrait aussi tudier les interactions des lments qui trouver des rponses dans la recherche des processus de danger
composent les sous-systmes environnement et oprateurs et et stimuler son imagination :
faire apparatre ainsi les interfrences internes ces systmes quest-ce qui est et qui pourrait ne pas tre ? Par exemple,
avant dtudier les interfrences avec les autres sous-systmes. il y a du courant lectrique et il pourrait ne pas y en avoir ;
Cest une approche complmentaire qui nest pas dveloppe quest-ce qui nest pas et qui pourrait tre ? Plus difficile.
dans ce document. Par exemple, il ny a pas de fuite mais il pourrait y en avoir une.
MOSAR ______________________________________________________________________________________________________________________________
SS1 Sphre est ses SS2 tuyauteries d'quilibrage

quipements et de remplissage
SS5 Wagon et ses SS4 Bras SS3

SS6 sous-systme
quipements mobile Pompe oprateur
Systme analys
Route
Parking
CONTEXE
Lotissement
Ateliers
Btiments administratifs
Voie ferre
Rivire
SS7 Sous-systme
environnement
SS : Sous-systme
Figure 3 La dcomposition du contexte en sept sous-systmes
2.1.2 Identification des processus de danger comme tel. Il nous aide faire apparatre des vnements et leurs
enchanements pouvant avoir des effets non souhaits sur des
Ce travail se fait ligne par ligne en recherchant les vnements cibles qui, ce niveau, ne sont pas encore identifies. Il appartient
qui constituent les processus de danger. On utilise le tableau A lanalyste de se servir des identifications dvnements pour
(figure 4) en commenant par la colonne des vnements initiaux. construire des chanes plus ou moins longues denchanements.
Ces derniers peuvent provenir soit du contenant, cest--dire de
lenveloppe du systme source, soit de son contenu. Exemple : lvnement surpression apparat deux endroits diff-
On recherche ensuite les vnements initiateurs qui peuvent rents dans la recherche des processus de danger lis la pression :
engendrer les vnements initiaux et on les note dans la colonne cest un vnement initiateur interne dune rupture ou dune fis-
correspondante du tableau A. Ces vnements peuvent tre dori- sure de lenveloppe ;
gine interne ou externe au systme source de danger. Dans ce cest un vnement initial interne dont lvnement initiateur
dernier cas ils sont gnrs par les champs. interne est un dysfonctionnement de soupape et lvnement initia-
La chane vnements initiateurs vnements initiaux gnre teur externe un flux thermique. La chane complte devient :
des vnements principaux que lon note dans la dernire colonne
droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture
2.1.3 Remarques
&
Dysfonctionnement de soupape
Cette technique nous donne un outil de gnration dun Dans lidentification des vnements principaux, il faut prendre
ensemble dvnements. Ce nest quun outil quil faut utiliser garde ne pas noter des interfrences avec les autres sous-
______________________________________________________________________________________________________________________________ MOSAR
Phases de vie : Influence des champs : vnements renforateurs :

Conception CO Conditions mto Sources d'allumage
Montage MO Corrosivit de l'air Densit de population
Essais ES Productivit Densit de circulation de trains et de vhicules
Exploitation : EX Rglementation
Entretien EN Maintenance
Dpannage DE Organisation des quipes
Arrt AR Qualit de formation du personnel
Transformation TR
Dmantlement DEM
vnements initiateurs vnements initiaux

(3) (2)
Types de systmes
Phases vnements
sources de danger (1)
de vie Externes principaux
Application de la grille Lis Lis
(environnement Internes
au contenant au contenu
actif)
Corrosion
A 1 - sphre Choc
Surpression Rupture Fuite de propane :
et ses EX Corrosion Surpression
Dysfonctionnement Fissure gaz liquide
quipements Flux thermique
soupape
Dformation
Corrosion Rupture
A 2 - support EX Corrosion Effondrement
Surcharge Dformation
Renversement
Erreur de
A 3 - propane Dysfonctionnement
remplissage Dbit Sphre trop pleine
vannes, EX de la vanne Blocage
Choc, Givrage trop grand Fuite
soupape Prlvement
Obstacle
Choc manutention
A 4 - vannes, EN en cours de Dformation
Fuite
soupape MO montage ou de Fissuration
remontage
Diminution
Monte en
A 5 - sphre EX nergie thermique de rsistance BLEVE
temprature
mcanique
EN Pluie Structure
Accs en hauteur
A 6 - sphre DE Gel glissante
dangereux
EX Maladresse Accs hauteur
EN
A 7 - cuvette Maladresse Circulation pied
DE Dnivellement
de rtention Fatigue dangereuse
EX
EN
Possibilit
A 8 - quipements DE Maladresse Asprits
de blessures
EX
B 2 - sphre EX Entre d'air Explosion Explosion de la sphre
D 3 - propane EX lectricit statique Fuite Fuite enflamme
E 2 - lectricit Mauvaise mise Dplacement
EX lectricit statique
statique la terre propane
Figure 4 Tableau A : tablissement des processus de danger du sous-systme sphre
systmes sinon la gnration de scnarios deviendra confuse par 2.2 Identifier les scnarios de danger
la suite.
Ne pas crire explosion dans lvnement principal du processus Dans les installations industrielles, notamment celles prsentant
de danger li la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scnarios dacci-
gnre par la fuite rencontre une source dallumage (dans une cible) dents majeurs sont connus notamment grce au retour dexp-
pour quil y ait explosion. rience. On en retient gnralement six principaux [2] :
De la mme manire, ne pas crire chute de hauteur dans le incendie ;
processus de danger li laccs en hauteur de la sphre car encore explosion ;
faut-il quun oprateur ait accder sur la sphre pour que cela libration de produits toxiques ;
entrane sa chute.
libration de produits inflammables ;
pollution des sols ;
On ne tient pas compte des barrires de prvention et de pro- pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intressant, voire indispensable de pouvoir gnrer des
nement. En effet, si lon veut pouvoir juger de la pertinence des scnarios daccidents possibles [ou plus gnralement des scna-
barrires prvues (projet) ou existantes (diagnostic), il est nces- rios dvnement non souhait (ENS)] et notamment de faire appa-
saire de faire un point zro sans barrires. ratre les principaux. Ceci permet en effet :
Analyse des risques des systmes

dynamiques : prliminaires
par Jean-Pierre SIGNORET
Matre s sciences. Ingnieur fiabiliste Total
Ancien Prsident de European Safety & Reliability Society (ESRA)
Animateur du groupe de travail Recherche mthodologique de lIMdR-SdF
1. Notion de Risque ............................................................................... SE 4 070 - 2

2. Dmarche gnrale.................................................................................. 2
3. Scurit versus disponibilit (de production).................................. 2
4. Mthodes et outils................................................................................... 4
5. Systmes dynamiques ............................................................................ 5
nalyse des risques des systmes dynamiques : choisi pour ne comporter

A que des mots du langage courant, un tel titre ne devrait gnrer aucune
ambigut sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de
termes font lobjet dune certaine drive smantique qui brouille les propos
linsu mme des interlocuteurs.
Ainsi nous aurions pu substituer Sret de fonctionnement (SdF) Analyse
des risques, mais ce terme restant encore trs fortement connot scurit, cela
naurait pas correspondu compltement lesprit de cet article o nous nous
proccupons aussi daspects conomiques comme la disponibilit de produc-
tion, par exemple. En effet, dfini comme une grandeur deux dimensions
(probabilit consquences), le risque a limmense avantage dapprhender,
dans le mme concept, des risques de nature compltement diffrente et, dans
cet expos prliminaire, nous nous efforcerons de montrer comment le corpus
de mthodes et doutils fiabilistes dvelopps ces cinquante dernires annes
permet de faire face aux divers types de risques rencontrs.
De mme, tout systme industriel tant peu ou prou dynamique , lappel-
lation systme dynamique constitue un raccourci pour dsigner les mthodes
et modles fiabilistes auxquels nous allons nous intresser pour reprsenter le
comportement des systmes tudis. Les travaux raliss par lingnieur fiabi-
liste sinscrivent en effet dans une dmarche danalyse systmatique, syst-
mique et probabiliste mettant en uvre toute une batterie de mthodes et
doutils que lon peut globalement rpartir en trois grandes classes :
mthodes de base pour aborder et dgrossir les problmes ;
mthodes statiques pour analyser les systmes dun point de vue structurel
(topologique) ;
mthodes dynamiques pour apprhender les aspects comportementaux.
Cette classification traduit une certaine gradation dans le degr dexpertise
ncessaire la mise en uvre des mthodes et surtout des outils qui prennent
de plus en plus lallure de botes noires dont les limitations chappent souvent
ceux qui les utilisent.
Le but de cet article introductif est de discuter rapidement des diffrentes classes de mtho-
des et doutils afin de mettre en lumire leurs rles respectifs ainsi que quelques-uns des pro-
blmes attachs leurs limitations, puis de situer plus prcisment dans cette dmarche
gnrale les mthodes dynamiques qui feront lobjet darticles spcifiques ultrieurs :
processus de Markov (mthode analytique) [SE 4 071] ;
rseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].
Mthode MADS-MOSAR
Pour en favoriser la mise en uvre
par Olivier GRANDAMAS

Docteur en gnie de lenvironnement
Directeur dAsphaleia
1. Problmatique ........................................................................................... SE 4 062 - 2

2. Modle de rfrence ................................................................................ 2
3. Mise en uvre de MADS-MOSAR ........................................................ 3
4. Mises en uvre complmentaires ....................................................... 8
5. Adquation mthode/problmatique .................................................. 9
6. Autre champs dapplication .................................................................. 9
7. Exemple dapplication............................................................................. 9
8. Avantages et inconvnients .................................................................. 14
9. Mise en uvre ........................................................................................... 15
10. Conclusion.................................................................................................. 15
objectif de cette prsentation est dapporter, en complment des

L articles [SE 4 060] et [SE 4 061] sur la mthode MOSAR, un regard trs
pratique sur la mise en uvre de MADS-MOSAR.
Force est de constater ce jour que, si cette mthode est toujours enseigne,
elle est trs peu applique. On retient aujourdhui que ses principes sont bons
mais que sa mise en uvre est lourde et fastidieuse, quelle est rserve des
experts et que le rapport temps pass sur travail produit est beaucoup trop
important.
Lobjectif est donc ici dinverser cette perception et de convaincre le lecteur
des trs nombreux avantages de MADS-MOSAR, en comparaison notamment
avec dautres mthodologies.
Ce travail est le fruit dune exprience de prs de 20 ans dans la mise en
uvre de MADS-MOSAR pour analyser les risques de systmes divers et
varis. Utiliser cette mthodologie comme support pour assurer des presta-
tions dans un bureau dtudes oblige se poser beaucoup de questions et
trouver obligatoirement des rponses permettant de produire une analyse
conforme aux attentes, notamment rglementaires, tout en tant rentable.
Toute cette exprience et ce travail vont tre restitus dans cet article, avec le
souci permanent daxer la prsentation de la mthode sous un aspect
pratique , indispensable son appropriation.
Certains y trouveront probablement une rupture avec ce qui est classique-
ment prsent sur MADS-MOSAR, notamment dans les articles prcdents.
Une telle rupture semble tre le prix de son oprationnalit.

MTHODE MADS-MOSAR ____________________________________________________________________________________________________________
1. Problmatique tme industriel. Les responsables de ces systmes doivent assurer

la protection de leur personnel et de lenvironnement, mais doi-
vent galement assurer la prennit de leurs installations et de
MADS-MOSAR est une mthode danalyse de risques labore leur production. Ce sont sur ces fondements que sont ns les
par Pierre Prilhon [1] [2]. plans de continuit dactivit (PCA). Quels sont tous les risques qui
peuvent se produire et in fine entraner la perte dexploitation de
Lanalyse de risques est ne au dbut des annes 1960. Le
tout ou partie du systme ? Y rpondre ncessite la ralisation
besoin danalyser les risques est parti de la ncessit de fiabiliser
dune analyse de risques.
des systmes, militaires lorigine. On a donc mis en uvre des
mthodologies pour assurer la sret de fonctionnement de La perte dactivit a galement des effets domino sur les
systmes complexes. Ces mthodologies lies la sret de fonc- finances. Il y a donc obligatoirement un lien entre analyse de
tionnement ont t ensuite appliques des systmes plus indus- risques et risques financiers.
triels pour rpondre notamment des exigences rglementaires. Enfin, avec la conjoncture actuelle et son lot de mutations, de
La loi de 1977 sur les installations classes, renforce par la pre- reclassements, de fermetures de sites, de prretraites, savoir ana-
mire rglementation europenne dite Seveso ont pouss les lyser les risques psycho-sociaux entre galement dans le spectre
industriels produire des analyses de risques afin de dmontrer de lanalyse de risques sur des systmes industriels.
quils avaient non seulement identifi les risques lis lexploita-
tion de leur systme, mais quils avaient galement pris toutes les La ncessit de raliser des analyses de risques ne se limite
dispositions pour en assurer la matrise. cependant pas aux risques industriels.
Pour produire ces analyses, les industriels, accompagns par les Les risques naturels, les risques urbains et leurs interactions
bureaux dtudes, ont utilis les mthodes quils matrisaient pour avec les risques industriels ncessitent galement de mener bien
la sret de fonctionnement. Par des analyses HAZOP ou AMDEC, des analyses de risques. Pour tablir son plan communal de sau-
deux mthodologies issues de la sret de fonctionnement, ils ont vegarde, un maire doit avoir au pralable analys les risques
produit les tudes de danger rglementairement demandes. auxquels ses administrs peuvent tre exposs. Il doit aussi et sur-
Jusqu la fin du sicle dernier, 99 % de ces analyses de risques tout avoir pris les mesures de prvention et de protection pour les
taient produites partir de ces mthodes. protger.
Les retours dexpriences ont dmontr des lacunes dans ces En conclusion, il ny a pas aujourdhui un systme industriel,
analyses de risques. Un certain nombre de pr-accidents, voire naturel ou urbain qui chappe lanalyse de risques.
daccidents, se sont produits sur des sites risques. Leur analyse a Compte tenu de ce spectre, il existe presque autant de mthodo-
montr que des scnarios non tudis dans les analyses de logies que de problmatiques.
risques produites se matrialisaient. Un manque dexhaustivit et
de systmatisme tait mis en vidence. Ne peut-on pas utiliser une seule et mme rfrence mthodolo-
gique pour analyser les risques de ces diffrents systmes avec
Les lgislateurs ont fait voluer la rglementation et, pour les
diffrents objectifs ?
installations classes pour la protection de lenvironnement (ICPE),
Seveso 2 a vu le jour. Une des volutions de la rglementation Le modle de rfrence de MADS-MOSAR le permet, encore
est de raliser une analyse de risques systmatique dun site, sans faut-il le dmontrer.
se focaliser uniquement sur les potentiels de danger les plus
importants. La notion deffets domino en est la concrtisation.
2. Modle de rfrence
Force est de constater que les mthodes utilises jusquici ne
sont plus pleinement adaptes. Raliser une HAZOP est faire lana-
lyse de risques dun procd. Son application, de par sa logique,
ne permet pas de prendre en compte systmatiquement les inte-
Afin de bien situer la mthode MADS-MOSAR, il est ncessaire
ractions de ce procd avec son environnement. LHAZOP doit tre
de faire le point sur la problmatique de la matrise des risques.
complte par une approche plus macroscopique. LAMDEC, de
par son formalisme ne permet pas une prise en compte systmati- La matrise des risques est le corps de connaissances transver-
que des effets domino. Cest celui qui utilise cette mthodologie sales qui a pour objectif de traiter (identifier, matriser, grer et
de bien identifier les causes et les consquences des poten- manager) des vnements non souhaits ou indsirs (des dys-
tiels de danger quil a identifis. fonctionnements) issus de la structure, de lactivit, de lvolution,
On constate ds lors que les analyses de risques ralises de la finalit ou de lenvironnement des systmes naturels ou arti-
aujourdhui sont des patchworks de mthodologies diffrentes ficiels.
dans lobjectif de couvrir lensemble des exigences rglementaires. Ces vnements provoquent ou sont susceptibles de provoquer
Il faut dire que la rglementation en la matire a des impacts sur des installations et/ou tres vivants tels que les
considrablement volu, et quaujourdhui, produire une analyse individus, les populations, les cosystmes.
de risques en bonne et due forme ne sinvente pas. Lapplication de cette connaissance au problme des analyses
Cette vision des analyses de risques dans le contexte des instal- de risques ncessite au pralable une rflexion pistmologique
lations classes pour la protection de lenvironnement est cepen- afin de dgager un langage unitaire, des concepts transversaux.
dant trs restrictive. Lapproche systmique propose des principes mthodologiques
Lanalyse de risques est donc devenue omniprsente dans nos dinvestigation des systmes naturels et artificiels pour amliorer
problmatiques actuelles. leur conception, leur fonctionnement et leur gestion.
Dans le monde industriel et les sites de production, il est Sur la base de la systmique et en particulier du concept de sys-
aujourdhui ncessaire de raliser une analyse de risques pour tmes propos par J.L. Lemoigne [3], le groupe MADS (Mthode
produire le document unique n de lvaluation des risques profes- danalyse du dysfonctionnement des systmes) a dvelopp un
sionnels conformment au Code du travail (rglementation remise modle de rfrence appel processus qui sadapte la problma-
au got du jour en novembre 2001). Raliser une tude ATEX tique de la matrise des risques [4] [5].
(atmosphre explosible) ncessite galement de raliser une ana- Pour tablir ce modle, on appelle flux des transactions non
lyse de risques. dsires dun systme avec son environnement et champ, lenvi-
Ces besoins en analyse de risques vont galement au-del des ronnement actif dont les fluctuations produisent des ruptures de
problmatiques hygine, scurit et environnement de tout sys- stabilit du systme.

_____________________________________________________________________________________________________________ MTHODE MADS-MOSAR
miner la recherche de processus source-flux-cible par simple

Source Cible positionnement des sous-systmes les uns par rapport aux autres.
Source Effets La mthode MADS-MOSAR nimpose pas de rgle de modlisa-
de flux du flux tion. La personne qui ralise lanalyse de risques avec
Flux MADS-MOSAR est libre de modliser comme bon lui semble.
Cependant, par exprience, il est important de donner quelques
Figure 1 Modle de rfrence conseils.
Conseils pratiques
Lorigine du flux sera appele source ; la rupture dquilibre La modlisation est ralise indpendamment de la problma-
concernant sa forme et/ou son comportement sera nomme tique de risques. On ne se dit pas : Je ne prends pas en compte
source de flux. La partie influe par le flux sera appele cible ; sa ce sous-systme parce quil ny a pas de risque . Un tel raison-
rupture dquilibre sera nomme effet. nement savrerait dangereux. Modliser un sous-systme sans lui
Il est noter que cet effet peut lui-mme tre source (transfor- associer de source signifie que ce systme a bien t tudi et
mant ainsi une cible en une source), ce qui traduit le phnomne quil ne comporte pas de source.
denchanement dvnements non dsirs que lon appelle scna- La modlisation est indpendante de la problmatique analy-
rio. se. Que je fasse du document unique ou de ltude de danger, je
Une analyse de risque consiste donc tudier le processus, dois disposer de la mme modlisation.
cest--dire la mise en relation dune source avec une cible au Si possible, la modlisation doit reprendre les termes qui
moyen de phnomnes appels flux dans un environnement actif caractrisent le systme tudi et qui sont communment utiliss
appel champ. par les personnes qui exploitent le systme.
Le modle de rfrence est prsent figure 1. Il faut privilgier une modlisation gographique et fonction-
nelle une modlisation organisationnelle. En effet, une organisa-
tion, cela volue sans cesse. Si chaque fois que lorganisation
changeait, il fallait actualiser lanalyse de risques, cette contrainte
3. Mise en uvre serait rdhibitoire. En revanche, lorganisation peut se greffer la
modlisation. On peut associer un service, une personne un
de MADS-MOSAR sous-systme modlis.
Il faut privilgier une modlisation gographique une mod-
En appliquant MADS-MOSAR, pour raliser une analyse de lisation fonctionnelle. Une modlisation gographique est beau-
risques avec ce moteur de rfrence, il est ncessaire de procder coup plus parlante. Elle peut tre couple un plan. Une
tape par tape : modlisation fonctionnelle est rserver pour des rseaux. On ne
va pas crer un sous-systme Rseau dair comprim dans
1. modlisation du systme tudi en le dcoupant en
chaque local desservi. On va prendre en compte un seul et mme
sous-systmes ;
systme.
2. identification des sources ;
Les sous-systmes modliss peuvent tre regroups par fina-
3. association des vnements ; lit. On va crer un systme Rseaux et dans ce sous-systme,
4. construction des processus ; crer Rseau dair comprim , Rseau de vapeur . Les
mmes rgles peuvent tre appliques aux vhicules, aux engins.
5. construction des scnarios ;
Quel que soit le systme tudi, quelle que soit son chelle, il
6. construction des arbres logiques ;
est conseill de prendre en compte par dfaut trois sous-systmes,
7. identification des mesures de matrise des risques ; indpendamment du systme tudi : sous-systmes Environne-
8. identification des mesures de prennit. ment naturel , Environnement technologique et Environne-
ment urbain . La prise en compte systmatique de ces sous-
systmes garantit lexhaustivit dans la prise en compte des effets
3.1 Modlisation domino entre le systme tudi et son environnement.
Toujours par souci de simplification, il est prconis de
La modlisation du systme tudier consiste en une prendre en compte systmatiquement un systme Hommes et
dcomposition sous forme de sous-systmes partir : de le dcomposer en sous-systmes : Personnel , Entreprises
de reprsentations du systme (descriptions, schmas, plans, extrieurs , Visiteurs et Population . Une telle dcomposi-
etc.) ; tion se justifie pour un systme industriel, mais serait diffrente
dune visite du systme ; pour un systme naturel ou urbain. Lhomme est omniprsent
dchanges avec les acteurs du systme. dans le systme tudi et son environnement. Considrer lhomme
comme une source et une cible est un minimum. Malheureuse-
La modlisation du systme tudi permet datteindre deux ment, si lon considre lhomme seulement comme une source et
objectifs cruciaux en analyse de risques : lexhaustivit et loptimi- une cible, on va obligatoirement le retrouver dans tous les syst-
sation. mes modliss. On va alors dmultiplier lanalyse et considrable-
Le fait de ne pas oublier de sous-systmes est primordial ; cest ment lalourdir en rptant chaque systme des mesures de
le garant de lexhaustivit. Dans la suite de lanalyse, il va falloir matrise des risques pour lhomme qui, finalement savrent gn-
identifier les sources. Cette identification se fera sous-systme par riques. Rien nempche de dcomposer le sous-systme
sous-systme, de manire systmatique, indpendamment les uns Personnel en Personnel administratif et Personnel tech-
des autres. Oublier un sous-systme, cest oublier des sources ou nique , ce dernier pouvant encore tre dcompos en Cariste ,
des cibles, cest donc oublier des scnarios et donc occulter la Pontier , Soudeur . Une telle modlisation sapplique parfai-
mise en uvre des mesures de matrise des risques ncessaires. tement aux objectifs de lvaluation des risques professionnels.
Quant loptimisation, elle est lie au simple fait que des La modlisation peut senvisager par tapes. On peut la faire
sous-systmes physiquement loigns ne pourront pas tre lori- voluer, non pas dans sa transversalit, ce qui est plus dlicat,
gine de flux susceptibles de les impacter. On va donc pouvoir li- mais dans sa profondeur. On ralise une tude de danger, on

MTHODE MADS-MOSAR ____________________________________________________________________________________________________________
modlise un sous-systme Local transformateur . Compte tenu

des objectifs de lanalyse, il ne savre pas ncessaire de le red- Tableau 1 Typologie associe aux sources
composer en sous-systmes. Les risques identifis seront lis Code Type de danger
lincendie et la pollution. En revanche, si lon a pour objectif une
valuation du risque professionnel ou un plan de continuit dacti- A.1 Appareils sous pressions
vit, il va tre ncessaire de dcomposer ce systme.
A.2 lments sous contraintes mcaniques
A.3 lments en mouvement
3.2 Identification des sources
A.4 lments ncessitant une manutention
La premire tape dans la construction des processus A.5 Systmes sources dexplosions dorigine
source-flux-cible est bien videmment lidentification des sources physique autres que A.1
lorigine potentielle des flux susceptibles dimpacter une cible.
La source est le potentiel de danger susceptible de gnrer un A.6 Systmes sources de chute de hauteur
flux pouvant impacter une cible. A.7 Systmes sources de chute de plain-pied
La mthodologie MADS-MOSAR consiste identifier toutes les
sources, sous-systme par sous-systme. A.8 Autres systmes sources de blessures
Cette identification peut tre ralise de diffrentes manires : A.9 Systmes sources de bruit et de vibrations
en groupe de travail, travers des documents (fiches de donnes
de scurit), par retour dexprience, etc. B.1 Systmes sources de ractions chimiques
MADS-MOSAR met la disposition de ses utilisateurs une liste B.2 Systmes sources dexplosion
de typologie des sources.
B.3 Systmes sources de toxicit et dagressivit
La grille de typologie des sources, prsente dans le tableau 1
distingue les systmes sources de danger dorigine mcanique (A), B.4 Systmes sources de pollution de latmosphre
chimique (B), lectrique (C), les systmes sources de danger et dodeurs
dincendie (D), radiologiques (E), les systmes sources de danger
biologique (F), sources de perte dactivit (G) et les systmes B.5 Systmes sources de manque doxygne
sources dorigine humaine (H). C.1 lectricit courant continu ou alternatif
Cette grille a pour premier objectif daider dans lidentification
des sources. Pour ce faire, sous-systme par sous-systme, on par- C.2 lectricit statique
court cette grille en se posant systmatiquement les questions C.3 Condensateurs de puissance
suivantes : dans ce sous-systme, y a-t-il des lments sous
pression ? Y a-t-il des lments sous contraintes mcaniques ? Y D Systmes sources dincendie
a-t-il des lments en mouvement ?
E.1 Systmes sources radiologiques
Si oui, on associe au sous-systme tudi les noms des sources
correspondantes, avec leur typologie : bouteille dazote A.1, pou- E.2 UV IR Visible
tre du pont-roulant A.2, chariot lvateur A.3... On peut identi-
fier plusieurs sources pour un mme systme. Une source peut E.3 Lasers
porter le mme nom mais pas la mme typologie. Une bouteille de E.4 Micro-ondes
gaz sous pression prsente une source du fait quelle soit sous
pression (A.1) mais aussi du fait quelle soit source de chute de E.5 Champs magntiques
hauteur (A.6). On notera alors : bouteille de gaz A.1 et bouteille F.1 Virus Bactries
de gaz A.6.
Cette typologie a aussi pour objectif de classer les sources et en F.2 Toxines
faciliter ainsi lexploitation. Il est possible alors de rechercher par G Source de par sa fonction
exemple toutes les sources dexplosion prsentes dans un
sous-systme donn. H Source dorigine humaine
Conseils pratiques
Lidentification des sources ne doit senvisager quune fois la
modlisation termine. On procde ainsi tape par tape. Lana- 3.3 Association des vnements
lyse nen sera que plus cohrente et plus efficace.
Il est plus ais de regrouper les sous-systmes par problma- Une fois les sources identifies, il faut leur associer des vne-
tique. On va identifier les sources dans tous les rseaux, puis dans ments, conformment au modle MADS. On distingue (figure 2) :
tous les engins, puis dans tous les vhicules, etc. lvnement initial (EI) ;
Au couple source-typologie, il est indispensable dassocier les vnements initiateurs internes (EII) ;
une phase de vie. En effet, on peut retrouver une source qualifie les vnements initiateurs externes (EIE) ;
par un mme nom et par une mme typologie, mais identifie les vnements principaux (EP).
dans une phase de vie du systme diffrente. Par exemple, un Lvnement initial (EI) : cest lvnement redout li la source
chariot lvateur en mouvement (A.3) peut tre identifi en (rupture de confinement, incendie, explosion, etc.).
Exploitation , mais aussi en Maintenance . Il est crucial de les
distinguer ainsi car ils ne prsenteront pas les mmes risques ; on Les vnements initiateurs internes (EII) : ce sont les vne-
ne mettra pas en uvre les mmes mesures de matrise des ments internes propres la source et qui peuvent initier eux
risques. En consquence, une source doit tre obligatoirement seuls loccurrence EI (usure, corrosion, dysfonctionnement, etc.).
dfinie par un nom, une typologie et une phase de vie. Ce conseil Les vnements initiateurs externes (EIE) : ce sont les vne-
trouve toute sa raison dtre quand on constate que la rglementa- ments extrieurs la source de danger et qui peuvent initier eux
tion sur les ICPE impose de raliser une analyse de risques dans seuls loccurrence EI (flux thermique chaud, flux liquide, action
toutes les phases de vie du systme. involontaire, etc.).

>iìiìmi
`>i\>Vi>ii
> i>*ii - ", /

>imViVi}jiw>Li/>
ViVijììì-ijìVii-`
Vi*jìì i>->viE,i>LV> -,
>i`}iì>>,iViVij`}iì`,-`

V}>i`}>iì> - {
Vi>iiV>i p
+ii`jwìL>i p
>iì>i>>miV>i p {
+iijjiji p x
Vij> p n
`V p n
iiì}>iì>ìmii p
,j`Vì>>iì}>i p {
{ *Vi>i p n
{ `V p n
{ iiiìmi>i p n
x > p
x />ì>V> p
x }>i`Li`j>i`vwVjìVV p

V p
,jvjiViLL}>i p
>Vi >ii i > ìi] `V > Vi i >

ji]ìjìiiii>iiL>Liì
miiV>`>ii
iii`>>V>iì>Vi>>i>j> L>ji
ìwV> ì `vvji j> ` mi VVij >>i ì
j``miiii`j>
1i ì i V>>Vji > ji>i i > Lj ì ij
i> }>i >i > > > jiii D
V>ii`j>ì>>j>i>Vii
ii`>]Viv>
i}>ììiiiìLiiiViìi
iìVii]Viì>>ViD`j}>}i]i>>iViLmi
VVi iVj > i >>i] i Vi iii ì Vii
>j>i
"i > V>i i V>V ì w>Lj i `Lj
V>i] Vii >Vi iVmi ì iVi Li i Xji
kiìi>ii>`
iViì>i
D ii i mi i V>>Vj ì Vii >Vi D jì > >ii
ì mi ji> ì j> `j}>`jVi i mi ì `V
mi j>] > iii] i i >i ì
/ii`V>>>`
iiv>X>ì>``ìViiViiiì
^/iViì}ji - { v
9- -,-+1 - --9-/ -9 +1 -\**,"

,"6
>
/i
}i q *ViV>i
vVii Vi i mi ì jVj jìi ij

mi>i
ìDìj>>>LiiìL>Ljì`vvjij>`
mi j`j] Vi ì i Vi j>> ì i i ì
j Vj /-
>j `> i ì j> i > i > >i
iìiiV>i`jìijiijViii>
jVjiVi]>iii]>ì`Ljiii
}i>iiii`Ljì`V
iimyiLii>i]Vii>Viivvi>ì
ii>iiV>iiìLjDi
`>i i ì iiii i ì i VL>i `
Li ì j> i i Li ì V> jji>i >}ii
i>i>iii}ii>imi]>ij
ì >Vji `jVi `> Vi ì iii ì ii Vi i
`>iVi>iii
i ì jVjìQ- {R i V`j> j>i
VVi>>>iìiìmi`>i`j}>}ii}>ì
}iìjjiDiìiViivviViViiì
>jìDiiiij>iijìw>Li ii
`>Viii>>i`Vii`mi
VVij>wj>iiiì`j>>ViV>
iw}i
jì>>iL>jiiViì>]iiim>ji
`> ij i i L ì Vi ì i ì v>i > ji> ì i
`vvjiiV>>Vji

V}>i
`}>iì> *

ì i ì }ji] jk v`>i> ì
ji -i
>Vi>iii>iV}>iiiì>
ii i i > > jiii Li ì V>i i *>i
vìi>iVji

* i Vi>] i i i ì iV D iii *
V>iQR QR jij w}i i vj ì ì i * i
* i`ji`>i > i L> ì ji ì j>>i
i i >i > >i>Vi] i * i * }i q
Vì>}i
/ii`V>>>`
- { v ^/iViì}ji
9- -,-+1 - --9-/ -9 +1 -\**,"

,"6
>ji
i>iVi}i>L``j>
}ij>`jLi`ji`>ìV`
>i
o * o
*
>}VìV>>Vjiv`>i>iìVi
ì>}mi`ViìLiii
x x
*>i i i > ì > i > V>] >i
* > j>> *
{ ì Vi i>i i i >Lì > `>
* *
ViìV>i>ii>>iiLi>Vv>Vi
i i Vi >i }mi * ì mi ì
x
>i ìi] i >v V> >Vi] ii > > ì
i
> ii ì i >i jiii
i> i> `jV i
o o
`j> `> i ì VVi> > ì ji> ì *i
*
V>i
*

>Vi *>i
*] * i i j>ì >Vi Vi>ii

*]* i i>i
V>i
}i q iiì}>iì>
+ii`jwìL>i
>ji i >i] ìi jVi>i ì `jw >
iì>i>ViDiiiii]`>iii] > `>i ] Vi ì >ii ii
V`jii*i>i>j>> jji>i ` `>i ì > ij ì vVii i
ì>i ki >v>ii Vi >] D ijiVi] i
> VV ` }>i ì > i>v D i mi `jViiLji>>ji>i}ji
ivviViiìj>iw}i\ ii\
p ìvV>ì`vvjij>iimiiVVi p v>Lj , \ L>Lj ì L vVii
>Vìi> i>iìi`jQ] Ri`>ìV``ji
p `Lj \ L>Lj ì L vVii D
U i>>i`jj ] ] i { >`ji`>ìV``ji
p VV`}>iì>ii`\ ji ì Vi `jw i > w>Lj] > i >j>
i ` ii] Vi` D vVii > i
U iji>ìV>Vìj>>ViVi]
i Vi>i jì > ì w>Lj i `V m i
U iji>ì>iiij>>ìymVi >i ì Lmi j D > jVj] V> ii jii D
VViVi ì > imi >i ii >VVì `

>i>Li>v>Xìmi>i` miVVij
j>i>i

i> V` D ì i >i ì L>i `
ii \ ìj>ì>Vi>v> ]i>ii V>LiìViiìw>Lj\
>`jv>>Viì**]ìj> i>iij>
ì>i>i {>`jv>>Viì*iiDj> >j> p //\ i i >> > imi `jv>>Vi i>
>ì*]]iw>iiìj> {iiiii /i/>
i >j>>ì*i>i>j>> i D i i] V> jji>i j} > i
iiii ì > ì `jv>>Vi o] i // i > j}>
>wìViiiVVi]iiiijiVi`}>i Do->vV>m>Vi]Viijjii}jj>>
`j> `ji i Vii ` mi vj ì ì >i > i> ` mi }L>] ki ViV i Vi
i * ijii > i Vi ì > iìV>j}>ìiiii>i>
>Vj]iiDjViiiiV>ViiV>Viì i // i >>mi i ki ij >ii D
Vi>jiiiiji>Vì>i` > ì `ji Liji `> i ì i i
mi
i>iLii>vviV>ì>ì> o DV> ìjiVi ii `V ì v>i i i ii i >j
Viìi >iiiìji
>j>ii] o ` i > L>Lj Vìi ì j ì > w>Lj] > `Lj jii D > L>
>i ì i ii i ` i `> j> D Lj i i mi vVi D > `j > i j
>>iV>i]i>ì> V> VViìVii>j>>>> iV>>Vji`V
iViì>>ì`jv>>Vi>>ìj>> vVii>kiii
ìV>V>iiV>}ii`j>/ii >`Lj >jkjii]i>i]
ì L>Lj j}i i ì jmi i ViD>>iiiijii
Vi`Vì>iiiiiiiVi `Vìì>i`jw\
V>ii`jjViì>}mi p `Ljiii ] \

i] `> Vi V>] > L>Lj ì >i ì i i U iiì i>iQ ] R]
`ji` i ì > jiVi `> D > > > ì > U >iiìLvVii q ]
>miì>jiii]iìi`mii U Vi>}i ` i i ì L vVii
`ji` i ì j> D > >} `V ` Vi Q ] R
/ii`V>>>`
^/iViì}ji - { v
9- -,-+1 - --9-/ -9 +1 -\**,"

,"6
p `Lji \
/>Li>qLjivVì
U >iiì >ììw]
U >iiiì i`jiwi] Q ] qx R ] q
U >iiì ] >ììw] *>>mi
U >ii`>iìì>Vii>] Q x] q{ R {] q
U Vi>}iìiìLvViii
`jiwi /i >
{
Ljiii`Ljimì`V`v
vjii ij> v> v>i i i jV>i ] ] ] ]
Vii Vi`> > > ` i ì L vVii
>j > i `Li> V> ii ii ì j>i ì ] q ]x q n]xx qx ] q
i> >i D > ì `ji Liji `> i { ] q ] q ]xn qx ] q
ì i " ii > V i i ii i >j
>iiiìji ]n q ]n{ q ]{ qx ]n q
i L>Lj Vji>i i 1 ì > w>Lj i n ]nnx q ] q ] qx ]{n q
ì > `Lj `jji `jw>Lj i ]nn q ]x q ]n qx ]{ q
`Lj \
]nn q ] q ] qx ]n q
p rq,
p 1 rq { ]nn q ] q ] qx ] q
]nn q ]x q ] qx ] q
n ]nn q ] q ]n qx ] q
>iì>i
]nn q ] q ] qx ]n{ q
>>miV>i
]nn q ] q ] qx ] q
,ii > }>i ì > ì > w}i > { ]nn q ] q ] qx ] q
iVi i ` > >i ì j> iVj > i V>ì
V>i] > imi j>i i ì i j> i ì V>i ">iii>> x]>iii]}wiy qx
`Vi q >Vi*>i q >w ì ii D Li i
V>Vìw>Lj`Lj`>i

iiìii``>i]Viij>i >Ljjii
m i\ i j> O ] ] P Viì > L vV
iiij>O {PD>>i`mi *ii}>iì>w}iii`j>i>`Lj
` mi] Vi v> i `wi Li `mi
ii>`j>i>w>Lj``mi
Ljjii > ji i i `> > `jw ki ì > w>Lj\
v> >i > Vj ` L vVii ` mi
1i v > `Vi j>ji ii i j> ì >Vi i ì
i>iQ] Ri`VjVi>iì`wii}>iì>
>i] i i ì>ì Vi i ii ì V>Vi ivviV
w}iì>mi>VVi>L>D>i
iii}>iì>ìjjVjìiiijij
ìj>ì>Vi ] D>i>>>j
w}i
> j> ì >i { `> i>i Q] R ] Vi ii >
* jì D Vii i] vw ì i>i i ki]v>iii>VVi>>>j>ì>i
}>i ijii] ì >mi ji] i Vi {iiii>>iìj>ì>Vi ]
jiVi`jjiiiimiiiiD>
> `wV> ì i }>i i > m i D j>i
ìj>>`>j>Vì
vw ì i i > ì O {P i O ] ]
1 i Vi i> > iii ] ] ] ] {] ]
i P v>] i > i ii D i ì { i i
}>i ivii `V ì Vi ii> > mi ì Vi>V`>}>ijij>w}i
>i > j> ì >i { ì ii `> j> ì @Vi D Vii >v>] * * * ijii
>Vi `jV `V i Vii ` mi i >i>>L>Lj`kii>ViD>>>>
ki i >Vi D > `j i >> jj i i ki Lj i >i >>>>] ViDì > L>Lj `ki
vi>i>>>>>}`Vii``mi ij i L j> ì vVii i > `ji Q] R
ì`Lj >ii`>w>Lj`mij`j
>`Lj `mij`ji`Vj}>iD> ikiijVjìi]>`V\
L>LjìiiD>`>>iìj>
ì >Vi ] i `Lj 1 i j}>i D > p * * * * { r
L>Ljìii`>j>ì>i { p , r* * *
p r* {
** rL>Lj`ki`>j> D>

i vi Vì ìi D Vii ii> ì

i i mi i i > i i `> i j> V>Vi > `Lj
i i `vvji] Vi i }>i
D>v]ij> ] ] i {ìji\ ii `j>i i L>Lj ì `vvji j>
ii`>]
p * * * * { r >i>] i Li ì ì j> { i v
p r* * * i ij\ ` i ViV i ìi >LL>
ii
`vvjiVi] i >>i i] i>i Vii`>
p 1 r* {
Vii m `vvji ` Vi ì >
i
i >Li> i j ì > L>Lj ì `vvji ii ì Lj ì ì {] i > L>Lj >
j>`miivVìi>L>Ljìj>{ i ii VViji `> Vi j> i i i > iì
ììVii`Lj>>ji1 i w
i> i v> i >ì > Viì i i mi
/ii`V>>>`
- { v { ^/iViì}ji
9- -,-+1 - --9-/ -9 +1 -\**,"

,"6
Viijìvw`VììViii>>`jiì
>ìjìLi>`Ljii`mii
i
o * o i ki] > i ì/-
>j `> i j> ì >i
* q V iii { q V` D j>> ì `Lj
ii`miVVij
x -i}>iì>w}i]>iì/-
>j`>i
x -i j> ] i Vi` > D i `ji ii ì L
vVii >] V] >} ì > `ji ii ì L
* * vVii > Lii ì `jv>>Vi > jì Q] R
>>LL> {
* * iiìw]Vii`jiiii>iii
V>i//i>/i/> `mij`j
x ii>w]>`jiii>`jv>>Vii
i >i >mi `>jiì i V>Vi `Lii i
o o `jv>>Vi>jìì>>jìì}>>i
* ` mi VVij i i `V ii `> i Vmi ì
* VVi > ki i i > w>Lj] > `Lj i
//

iii`]Vii>LL>]i/-
ìj> {i`
>ViVi i>i iwi>`jiiìw
}i q >iì>iV>Vì>w>Lj
+iijjiji
1ivi}>iì>V]ijVi>i`j>L
/>Li>q>LjivVì i ii vi ji ì L>i ii> ì j>i
ivviVii i V>V L>Li jj `> i >>
/i >
> }>ijVjì
{ `mi`j>i]>vìmimi]i
] ] ] ] >v>ii i ì>}i ì Vì i V>V >i
ii i`jV`VViivi>j>i
x ]n q ] q ]x qx ]n q
ì>Li Viì > i ì > jì i
n]x q ] q n]{nn qx ] q iViii>>>}iiiVji
x ] q ]x q ]nn qx ]n q * i >ii ì mi ì] i V>V
ii ` jVii > i i i ì }Vi `
x ]n{{ q n] q ]n qx ]{ q ii Vi> Li i >Vj i V>>Vji]
{ x]{ q ]xn q x]{ qx {]{{ q Lj i iv>Vi i ìi i
ii] `> Vii >i ji] D `jVi >Vm
x {]{ q x]n q {] qx x] q ii Vi i jij `> i }ViQR i >
]x q {] q ]x qx ]{{ q `jiji>iì>i>i}>i`>ji
]{ q ]n q ] qx ]n q
]x q ]{{x q{ ] q ]nn q iìL>i
x ]n q{ ]xx q ]{ qn ]{ q >viì`j>ìViì>imiD
`jw i Vi ii D j>L > L>Lj * `
`ki `> j> D > ` i vV ì L>Lj
* ì`vvjij> D>
Lii>ii`jiwiijii i`
ii, iiiiiìw
ii L>Lj i ì i ì >i Vji>i
w}i{\
i >Li> i j ì > L>Lj ì `vvji
>i`>j>iii `
j>`miivVìi>L>Ljìj>{
i `> j> D > i i > ii i
ììVii>`jw>Lj
`
> ìmi >i j> ii i Vji D ì >
/iiìjVj L>Lj ì ì ] >L v>Vii D > vi
Ljiii// >i\
V ì j] i mi >i `j> i j> i

ji`>V>Vìi`>iVi>i`ji
i
* ` r * o ` * M q o ` N
| |
i >i i v > i ki j>] >i ì
iiìjVj/-
>w`ji>Vv i i] > w}i{] i v> i i mi ii `>
>iV i i i ì j /- Lij D V>i >>}i j> > jj ijij > i > LVji j>
i
`ì }iiìLViiVii}jj>iii}>i

`ji}>iì>w}i \>`jiiiìL ì>
vVii ` mi j`j i jì `ji * o r o wi > vi o ijii
Vi` D > i ì i i ì j Vj `V i > ì > ì i i i >i j> `v
>j`>ij>ìLvVii ] i i`> vjii>i>ì>ìiki
/ii`V>>>`
^/iViì}ji - { vx

dynamiques : rseaux de Petri
Principes
Matre s-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Prsident de lInstitut de Sret de Fonctionnement (ISdF)
Ancien Prsident de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail Recherche Mthodologique de lIMdR-SdF
1. Contexte...................................................................................................... SE 4 072 2
2. Analytique versus Monte-Carlo ............................................................ 2
3. Modles de comportement .................................................................... 3
4. Simulation de Monte-Carlo.................................................................... 4
4.1 Principe ......................................................................................................... 4
4.2 Exemple simple............................................................................................ 4
4.3 Gnration des lois de probabilit ............................................................. 5
4.4 Prcision des rsultats................................................................................. 6
5. Rseaux de Petri ....................................................................................... 7
5.1 Historique ..................................................................................................... 7
5.2 Rseaux de Petri RdP de base ............................................................... 7
5.3 Extensions .................................................................................................... 11
6. RdP versus processus de Markov ........................................................ 13
7. Rseaux de Petri colors ........................................................................ 14
8. Conclusion.................................................................................................. 14
algr tout son intrt, lapproche analytique par processus de Markov (cf.
M dossier [SE 4 070] Analyse des risques des systmes dynamiques :
prliminaires ) trouve rapidement des limites lorsque la complexit des sys-
tmes industriels tudier ou des paramtres probabilistes valuer augmente.
Un saut qualitatif devient ncessaire qui impose labandon de lapproche ana-
lytique pour lapproche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste tirer des nombres au hasard pour animer un modle repr-
sentant le comportement du systme tudi dont lvolution ainsi simule sur
un grand nombre dhistoires permet dvaluer les informations probabilistes
fiabilit, disponibilit, disponibilit de production, etc. recherches.
Une fois franchi le pas de la simulation, reste slectionner un modle de
comportement efficace sur lequel sexerce cette simulation. Le comportement
des systmes industriels prsentant beaucoup danalogie avec celui des auto-
mates tats finis tats discrets et dnombrables lun dentre eux sest
dtach et a t adopt et adapt ce propos ds la fin des annes soixante-
dix : le rseau de Petri (RdP).

ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI ___________________________________________________________________
Cest la reprsentation graphique du rseau de Petri qui lui confre ses carac-
tristiques les plus intressantes : construction matrise de grands modles
complexes partir dun nombre trs limit dlments, visualisation synth-
tique du modle obtenu, animation manuelle pas pas pour en vrifier le
comportement, etc.
Aprs avoir jet les bases de la simulation de Monte-Carlo, ce dossier
sattache montrer comment les rseaux de Petri constituent un formidable
support de simulation permettant dapprhender pratiquement tous les pro-
blmes probabilistes rencontrs dans le domaine industriel.
Dans la continuit des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] Analyse des risques des systmes dynamiques : prliminaires et
approche markovienne ), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur lutilisation primitive des rseaux de Petri pour gnrer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposs pour prsenter de manire progressive la faon daborder les
problmes classiques fiabilit et disponibilit les plus lmentaires avant
de se confronter aux situations autrement plus ardues de la disponibilit de
production impliquant une modlisation trs dtaille des procdures de main-
tenance et des niveaux de production du systme tudi.
Au cours du temps, les rseaux de Petri de base ont subi des volutions qui
les ont conduits progressivement aux rseaux de Petri prdicats et asser-
tions que nous utilisons aujourdhui. Grce la grande capacit de cette
approche absorber les amliorations, aucune remise en question drastique
des choix initiaux na jamais t ncessaire. Bien que pourvus maintenant
dune puissance de modlisation incomparable, les rseaux de Petri nont pas
encore dit leur dernier mot. Des possibilits damlioration existent qui sont
abordes succinctement la fin de ce dossier.
Pour un investissement intellectuel somme toute trs minime, les rseaux de
Petri fournissent un outil dune souplesse dutilisation et dune puissance de
modlisation aux possibilits quasi illimites. Ils offrent indubitablement lheure
actuelle le meilleur rapport qualit/prix en cette matire. Mettre le doigt dans
lengrenage des rseaux de Petri, cest prendre le risque de trouver dsormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir sen passer !
1. Contexte 2. Analytique versus

Mme si lapproche markovienne nest pas dmunie datouts, et Monte-Carlo
nous lavons montr prcdemment [SE 4 071], il nen reste pas
moins quelle atteint rapidement ses limites lorsquil sagit de satta- Avant de se focaliser sur le sujet de ce dossier, il est bon de
quer des problmes dont la nature scarte des simples calculs de sattaquer lide reue, courante par le pass et qui, bien
fiabilit/disponibilit classiques comme cest le cas lorsque les para- quencore propage par certains sectateurs, tend fort heureuse-
mtres de fiabilit cessent dtre exponentiels ou lorsque la taille du ment sestomper que lapproche analytique serait propre alors
systme tudi occasionne lexplosion du nombre des tats. que la simulation de Monte-Carlo, elle, serait sale.
Dans une telle conjoncture, la situation de lingnieur fiabiliste est- Pour les dpartager, il suffit de constater que les problmes rencon-
elle dsespre pour autant ? Non, bien sr, mais il doit se rsoudre trs par les ingnieurs fiabilistes se classent globalement en deux gran-
raliser le grand saut qualitatif mthodologique lui faisant abandonner des familles, scurit et disponibilit, dont les objets sont diffrents :
la douce quitude du calcul analytique orthodoxe pour les rivages plus
la scurit se proccupe dvnements rares dont loccurrence
tourments des gnrateurs de nombres alatoires et des estimations
entrane des consquences extrmement graves et elle est mise en
statistiques connus sous le nom de simulation de Monte-Carlo.
jeu ds le premier accident. Les tudes servent gnralement
Une fois le pas franchi se pose immdiatement la question dmontrer des autorits de sret comptentes donnant les
corollaire suivante : simulation de Monte-Carlo daccord, mais sur autorisations dexploiter que le risque de linstallation industrielle
quel type de modle de comportement du systme tudi ? concerne est acceptable. La scurit se satisfait donc dapproches
Le but de ce document est de rpondre aux questions prcdentes. conservatives ;
Aprs avoir montr rapidement les aspects complmentaires des la disponibilit se proccupe dvnements frquents dont
approches analytiques et par simulation il sattache dcrire les grands loccurrence nentrane que des consquences minimes et cest le
principes de la simulation de Monte-Carlo. Il expose ensuite en dtail le cumul de petites pertes frquentes qui fait le risque. Les tudes
modle reconnu comme lun des plus efficaces en la matire : le servent gnralement dmontrer des dcideurs donnant leur
rseau de Petri stochastique qui prte son nom au titre de ce dossier. feu vert pour concrtiser les projets que lexploitation sera

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI
rentable. Un trop fort conservatisme risquant de faire rejeter des

projets en fait rentables, la disponibilit demande donc de rester tats
A
au plus prs de la ralit (approche best estimate). B
Cela tombe bien puisque cest justement selon les deux axes E1
ci-dessus que les approches analytiques et par simulation se
distinguent rellement : E2
lapproche analytique nest pratiquement jamais utilisable sans E3
approximation mais ces approximations sont gnralement dautant
E4
moins sensibles que les probabilits mises en jeu sont petites. Cela
saccorde donc plutt bien avec les problmes lis la scurit ; Temps
lapproche par simulation de Monte-Carlo permet de modliser Figure 1 Processus stochastique
au plus prs le comportement des systmes tudis mais son effi-
cacit est dautant plus grande que les vnements concerns sont
plus frquents. Cela saccorde donc plutt bien avec les problmes 70
0
lis la disponibilit. 90 B
50 100 40
Donc, les approches analytiques et par simulation ne sont pas 50
interchangeables. Elles sont complmentaires et chacune est bien Puits D 70
40 90
adapte des types de problmes particuliers. Cependant, avec
70
laugmentation de la puissance des ordinateurs, les problmes de C
scurit sont de plus en plus accessibles la simulation, comme
nous le montrerons au cours de cet expos.
Effet rtroactif Effet direct
Avant de clore ce paragraphe, il nous faut aussi tuer le prsup-
pos qui veut que la simulation de Monte-Carlo soit imprcise par Chiffres donns en milliers de barils par jour
rapport lapproche analytique qui, elle, serait prcise. Comme
Figure 2 Diagramme de flux
nous le verrons plus loin, la simulation de Monte-Carlo dlivre tou-
jours lintervalle de confiance des rsultats obtenus. Ce nest que Pour valuer la disponibilit de production dun tel systme, il suffit
rarement le cas des mthodes analytiques pour lesquelles il est dvaluer le temps cumul moyen pass dans chacun de ses niveaux
souvent difficile, sinon impossible, de mesurer limpact des de production. Un cas particulier de ce genre de modle est celui pour
approximations ralises pour arriver obtenir un rsultat. lequel chaque bloc ne possde que deux tats (marche/panne). On
retombe alors sur un diagramme fiabilit et les calculs de fiabilit/
disponibilit classiques. La disponibilit moyenne est un cas particu-
3. Modles de comportement lier de disponibilit de production mais, cela tant trs similaire avec
ce que lon la dj vu en dtail dans le dossier [SE 4 071] sur lappro-
La modlisation probabiliste des systmes industriels dynami- che markovienne, nous ne nous tendrons pas davantage sur le sujet.
ques ncessite lutilisation de processus stochastiques. Cela a dj partir de considrations sur linstallation reprsente sur la
t voqu dans les dossiers [SE 4 070] et [SE 4 071] concernant ce figure 2, il est assez facile de dresser un inventaire la Prvert
type de systmes dont le comportement typique correspond des problmes quil convient daborder, sinon de matriser, pour
une modlisation la fois fonctionnelle et dysfonctionnelle raliste :
celui prsent sur la figure 1. niveaux de production ;
Sur cette figure, on voit un systme voluer entre 4 tats dis- effets amont et aval des dfaillances ;
tincts en fonction de dlais alatoires lis aux dfaillances et aux blocs en attente (redondance froide/chaude/mixte/tide) ;
rparations des 2 composants individuels qui le constituent. Ces blocs priodiquement tests ;
tats peuvent tre interprts de manires diffrentes selon le type dfaillances de cause commune ;
dtude raliser, par exemple : dfaillances induites (la perte dun bloc induit un tat de pro-
pour une tude de scurit ou de disponibilit classiques, les duction dgrade chez un autre) ;
tats 1, 2 et 3 sont les tats de bon fonctionnement et ltat 4, ltat arrt induit (la perte dun bloc induit larrt des blocs en srie
de panne ; avec lui) ;
pour une tude de disponibilit de production, ltat 1 est ltat reconfigurations lors de la perte dun bloc pour recouvrer tout
de production 100 %, ltat 4 est ltat de panne totale et les ou partie de la production ;
tats 2 et 3 des tats de marche dgrads. mobilisation des supports dintervention pour les interventions
lourdes ;
ce systme un peu trop simple pour illustrer lensemble des mobilisation des spcialistes pour les rparations de certains
difficults rencontres lors de la ralisation dtudes probabilistes, quipements ;
nous allons prfrer celui qui est reprsent sur la figure 2.
politique de maintenance curative (nombre dquipes,
Il sagit dun diagramme de flux modlisant une chane typique dfaillances critiques / dgrades, ...) ;
de production, par exemple le traitement des hydrocarbures sor- politique de maintenance prventive ;
tant dun puits de ptrole. Chaque bloc est caractris par sa capa- politique dapprovisionnement des pices de rechange ;
cit de traitement du flux circulant dans le systme. Les capacits activits se droulant en parallle ou en squence ;
varient en fonction dvnements internes (dfaillance, rparation dlais de transport des quipes de maintenance (hlicoptre,
du bloc) mais aussi dvnements externes (tats des autres blocs, bateau, ...) ;
politique dexploitation, etc.). Le puits a, par exemple, deux rythme jour/nuit (suspension des rparations la nuit, par exemple) ;
niveaux de production : 50 000 barils/jour en ruption naturelle et prsence normale ou non de personnel bord ;
90 000 barils/jours lorsquil est activ. stockages ;
Selon ltat de chacun des blocs, ce petit systme possde ainsi conditions mto ocanologiques pour les installations en mer ;
5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. dlais quelconques pour les vnements prendre en compte ;
un moment donn, le niveau de production est fix par le (les) etc.
bloc(s) qui impose(nt) la production minimale (goulot dtrangle- Plus on se rapproche de la ralit et plus le nombre dtats pren-
ment). Par exemple, lorsque le bloc C est en panne, la production dre en compte augmente mais la caractristique principale est que
tombe 70 000 barils/jours. ces tats restent bien individualiss (discrets) mme sils deviennent


dynamiques : rseaux de Petri
Exemples de modlisation
Matre s-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Prsident de lInstitut de Sret de Fonctionnement (ISdF)
Ancien Prsident de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail Recherche Mthodologique de lIMdR-SdF
1. Contexte ..................................................................................................... SE 4 073 2

2. Traitement de problmes typiques ..................................................... 2
2.1 Exemple dun systme fonctionnant en 2 sur 3 (2/3)................................ 2
2.2 Disponibilit ................................................................................................. 3
2.2.1 Modlisation........................................................................................ 3
2.2.2 Rsultats typiques et MTBF ............................................................... 3
2.2.3 Influence de la dispersion des temps de rparation ........................ 4
2.2.4 Observateurs de la simulation........................................................... 4
2.3 Fiabilit ......................................................................................................... 6
2.3.1 Modlisation........................................................................................ 6
2.3.2 Rsultats typiques............................................................................... 6
2.3.3 Influence de la dispersion des temps de rparation ........................ 6
2.3.4 MTTF .................................................................................................... 7
2.4 Lien Rseaux de Petri et diagrammes de fiabilit ..................................... 7
2.4.1 Rseaux de Petri de base ................................................................... 7
2.4.2 Rseaux de Petri prdicats et assertions ....................................... 8
2.5 Systmes priodiquement tests ............................................................... 8
2.5.1 Modlisation nave ............................................................................. 8
2.5.2 Modlisation efficace.......................................................................... 9
2.6 Disponibilit de production......................................................................... 9
2.6.1 Identification des niveaux de production ......................................... 9
2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. 10
2.6.3 lments de modlisation des systmes de production ................. 10
2.6.4 Modlisation des effets directs et rtroactifs des dfaillances ....... 13
3. Conclusion ................................................................................................. 13
e traitement dexemples caractristiques auxquels lingnieur fiabiliste est

L journellement confront lors de lanalyse et de la modlisation de sys-
tmes industriels permet daller plus loin dans la dcouverte des immenses
possibilits de modlisation par les rseaux de Petri entrevues dans le dossier
prcdent [SE 4 072].
Le dessein de ce second dossier est donc douvrir des pistes pour dmarrer
du bon pied les modlisation par rseaux de Petri aussi bien pour lvaluation
des paramtres fiabilistes classiques, comme la fiabilit, la disponibilit ou le
MTTF (Mean Time To Failure) des dispositifs de scurit, que pour lvaluation
de paramtre fiabilistes plus sophistiqus et ncessitant des modlisations trs
approfondies, comme la disponibilit de production, la frquence des pannes
ou la charge de maintenance des systmes de production.

ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI ___________________________________________________________________
Mme si les rseaux de Petri tirent une grande partie de leur puissance
dexpression de leur aspect graphique, la construction matrise de grand
modles implique la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilit et les diagrammes de flux est mis profit dans ce dossier pour
donner la ligne directrice dune modlisation modulaire incontournable pour
qui veut matriser ses modles au cours de leur dveloppement.
Le succs dune simulation de Monte-Carlo rsidant dans la rapidit des cal-
culs, les astuces connatre et les cueils viter sont indiqus au dtour des
exemples servant de support.
Enfin, cet ensemble dexemples vient conforter laffirmation exprime dans
le dossier [SE 4 072] : les rseaux de Petri constituent bien au dbut des annes
2000, dans le domaine de la sret de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modlisation. Attention laddiction guette... !
Concernant les notations et les graphismes utiliss, le lecteur se reportera
utilement au dossier [SE 4 072].
1. Contexte 2. Traitement de problmes

Dans le dossier [SE 4 072], un pan du voile a t soulev sur les
typiques
immenses possibilits de modlisation des rseaux de Petri. Le
traitement dun ensemble dexemples typiques correspondant aux
problmes auxquels lingnieur fiabiliste est journellement con- 2.1 Exemple dun systme fonctionnant
front permet de continuer cette aventure. en 2 sur 3 (2/3)
Un petit systme fonctionnant en vote majoritaire en 2/3 sert de fil
rouge pour introduire les lments relatifs aux calculs classiques de Pour montrer comment les rseaux de Petri permettent dappr-
fiabilit et de disponibilit. Les problmes de disponibilit de produc- hender les divers paramtres dintrt dans les tudes probabilis-
tion sont ensuite mis profit pour montrer tout lintrt de la modlisa- tes, nous allons commencer par nous appuyer sur la figure 1 dont
tion modulaire au profit de la matrise des grands systmes industriels. le but est de modliser le comportement dun systme en 2/3.
La publication rcente de la norme internationale IEC 61508 Ce systme est compos de 3 composants identiques partageant
[Doc. SE 4 073] concernant lvaluation des niveaux dintgrit la mme quipe de rparateurs et le lecteur reconnatra facilement
de scurit (Safety Integrity Levels SIL) met en lumire les lacu- les modules que nous avons dissqus en [SE 4 072] avec cepen-
nes actuelles en ce qui concerne la modlisation et les calculs de dant quelques ajouts. En effet, pour modliser un 2/3, il faut con-
systmes tests priodiquement. Un paragraphe spcifique ( 2) natre prcisment le nombre de composants fonctionnant un
est consacr ce problme que les rseaux de Petri permettent instant donn. Avec les rseaux de Petri, il existe plusieurs mani-
daborder sans difficults particulires. res possibles pour ce faire et nous avons dcid dintroduire ici
Quand on parle de modlisation fiabiliste, le traitement des deux places auxiliaires, une pour compter le nombre de compo-
dfaillances de cause commune (DCC) est incontournable. La sants en marche NbM et une autre pour compter le nombre de
modlisation des systmes de production est mise profit pour composants en panne NbP.
montrer comment apprhender facilement cette question. Chaque fois quun composant tombe en panne, NbP reoit un
Enfin, comme le succs ou lchec de lapproche par simulation jeton et NbM en perd un et, rciproquement, chaque fois quun
de Monte-Carlo est directement tributaire de la rapidit des calculs, composant est rpar NbM reoit un jeton et NbP en perd un.
les astuces connatre et les cueils viter sont indiqus au chaque instant, ces places permettent donc de connatre ltat du
dtour des exemples servant de support. De la ngligence de cet systme et, bien entendu, linstant initial, NbM doit contenir
aspect, des checs cuisants peuvent rsulter ! 3 jetons et NbP aucun.
M_1 M_2 M_3
NbM NbM NbM NbM NbM NbM

! RD ! RD ! RD
Fin_R1 P_1 Fin_R2 P_2 Fin_R3 P_3
NbP ? RD NbP NbP ? RD NbP NbP ? RD NbP

!-RD !-RD !-RD
R_1 A_1 R_2 A_2 R_3 A_3
St_R1 St_R2 St_R3
NbM Nombre de composants en marche NbP Nombre de composants en panne
Figure 1 Comptage des composants en panne et en marche

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI
2.2 Disponibilit
Marche
2.2.1 Modlisation NbM

-2
=0 Rparation
Telle quelle est, la figure 1 ne permet pas encore dvaluer
la disponibilit du systme. Il faut lui adjoindre un sous-rseau Panne =0 -2
de Petri auxiliaire qui saura dtecter quand le systme 2/3 est NbP
en Marche ou en Panne. Cest celui qui est reprsent sur la
Panne
figure 2.
Deux arcs inhibiteurs permettent de faire passer le systme 2/3
alternativement en panne et en marche selon le nombre de jetons Figure 2 RdP auxiliaire Disponibilit
dans les places NbM et NbP. Le passage est immdiat (dlai = 0)
ds que les conditions sont runies (deux composants en panne ou Tableau 1 Nombre moyen de tir
deux composants en marche). Lutilisation de tels arcs inhibiteurs des transitions
est trs pratique car elle ne perturbe pas du tout le modle de la
figure 1, qui pourrait tout aussi bien tre utilis pour analyser un 1/3 T = 10 000 h, = 2,
Nom Frquence
ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la 106 histoires
figure 2.
P_1 19,39
2.2.2 Rsultats typiques et MTBF Composant 1 St_R1 19,38
Les tableaux 1 et 2 montrent les rsultats pouvant tre obtenus Fin_R1 19,36
directement partir du rseau de Petri ci-dessus. Pour raliser ces P_2 19,41
Figure 1
calculs, nous avons adopt un classique taux de dfaillances () de
2.103/h pour chacun des composants mais, pour les rparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser linfluence de la dispersion du temps de rpa-
ration autour de cette moyenne en faisant varier le paramtre de P_3 19,37
forme .
Composant 3 St_R3 19,37
Les premiers rsultats standards sont prsents sur le
tableau 1. Ils ont t tablis en ralisant 106 histoires et avec Fin_R3 19,34
= 2. Ils concernent la frquence de tir de chacune des transi-
Panne 3,35
tions. On constate quen moyenne chaque composant subit de Figure 2 Disponibilit
lordre de 19,4 pannes au cours des 10 000 h simules et que Rparation 3,35
cela a conduit 3,35 dfaillances du systme en 2/3. Il en rsulte
que lquipe de maintenance a t mobilise environ 58,2 fois. Figure 6 Fiabilit Dfaillance 0,96
Tableau 2 Temps moyen de sjour dans les places et marquage moyen des places
T = 10 000 h, = 2, Temps moyen cart type Marquage moyen cart type
Nom
106 histoires (h) (h) (%) (%)
M_1 9 698,55 75,4 96,99 0,75
Composant 1 A_1 10,94 12,8 0,11 0,13
R_1 290,52 72,2 2,91 0,72
M_2 9 698,02 75,5 96,98 0,76

Figure 1
Composant 2 A_2 11,17 13,3 0,11 0,13
R_2 290,81 72,3 2,91 0,72
M_3 9 697,99 75,6 96,98 0,76
Composant 3 A_3 11,61 13,9 0,12 0,14
R_3 290,40 72,1 2,90 0,72
Marche 9 966,79 23,8 99,67 0,24

Figure 2 Disponibilit
Panne 33,21 23,8 0,33 0,24
Figure 6 Fiabilit Marche_en_continu 2 997,77 2670 29,98 26,71

Mthode LOPA : principe et exemple

dapplication
par Olivier IDDIR

Ingnieur en analyse de risques industriels Technip France
Service expertise et modlisation Division QHSES
1. Prsentation de la mthode LOPA...................................................... SE 4 075 - 3

1.1 Objectif de la mthode................................................................................ 3
1.2 Origines de la mthode............................................................................... 4
1.3 Droulement dune revue LOPA ................................................................ 4
1.4 Quelques rappels sur la notion de barrire de scurit ........................... 8
1.5 Principe des couches de protection ........................................................... 8
1.6 Critres de performance des barrires ...................................................... 13
1.7 Principales tapes de la mthode .............................................................. 15
1.8 Dfinition et quantification des frquences
des vnements initiateurs......................................................................... 16
1.9 Dfinition des barrires............................................................................... 17
1.10 Quantification des probabilits de dfaillance des barrires .................. 19
1.11 valuation de la frquence doccurrence rsiduelle du scnario............ 20
1.12 Exemple dapplication................................................................................. 22
2. Parallle entre la mthode LOPA et les autres
mthodes danalyse des risques.......................................................... 26
2.1 Lien privilgi avec lHAZOP ...................................................................... 26
2.2 Diffrences avec la mthode du nud papillon ....................................... 26
3. Conclusion ................................................................................................. 29
Pour en savoir plus ............................................................................................ Doc. SE 4 075
n France, depuis 2003, linfluence de la loi Bachelot et lintroduction des

E plans de prvention des risques technologiques (PPRT) ont eu comme
effet une volution notable dans la manire dvaluer les risques. En effet, les
volutions rglementaires ont conduit un plbiscite des analyses dites proba-
bilistes. De ce fait, les tudes de dangers (EDD) ne se limitent plus une
approche uniquement dterministe, et il est demand aux industriels dexpli-
citer le lien entre les rsultats de leur EDD et leurs choix en termes de mesures
de matrise des risques (MMR).
De manire beaucoup plus large, lors de la ralisation danalyses de risques,
des barrires de scurit sont valorises dans le but de justifier que les risques
sont prvenus et matriss. Ds lors, plusieurs questions viennent sponta-
nment lesprit :
Ai-je suffisamment de barrires de scurit ?
Comment dfinir prcisment le besoin en termes de rduction du risque ?
Les barrires mises en place sont elles suffisantes pour justifier dun
risque rsiduel acceptable ?
Pour justifier dun risque rsiduel faible, une tendance naturelle pourrait tre
de chercher valoriser un maximum de barrires. Une telle dmarche peut
malheureusement se rvler contre-productive car lempilement des barrires
ne garantit en rien dune bonne matrise de risques. De surcrot, ce biais de rai-
sonnement peut instaurer un faux sentiment de surscurit et mener
finalement un accident.

MTHODE LOPA : PRINCIPE ET EXEMPLE DAPPLICATION ___________________________________________________________________________________
Lmergence de la norme IEC 61511 relative au niveau dintgrit des fonc-

tions instrumentes de scurit (SIF) a mis en lumire le besoin de disposer de
mthodologies permettant de dterminer le niveau dintgrit ou niveau de SIL
(Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 dcrit
un certain nombre de mthodes permettant datteindre cet objectif. Lune
dentre elles est la mthode LOPA (Layer Of Protection Analysis). Si les normes
cites prcdemment sont spcifiques aux SIF, le principe des mthodes propo-
ses dans les normes est dclinable tous les types de barrires.
Le retour dexprience montre que de nombreuses barrires de scurit
mises en place sur les sites industriels sont le rsultat :
dune rponse des prescriptions rglementaires ;
du bon sens ;
de la prise en compte du retour dexprience et de laccidentologie.
De manire gnrale, il nest pas rare dans les EDD daboutir la conclusion
que les barrires de scurit mises en uvre par les industriels permettent de
justifier dun niveau de risque rsiduel acceptable. Par consquent, une
approche pragmatique base sur un ou plusieurs des trois critres prcdents
peut se rvler efficiente.
Lide de faire correspondre des barrires de scurit un besoin (facteur de
rduction du risque) est finalement relativement rcente. Si avec du recul, ce
concept peut paratre vident, sa mise en uvre savre beaucoup plus difficile
et ncessite de disposer de mthodes permettant de garantir de la pertinence
de lanalyse. Pour mener une telle approche, il faut disposer :
dun rfrentiel dacceptabilit des risques : sans rfrentiel, il est impos-
sible de proportionner le besoin en termes de barrires un facteur de rduction
du risque ;
dune mthode de quantification des risques : lestimation du facteur de
rduction du risque ncessite invitablement de recourir une estimation de la
criticit de lvnement indsirable.
Cet article sattache prsenter les principes fondamentaux de la mthode et
illustrer son application au travers dexemples pratiques.
Acronyme Dfinition Acronyme Dfinition
APS Automate programmable de scurit LOPA Layer Of Protection Analysis
BPCS Basic Process Control System LT Level Transmitter/Transmetteur de niveau

CCPs Center for Chemical Process Safety MMRI Mesure de matrise des risques instrumente
DGPR Direction gnrale de la prvention des risques MMR Mesure de matrise des risques
EI vnement initiateur PFD Probability of Failure on Demand
FCV Flow Control Valve/Vanne de rgulation de dbit PPRT Plan de prvention des risques technologiques
HAZOP Hazard and OPerability analysis
Risk Reduction Factor/Facteur de rduction
RRF
HSE Health and Safety Executive du risque
HSL Health and Safety Laboratory Safety Instrumented Function/Fonction

SIF
instrumente de scurit
IEC International Electrotechnical Commission
SIL Safety Intergrity Level/Niveau dintgrit
Independant Protection Layer/Couche
IPL TESEO Tecnica Empirica Stima Errori Operatori
de protection indpendante
ISA International Society of Automation THERP Technique for Human Error Rate Prediction

___________________________________________________________________________________ MTHODE LOPA : PRINCIPE ET EXEMPLE DAPPLICATION
1. Prsentation Nota : pour tre prises en compte dans le calcul de frquence doccurrence rsiduelle
du scnario, il faudra que les barrires de scurit vrifient les critres qui permettent de
de la mthode LOPA
rpondre la dfinition dune couche de protection indpendante (IPL).
Cette mthode intgre toutes les couches de protection de

lentreprise, tant organisationnelles que techniques. La mthode
LOPA value la rduction du risque en analysant la contribution
1.1 Objectif de la mthode des diffrentes couches (qui englobe lensemble des barrires
La mthode LOPA est une mthode semi-quantitative dvelop- depuis la conception du procd jusquaux mesures de secours)
pe dans loptique : en cas daccident. Louvrage du CCPs [1] introduit la notion de bar-
rire de scurit indpendante (IPL). Dans le cadre de lapplication
de juger de ladquation entre les barrires mises en uvre et de la mthode, seules les barrires de scurit qui vrifient les
le niveau de risque vis ; conditions pour tre retenues comme IPL sont valoriser dans le
de statuer sur le besoin de mise en uvre de nouvelles calcul de la frquence doccurrence rsiduelle du scnario.
barrires ;
de dfinir les exigences minimales sur la probabilit de La mthode LOPA trouve plusieurs applications :
dfaillance des barrires mettre en place dans le cas o les bar- complter lanalyse mene dans lHAZOP si le groupe de tra-
rires existantes ne permettraient pas de justifier dun risque vail considre le scnario trop complexe ou que les consquences
acceptable ; sont trop importantes ;
dvaluer la frquence doccurrence rsiduelle dun scnario dterminer les niveaux de SIL requis pour les fonctions instru-
daccident. mentes de scurit (SIF) ;
valuer limpact de la modification du procd ou des barrires
Nota : la mthode LOPA sert aussi identifier les actions humaines (rponses et de scurit ;
actions des oprateurs) qui peuvent permettre de rtablir le fonctionnement du systme.
Par la suite, il faut alors dfinir des procdures dans le but de garantir que les oprateurs
analyser de manire plus dtaille certains scnarios
seront forms pour accomplir ces actions. daccidents.
Daprs louvrage [1], un scnario est jug complexe en cas de
doute :
Remarque sur la comprhension du droulement du scnario identifi ;
Le CCPs considre la mthode LOPA comme semi-quantita- sur lindpendance des barrires valorises.
tive car la frquence doccurrence, ainsi que la gravit des Aujourdhui, le retour dexprience montre que la mthode
consquences, constituent des approximations qui utilisent en LOPA est principalement utilise dans le cadre de lapplication des
rgle gnrale une cotation laide de puissance de dix. normes SIL (IEC ou ISA). En revanche, les propositions de mise en
place de barrires supplmentaires dans le but de rduire un
risque ne doivent pas se limiter aux seules SIF.
La premire tape de la mthode LOPA consiste dfinir le scna-
rio daccident. Un scnario est compos a minima de deux lments :
un vnement initiateur ; Remarque
une consquence. Si lmergence des normes IEC 61508 et 61511 a eu pour
Lun des principes de base de la mthode est quun scnario effet de dmocratiser la mthode LOPA, celle-ci ne doit pas
doit tre compos dun unique couple vnement initiateur/ tre limite la dfinition des niveaux de SIL et elle peut tre
consquence. Dans le cas o un mme vnement initiateur peut utilise plus largement dans le cadre des analyses de risques.
mener diffrentes consquences, il est alors ncessaire de dfinir
autant de scnarios que de consquences.
La mthode LOPA peut aussi tre utilise comme une alternative
Un scnario peut, en plus des deux lments dfinis prcdemment, une analyse quantifie en termes de frquence doccurrence et
inclure : de gravit. ce titre, la figure 1 prsente lexemple de rpartition
des conditions de ralisation qui correspondent des des mthodes danalyse de risques propos par le CCPs dans
conditions ncessaires pour que lvnement initiateur puisse louvrage [1].
aboutir la consquence envisage ;
Nota : pour faire le parallle avec le contexte ICPE, dans les tudes de dangers, il est
la dfaillance des barrires de scurit mises en place vis--vis demand aux industriels franais de traiter laide dune mthode semi-quantifie ou
du scnario daccident. quantifie 100 % des scnarios daccident qui sortent des limites de ltablissement.
Analyse qualitative Analyse semi- Analyse quantitative

des risques quantitative des risques des risques (environ 1 %
(100 % des scnarios) (10 20 % des scnarios) des scnarios)
Ex : LOPA
Figure 1 Rpartition des mthodes danalyse (daprs [1])

CCPs dcida de runir des industriels et des experts en risques afin

La mthode LOPA est aujourdhui principalement utilise de dmarrer un groupe de travail sur la mthode LOPA. Pour ren-
pour dterminer le niveau de SIL allouer aux SIF. De dre accessible au grand public cette mthode, le CCPs publia en
manire plus large, elle permet de dterminer le nombre de 2001 louvrage Layer Of Protection Analysis (LOPA) [1]. De ce
barrires de scurit indpendantes (IPL) mettre en uvre fait, la mthode LOPA est souvent considre comme une
dans le but de pouvoir justifier dun niveau de risque mthode danalyse de risques rcente.
acceptable. La finalit de la mthode est destimer le niveau
de risque rsiduel en considrant leffet des IPL. Pour ce faire,
il est ncessaire : Remarque
dune part, de calculer la frquence doccurrence du sc- Il semble quune nouvelle version de louvrage LOPA pourrait
nario daccident (par an), ce qui ncessite dvaluer la fr- prochainement tre publie par le CCPs [2]. Cette nouvelle ver-
quence doccurrence des vnements initiateurs et les sion aurait pour objectif de prendre en compte le retour dexp-
probabilits de dfaillances de chaque IPL ; rience des utilisateurs de la mthode. La liste dvnements
dautre part, dvaluer la gravit associe la consquence initiateurs types et de barrires serait aussi plus dtaille.
en cas de survenue de laccident.
1.2 Origines de la mthode 1.3 Droulement dune revue LOPA

La gense de la mthode LOPA est prsente par le CPPS 1.3.1 Comptences ncessaires
dans [1]. Daprs cet ouvrage, la mthode LOPA trouve ses
origines dans deux publications : La LOPA est une mthode danalyse de risques mene en
la fin des annes 1980, le Chemical Manufacturers Asso- groupe de travail pluridisciplinaire. Dans lidal, le groupe doit tre
ciation (maintenant American Chemistry Council ) publie compos de reprsentants des disciplines suivantes :
Responsible Care Process Safety Code of Management scurit ;
Practices qui introduit la notion de couches de protection et qui instrumentation ;
recommande de les prendre en considration dans le cadre du procd ;
systme de management ; maintenance et inspection ;
en 1993, le Center of Chemical Process Safety (CCPs) introdui- exploitation.
sait dans le Guidelines for Safe Automation of Chemical La revue LOPA doit ncessairement tre mene en groupe de
Processes la mthode LOPA. Dans cet ouvrage, la mthode dcrite travail car lexpertise de chaque discipline est ncessaire. Le
tait un stade davancement prliminaire, mais tait dj propose tableau 1 prcise les domaines pour lesquels lexpertise de chaque
comme alternative pour dterminer le niveau de SIL des SIF. discipline est ncessaire au bon droulement de la revue.
En octobre 1997, lors du congrs international Atlanta sur les Le groupe de travail est gnralement pilot par un chairman
mthodes danalyses de risques organis par le CCPs, le besoin de (animateur de la revue) qui connat bien la mthodologie. Le
publier un ouvrage prsentant la mthode LOPA a merg des dif- chairman est en charge de conduire la revue, cest--dire dorgani-
frentes prsentations et discussions. ser les changes entre les diffrents membres. Ces changes
En parallle, en Europe et aux tats-Unis, les normes relatives sont formaliss sous la forme de tableau danalyse tel que pr-
au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) sent au paragraphe 1.3.3.
taient en pleine volution et dans leurs premires versions,
aucune de ces normes ne recommandait la mthode LOPA pour
dterminer le niveau de SIL des SIF. 1.3.2 Processus gnral de la mthode
Pour faire face aux volutions normatives mais aussi mthodo- Les principales tapes de la mthode LOPA dcrites au
logiques inities pour certaines par des industriels, en 1998, le paragraphe 1.7.1 sont reprises sur la figure 2.
Tableau 1 Domaines dexpertise des diffrents participants une revue LOPA

Discipline Domaine dexpertise
Dfinition des scnarios daccidents
valuation des frquences doccurrence des vnements initiateurs
Scurit
valuation des consquences et des niveaux de gravit qui y sont associs
valuation de la probabilit de dfaillance des barrires de scurit
Dfinition de larchitecture des fonctions instrumentes de scurit (SIF)
Instrumentation valuation de la probabilit de dfaillance des SIF
Connaissances sur les exigences des normes relatives au SIL (IEC 61508 61511)
Connaissance du fonctionnement du procd (permet didentifier les drives, dfinir des modes et seuils
Procd
de dtection, etc.)
Connaissance des frquences dinspection des quipements (donnes qui influent sur la frquence
doccurrence des vnements de type perte de confinement )
Connaissance des priodes de test pour les barrires de scurit (donnes ncessaires lvaluation
Maintenance et Inspection
de la probabilit de dfaillance des SIF)
Connaissance des temps de rparation des barrires de scurit (donnes ncessaires lvaluation
de la probabilit de dfaillance des SIF)
Exploitation Connaissance du fonctionnement des installations

Slection des scnarios daccident devant faire

lobjet dune analyse par la mthode LOPA
TAPE 1
Slection du premier
scnario daccident
Dveloppement
du scnario daccident
TAPE 2
TAPE 4
Identification des barrires valuation de la frquence Validation/valuation de la gravit

de scurit existantes doccurrence de lvnement des consquences associes
initiateur au scnario
TAPE 5 TAPE 3
Identification des couche

de protection indpendantes (IPL)
valuation de la frquence rsiduelle

valuation de la probabilit du scnario daccident (avec prise en
de dfaillance des IPL compte des barrires)
TAPE 6 TAPE 7
valuation de la criticit
NON du scnario daccident
OUI Peut-on dfinir Le risque

une nouvelle barrire ? est-il acceptable ?
TAPE 8
OUI
NON
Envisager de modifier OUI

Y a-t-il un autre
le procd scnario ?
NON
Fin de lanalyse
Figure 2 Processus gnral de la mthode LOPA
Comme pour toutes les mthodes danalyse de risques, il est et hypothses mises par le groupe de travail lors des 8 tapes dcri-
important : tes au paragraphe 1.7. Le tableau 2 prsente le formalisme de la fiche
que toutes les phases dexploitation de linstallation soient tu- danalyse propos dans louvrage LOPA [1]. Dans cette fiche, les
dies (dmarrage, arrt programm, fonctionnement nominal, etc.) ; cases non coches sont celles qui doivent tre renseignes par le
que toutes les causes pouvant mener un vnement initia- groupe de travail. Dans la pratique, les revues sont gnralement
teur soient identifies et tudies sparment car les barrires et conduites avec des tableaux danalyse qui diffrent (dans la forme)
IPL valorisables ne seront pas ncessairement les mmes. du tableau 2. titre dexemple, le tableau 4 prsente le formalisme
de tableau propos au chapitre 3 de la norme IEC 61511.
1.3.3 Contenu des tableaux dune revue LOPA Afin de guider lutilisateur, le CCPs prcise dans louvrage dcri-
vant la mthode LOPA [1] les attentes vis--vis des diffrents items
Lors dune revue LOPA, des tableaux danalyse sont remplis en qui doivent tre renseigns dans le tableau 2. Ces prcisions sont
temps rel. Ces tableaux ont pour objectif de formaliser les dcisions rsumes dans le tableau 3.

Tableau 2 Dfinitions des diffrents items renseigner dans la fiche de synthse

pour un scnario tudi laide de la mthode LOPA (daprs [1])
Numro du scnario : Numro de lquipement : Titre du scnario :
Date : Description Probabilit Frquence
Consquences/Niveau de gravit associ
Frquence cible pour atteindre le niveau

de risque acceptable
vnement initiateur du scnario
Conditions de ralisation du scnario
Facteurs conditionnels de ralisation Probabilit dinflammation
(si applicables au scnario)
Probabilit de prsence du personnel

dans la zone deffet atteinte par le scnario
Probabilit de blessures mortelles
Autres
Frquence du scnario sans les barrires
Barrires de scurit respectant les critres
dindpendance explicits dans la mthode
LOPA (IPL) et valeur de PFD associe
Autres barrires de scurit ne respectant

pas les critres dindpendance explicits
dans la mthode LOPA
Total des PFD associes aux barrires

de scurit indpendantes (IPL)
Frquence du scnario avec les barrires indpendantes
La frquence cible permettant de justifier dun risque acceptable est elle atteinte ? (Oui/Non) :
Actions requises pour atteindre le niveau de risque acceptable :
Notes :
Rfrences (PID, etc.) :
Identit des membres ayant particips la revue LOPA :

pour un scnario tudi laide de la mthode LOPA (daprs [1])
Item Dfinition/prcision
Consquences/Niveau de gravit associ Cet item peut tre renseign de deux manires :
qualitativement : la consquence est dcrite avec le plus de prcision possible.
Par exemple, monte en pression dans une capacit gnrant une fuite sur une bride
quantitativement : la consquence est dcrite en termes deffet. Par exemple,
mise latmosphre de X kg de produit inflammable
Dans les deux cas, un niveau de gravit doit tre associ la consquence
Frquence cible pour atteindre Cet item indique la frquence doccurrence maximale admissible pour la consquence
le niveau de risque acceptable au regard du niveau de gravit dfini prcdemment. Pour ce faire, en fonction de la finalit
de ltude, les critres dacceptabilit du risque utiliser peuvent tre, soit rglementaires,
soit internes un groupe ou un industriel
vnement initiateur du scnario Cet item doit tre renseign avec le plus de prcision possible.
Si lvnement initiateur est li au dpassement dun seuil, il est ncessaire que celui-ci
soit clairement indiqu. Par exemple, monte en temprature dans le racteur au-dessus
de T1 (en prcisant la valeur de T1)
Les trois derniers items ne sont pas explicits car il ny a pas dambigut sur leur interprtation.


pour un scnario tudi laide de la mthode LOPA (daprs [1]) (suite)
Item Dfinition/prcision
Conditions de ralisation du scnario Cet item doit tre renseign prcisment dans le but de pouvoir par la suite valuer
la probabilit associer chacune des conditions. Par exemple, si un emballement
de raction ne peut se produire que durant une phase spcifique de la raction,
il est ncessaire de prciser la dure de cette phase par rapport la dure totale
de la raction
Facteurs conditionnels de ralisation Cet item doit prciser la nature et les valeurs associes aux facteurs pris en compte
(si applicables au scnario) dans le calcul de la frquence doccurrence du scnario. En gnral, trois facteurs sont
pris en compte :
la probabilit dinflammation (dans le cas de mise latmosphre de produit inflammable)
la probabilit de prsence du personnel dans la zone deffet
la probabilit de blessure ou de mort dans la zone deffet
Barrires de scurit respectant Cet item permet de lister des barrires de scurit qui sont retenues comme IPL vis--vis
les critres dindpendance explicits du scnario daccident tudi. Les probabilits de dfaillances associes ces IPL doivent tre
dans la mthode LOPA (IPL) et valeur justifies. De mme, la dmonstration de lefficacit des IPL vis--vis du scnario daccident
de PFD associe doit tre documente
Autres barrires de scurit ne respectant Cet item doit prciser les barrires de scurit qui nont pas t retenues comme IPL.
pas les critres dindpendance explicits Lobjectif est dassurer une traabilit du raisonnement en expliquant pourquoi ces barrires
dans la mthode LOPA ne constituent pas des IPL
Total des PFD associes aux barrires Cet item correspond au produit des PFD associes chaque IPL
de scurit indpendantes (IPL)
Frquence du scnario avec les barrires Cet item correspond la frquence doccurrence rsiduelle du scnario daccident,
indpendantes cest--dire en considrant la dfaillance de lensemble des IPL valorises
La frquence cible permettant Cet item permet de statuer sur lacceptabilit du risque. Si la frquence doccurrence
de justifier dun risque acceptable rsiduelle calcule est suprieure la frquence cible, alors le risque nest pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la frquence doccurrence rsiduelle calcule est infrieure la frquence
cible, alors le risque est acceptable
Actions requises pour atteindre le niveau Cet item doit prciser quelles actions sont envisages pour rendre le risque acceptable.
de risque acceptable Dans le cas o une nouvelle barrire est propose, il est ncessaire de la dtailler
et en parallle de dmontrer quelle peut tre considre comme une IPL
Les trois derniers items ne sont pas explicits car il ny a pas dambigut sur leur interprtation.
Tableau 4 Tableau danalyse propos pour la conduite dune revue LOPA daprs le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilit
Probabilit
PFD doccurrence
No EI G CI P(CI) Conception Attnuation Barrire doccurrence Note
(SIF) rsiduelle
gnrale BPCS Alarmes supplmentaire de mitigation intermdiaire
(avec SIF)
du procd accs limit, etc. (non SIF)
EI : vnement indsirable/vnement initiateur.

G : niveau de gravit de lvnement indsirable.
CI : cause initiatrice (vnement initiateur).
P(CI) : probabilit doccurrence de la cause initiatrice.
BPCS : Basic Process Control System.
PFD(SIF) : probabilit de dfaillance la sollicitation de la fonction instrumente de scurit.

Mthode PDS
par Olivier IDDIR

Ingnieur quantification des risques Membre du rseau des experts de TECHNIP
Service Expertise & Modlisation TECHNIP, La dfense, France
1. Prsentation de la mthode....................................................................... SE 4 077 - 2

1.1 Les origines ................................................................................................. 2
1.2 Estimation de lindisponibilit critique de scurit .................................. 3
1.3 Les diffrents types de dfaillances pris en compte ................................ 5
1.4 Prise en compte des causes communes de dfaillances......................... 6
1.4.1 Dfinition ............................................................................................ 6
1.4.2 Le modle PDS................................................................................... 6
1.5 Les formules de calcul ................................................................................ 6
1.5.1 Calcul de la PFD et PFH ..................................................................... 6
1.5.2 Calcul de la DTU................................................................................. 9
1.5.3 Calcul de PTIF ...................................................................................... 9
2. Diffrences avec lIEC 61508 ...................................................................... 11
2.1 Les types dindisponibilit considrs ...................................................... 11
2.2 La prise en compte des modes communs de dfaillance ....................... 11
2.3 Lhypothse AGAN ..................................................................................... 11
2.4 La prise en compte des erreurs systmatiques........................................ 13
3. Cas dapplication......................................................................................... 13
3.1 Prsentation du cas..................................................................................... 13
3.2 Estimation de la CSU par la mthode PDS ............................................... 14
3.3 Estimation de la PFD par application des formules IEC 61508-6 ............ 14
4. Conclusion ................................................................................................... 16
Pour en savoir plus .............................................................................................. Doc. SE 4 077
our prvenir et limiter les risques, les industriels sont amens mettre en
P uvre des barrires de scurit. Il existe diffrents types de barrires de
scurit tels que les fonctions instrumentes de scurit (SIF); ralises par
des systmes instruments de scurit (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
dun SIS ncessite destimer le niveau dintgrit (SIL) des SIF pour justifier
que les risques sont matriss. Lobjectif est de dmontrer que les architectures
proposes pour les SIF permettent bien datteindre les niveaux de SIL requis.
Pour ce faire, il est ncessaire de calculer la probabilit de dfaillance de
chaque SIF (PFDavg pour les systmes en mode sollicitation ou PFH pour les
systmes en mode continu). La mthode PDS, largement utilise dans lindus-
trie offshore (et plus particulirement en Norvge), permet de rpondre ce
besoin.
Cet article prsente les principes de la mthode PDS et met en lumire les
principales diffrences avec lapproche prsente dans lIEC 61508-6. Plus
prcisment:
il retrace les origines de la mthode;
Copyright Techniques de lIngnieur Tous droits rservs

SE 4 077 1
MTHODE PDS _____________________________________________________________________________________________________________________
il prsente les formules permettant de calculer la probabilit de dfaillance

la sollicitation dune SIF (PFDavg);
il compare les valeurs de PFDavg obtenues par application de la mthode
PDS celles obtenues par application des formules de lIEC 61508-6.
1. Prsentation Mode continu: Mode de fonctionnement dans lequel la SIF

maintient le processus dans un tat de scurit en fonctionne-
de la mthode ment normal. Dfinition IEC 61511-1.
Pour chaque classe de SIL, les facteurs de rduction du risque

1.1 Les origines et valeurs cibles de PFDavg et PFH sont rappels dans les
tableaux1 et 2.
PDS est un acronyme norvgien pour dsigner la fiabilit et la
Les normes IEC 61508 et 61511 introduisent diffrentes
scurit des systmes instruments de scurit (SIS). La mthode
approches permettant destimer la probabilit de dfaillance dun
PDS a t dveloppe par le SINTEF en troite collaboration avec:
systme (pour en dduire le niveau de SIL), parmi elles:
des compagnies ptrolires; les formules analytiques [SE4058];
des fournisseurs et concepteurs de systme de logique de les arbres de dfaillance [SE4050];
traitement; les blocs diagramme de fiabilit;
des organismes spcialistes sur les systmes de contrle et les graphes de Markov [SE8250] [SE4071];
de scurit. les rseaux de Ptri [SE4073].
Elle permet de quantifier lindisponibilit de la scurit et de la Ces normes nimposent pas le type dapproche retenir mais
perte de production pour les systmes instruments de scurit (SIS). incitent lutilisateur retenir celle qui semble le mieux adapte
Son principe est dtaill dans louvrage PDS Method Handbook [1]. son besoin. La mthode PDS sinscrit donc comme un exemple
Cette mthode est couramment mise en uvre dans lindustrie dutilisation de formules analytiques dans le but de vrifier les
offshore, plus particulirement en Norvge (en lien avec le NOG niveaux de SIL requis. Mme si cette mthode est relativement
GL 070 [2]). dveloppe et quelle peut tre considre comme raliste,
elle reste relativement simple mettre en uvre et doit tre
Note : la mthode est galement applicable dautres secteurs dactivit que considre comme un outil ddi des non spcialistes en
loffshore.
matire de suret de fonctionnement. En effet, cette mthode a
Plus gnralement, elle permet destimer les niveaux de SIL des pour finalit damliorer la prise en compte des approches fiabi-
fonctions instrumentes de scurit, et donc de rpondre lune listes dans les disciplines de lingnierie, et ainsi combler le
des exigences des normes IEC 61508 et 61511 et du NOG GL 070. foss entre la thorie et son application.
Systme instrument de scurit (SIS): ensemble de mat- Tableau 1 Dfinition des niveaux SIL
riels qui composent le systme de scurit. Il comprend tous pour un systme en mode faible sollicitation
les capteurs, les logiques et les actionneurs. daprs IEC 61511-1
Fonction instrumente de scurit (SIF): automatisme de Niveau
scurit compos par un ou plusieurs capteurs, une logique et Facteur de rduction
dintgrit avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de scurit
de scurit.
SIL 1 102 PFDavg <101 10 <FRR 100
titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 103 PFDavg <102 100 <FRR 1000
quatre niveaux de rduction de risques appels niveaux de SIL.
SIL 3 104 PFDavg <103 1000 <FRR 10000
Les niveaux de SIL sont rattachs :
une probabilit de dfaillance sur sollicitation (note PFDavg) SIL 4 105 PFDavg <104 10000 <FRR 100000
pour les systmes en mode faible sollicitation;
une probabilit de dfaillance par heure (note PFH) pour les
systmes en mode continu ou en mode sollicitation leve. Tableau 2 Dfinition des niveaux SIL
pour un systme en mode continu ou en mode
sollicitation leve daprs IEC 61511-1
Mode faible sollicitation: Mode de fonctionnement dans
Niveau
lequel la SIF nest ralise que sur sollicitation, afin de faire Facteur de rduction
dintgrit PFH
passer le processus dans un tat de scurit spcifi, et o la du risque (FRR)
de scurit
frquence des sollicitations nest pas suprieure une par an.
Dfinition IEC 61511-1. SIL 1 106 PFH <105 10 <FRR 100
Mode sollicitation leve: Mode de fonctionnement dans
SIL 2 107 PFH <106 100 <FRR 1000
lequel la SIF nest ralise que sur sollicitation, afin de faire
passer le processus dans un tat de scurit spcifi, et o la SIL 3 108 PFH <107 1000 <FRR 10000
frquence des sollicitations est suprieure une par an. Dfini-
tion IEC 61511-1. SIL 4 109 PFH <108 10000 <FRR 100000

SE 4 077 2
_____________________________________________________________________________________________________________________ MTHODE PDS
Proposition Comparaison
Allocation
darchitectures Calcul des probabilits
Identification des niveaux de SIL
pour atteindre des probabilits de dfaillance
des SIF requis pour
les niveaux de dfaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)
Figure 1 Les diffrentes tapes pour estimer le niveau de SIL
La mthode PDS peut tre considre comme raliste car Trois contributeurs la CSU sont dsigns:
elle prend en compte les principaux paramtres qui ont une 1/ Lindisponibilit lie aux dfaillances dangereuses non dtectes
influence sur la disponibilit dun systme, tels que: (DU) qui couvre:
les diffrentes catgories de dfaillances/causes; a)lindisponibilit lie aux dfaillances alatoires de matriels
(DU-RH);
les dfaillances de cause commune;
b)lindisponibilit lie aux dfaillances systmatiques (DU-
les autotests (internes aux quipements dots de cette fonc-
SYST).
tionnalit);
Cette indisponibilit est associe la probabilit de dfaillance
les tests priodiques de bon fonctionnement; sur demande note PFD (Probability of Failure on Demand).
les dfaillances systmatiques; 2/ Lindisponibilit lie aux arrts qui couvre:
les redondances dquipements. a)lindisponibilit lie la rparation dquipements dcels en
panne (maintenance corrective) DTUR;
Comme prsent en figure1, la mthode PDS constitue une
alternative aux formules de calculs proposes dans lannexeB de b)lindisponibilit lie linhibition dquipements afin de rali-
lIEC 61508-6 lors de ltape de calcul de la probabilit de dfail- ser les tests priodiques de bon fonctionnement et la maintenance
lance pour justifier de latteinte du niveau SIL requis. prventive DTUT.
Toutes les approches prcites pour dterminer le niveau de SIL Cette indisponibilit est associe lindisponibilit pour arrts
ncessitent dutiliser des donnes de fiabilit pour caractriser les planifis noteDTU (Down Time Unavailability).
quipements qui permettent de remplir la fonction de scurit 3/ Lindisponibilit lie des dfaillances dangereuses caches qui
(dtecteur, automate, vanne disolement, etc.). Pour faciliter la ne peuvent pas tre dceles pendant les tests priodiques de bon
fonctionnement, mais uniquement lors dune sollicitation relle.
mise en uvre de la mthode PDS, le SINTEF propose en compl-
ment un recueil de donnes de fiabilit (PDS Data Handbook [3]). Cette indisponibilit est associe aux dfaillances caches note
PTIF (Test Independant Failure Probability).
1.2 Estimation de lindisponibilit PTIF: probabilit quun composant ou systme ne remplisse

critique de scurit pas sa fonction de scurit cause dune dfaillance latente
non dtectable lors des tests priodiques de bon fonctionne-
La mthode PDS introduit la notion dindisponibilit critique de ment.
scurit (traduction de Critical Safety Unavailability note CSU).
Louvrage [1] dfinit cette indisponibilit comme la probabilit
La CSU sexprime comme la somme de ces diffrents contribu-
quun systme ou composant ne remplisse pas sa fonction de
teurs:
scurit au moment o un vnement dangereux ou accident sur-
vient.
Copyright Techniques de lIngnieur Tous droits rservs.

SE 4 077 3
MTHODE PDS _____________________________________________________________________________________________________________________
Ces contributeurs lindisponibilit critique de scurit (CSU) Sur la figure3, il est possible dobserver que la PFD et la CSU
sont repris en figure2. atteignent leurs maximums juste avant la priode de test et leurs
La figure3 inspire de [1] illustre la contribution la CSU de la minimums juste aprs. Cependant, la valeur de CSU gnrale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU nest ment retenue correspond la moyenne. Par consquent, il est
pas considre. Lvolution de la PFD(t) est donne pour un qui- possible que la valeur moyenne permette de justifier de latteinte
pement en 1oo1 et est approxime comme suit: de lobjectif vis, mais quil ne le soit plus en considrant la valeur
maximum. Pour cette raison, il peut tre intressant de dterminer
le temps pass dans chaque classe de SIL.
Indisponibilit lie aux arrts

DTU : 2a (DTUR = rparation) et
2b (DTUT = tests)
Indisponibilit associe
aux dfaillances dangereuses Indisponibilit associe
PFD : 1a (dfaillances alatoires aux pannes caches (non rvles
de matriel) et 1b (dfaillances systmatiques) par les tests)
PTIF : 3
Indisponibilit critique
de scurit (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF
Figure 2 Contributeurs lindisponibilit critique de scurit (CSU)
volution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps
volution de la CSU en CSU maximum Valeur moyenne de la CSU

fonction du temps
PFD maximum
PFDavg = DU 0,5 T
PTIF
Temps
T 2T 3T 4T
Priode de test
Figure 3 Contribution lindisponibilit critique de scurit de la PFD et de PTIF

SE 4 077 4
Mthode HACCP Approche

pragmatique
par Michel FEDERIGHI

Professeur, Oniris, unit Hygine et Qualit des Aliments, Nantes, France
1. tape 1 : constitution de lquipe HACCP dlimitation SL 6 210v2 - 2

du champ de ltude ............................................................................
2. tape 2 : description du produit....................................................... 3
3. tape 3 : identification de lutilisation attendue......................... 3
4. tape 4 : tablir le diagramme des oprations ............................ 4
5. tape 5 : confirmation sur site du diagramme des oprations 4
6. tape 6 : analyse des dangers dtermination des causes
identification des mesures de matrise .......................................... 5
7. tape 7 : identifier les CCP (Critical Control Point) ................... 7
8. tape 8 : tablir les limites critiques .............................................. 8
9. tape 9 : mise en place dun systme de surveillance............... 9
10. tape 10 : identification des actions correctives........................ 9
11. tape 11 : tablir les procdures de vrification ........................ 10
12. tape 12 : tablir un systme de documentation........................ 10
13. Conclusion .............................................................................................. 11
14. Glossaire.................................................................................................. 11
Pour en savoir plus ........................................................................................ Doc. SL 6 210v2
nalyse des risques point critique pour leur matrise , telle a t la

A traduction de lacronyme anglais HACCP (Hazard Analysis Critical
Control Point) adopte par la commission du Codex Alimentarius en 1997
dans la troisime rvision du texte fondateur [1]. Lvolution de la terminologie
a cependant conduit prfrer par la suite analyse des dangers et des points
critiques pour leur matrise . Cette terminologie rend mieux compte de la
mission dvolue la mthode au sein de chaque entreprise, se dmarque et
vite la confusion avec la dmarche globale danalyse des risques, dcrite ga-
lement par le Codex, qui est du ressort des tats au sein de lOrganisation
Mondiale du Commerce. LHACCP est donc une mthode, une approche struc-
ture par sept principes permettant de se prmunir de tous problmes
dinscurit des aliments par la mise en place dactivits oprationnelles,
moyens et solutions techniques prtablies et den apporter la preuve !
Ainsi, lHACCP va rassurer et donner confiance en dmontrant la capacit de
lorganisme identifier les dangers menaant vritablement lhygine de ses
productions et organiser ses activits pour les matriser. Initialement dve-
loppe la fin des annes soixante pour lindustrie chimique aux tats-Unis, la
mthode HACCP fut rapidement reprise par les IAA (industries agroalimen-
taires) toujours aux tats-Unis, avant dtre aujourdhui mondialise. De nos

jours, aprs quelques annes de flottement dues des textes dcrivant la
mthode avec un nombre dtapes variant de 11 14, le texte du Codex
Copyright Techniques de lIngnieur Tous droits rservs SL 6 210v2 1
MTHODE HACCP APPROCHE PRAGMATIQUE ___________________________________________________________________________________________
Alimentarius fait rfrence et a fix ce nombre 12. De fait, une faon trs
simple de prsenter globalement la mthode HACCP est dindiquer quil sagit,
dans ses dernires tapes, des sept principes de la mthode, prcdes de
cinq tapes prliminaires destines collecter toutes les informations nces-
saires laccomplissement des fameux sept principes (tableau 1). Ce caractre
global de la mthode en fait un de ses atouts, chacun utilisant le mme drou-
lement de mthode.
Le statut rglementaire de la mthode HACCP a lui aussi volu, en particu-
lier sur le territoire europen. Dabord fortement recommande, puis
obligatoire (aprs transposition dans la loi nationale) pour lapplication de ses
principes dans la clbre directive hygine 93/43 (aujourdhui abroge), la
mthode HACCP est maintenant ancre fortement dans la rglementation
(rglement CE 178/2002 ou food law ) et largement rpandue dans les entre-
prises. Au-del de son caractre obligatoire, la mthode HACCP reprsente
pour celles-ci un vritable outil damlioration continue et, applique de faon
pragmatique dans la logique de ses 12 tapes, constitue le meilleur moyen
pour assurer la scurit de leurs produits finis.
Cet article se propose de dcrire les diffrentes tapes de la mthode en les
accompagnant, des fins didactiques, de commentaires, remarques et autres
retours dexprience de lutilisation de cette mthode.
1. tape 1 : constitution Cest un truisme que de dire que la mise en place dune
dmarche HACCP est un vritable travail dquipe. Cest au moins,
de lquipe HACCP et lvidence, une dmarche pluridisciplinaire ncessitant pour sa
mise en uvre des comptences trs varies. Mais cest gale-
dlimitation du champ ment, et plus particulirement, laffaire dune ou deux personnes.
ce titre, le rle de lanimateur est primordial pour la russite de
de ltude la dmarche et sa comptence reconnue en matire de mthode
HACCP doit le conforter. Il veille en particulier ladquation entre
la composition de lquipe et les besoins de ltude. Dans lidal,
une quipe de 5 6 personnes comptentes, volontaires et moti-
ves doit constituer une structure fonctionnelle non hirarchique
Hygine des aliments : ensemble des conditions et mesures
avec un animateur et un secrtaire technique. Au-del des fonc-
ncessaires pour assurer la scurit et la salubrit des aliments
tions qualit (assurance, contrle) et production incontournables
toutes les tapes de la chane alimentaire :
, les fonctions recherche et dveloppement, entretien et mainte-
scurit des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont prpars lquipe HACCP. Il sagit de constituer une quipe avec un noyau
et/ou consomms conformment lusage auquel ils sont dur qui va accompagner la dmarche du dbut jusqu la fin. De
destins ; fait, la formation la mthode HACCP de tous les membres de
salubrit des aliments : assurance que les aliments lorsquils lquipe est indispensable. Le rfrent HACCP de lquipe peut, par
sont consomms conformment lusage auquel ils sont desti- exemple, sappuyer sur le manuel de formation dit par la FAO
ns, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) Systme de qualit et de
Ainsi, lhygine des aliments nest pas lhygine alimentaire scurit sanitaire des aliments : manuel de formation [2]. Il
(apport raisonn par lalimentation des lments et nutriments insiste en particulier sur les liens, ainsi que la chronologie res-
ncessaires la vie). De mme, la scurit des aliments nest pecter dans leur mise en place respective, entre bonnes pratiques
pas la scurit alimentaire (scurit des approvisionnements, hyginiques et HACCP. Aprs la formation, lquipe HACCP
suffisance alimentaire). saccorde sur une dfinition des points critiques de matrise (CCP)
et autres points dattention (voir tape 7, 7), ainsi que sur un
Les notions de dangers et de risques sont souvent calendrier de ralisation. Un secrtaire technique seconde lanima-
employes de manire inapproprie, laissant penser que cela teur et veille ltablissement des comptes rendus des runions
puisse tre confondu, ce qui ne devrait pas tre le cas. de lquipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, prsent runions.
dans un aliment, ou tat de cet aliment, pouvant entraner un
Il est possible et recommand dadjoindre ce noyau dur, au
effet nfaste sur la sant.
gr des besoins et de la progression de ltude, toute personne
Risque : fonction de la probabilit dun effet nfaste sur la juge collectivement comme indispensable lavance du projet.
sant et de la gravit de cet effet rsultant dun ou de plusieurs Cette personne peut tre extrieure lorganisme (fournisseur,
dangers dans un aliment. consultant, experts divers et varis...). Il est important toutefois de
garder la main sur le sujet et de ne pas dpendre entirement
Ces confusions smantiques sont trs rpandues et de personnes extrieures, et il convient dtre trs prudent
devraient tre bannies, car elles ne participent pas simplifier vis--vis de la promesse dun systme complet cls en main . Il
le dbat et la communication. faut comprendre, assimiler et sapproprier la mthode HACCP pour
SL 6 210v2 2 Copyright Techniques de lIngnieur Tous droits rservs
___________________________________________________________________________________________ MTHODE HACCP APPROCHE PRAGMATIQUE
lappliquer son site de production. Il convient de rappeler ici

quun plan HACCP complet doit envisager tous les dangers signifi- 2. tape 2 : description
catifs pour tous les produits fabriqus par un organisme. Cepen-
dant, pour des raisons pratiques et defficacit, il est recommand
du produit
de dlimiter le champ de ltude.
Il est important de noter que cette description ne doit pas se
limiter au produit fini mais doit inclure les matires premires, les
Par exemple, lquipe HACCP peut concentrer ses efforts, lors produits intermdiaires le cas chant, ainsi que les divers ingr-
dune priode limite dans le temps, sur un triptyque illustr par la dients, matriaux demballage et les procds de traitement
figure 1. entrant dans la formulation du produit. Il sagit, lors de cette tape,
deffectuer un vritable audit produit. Un soin tout particulier
est accord aux exigences lgales et rglementaires et aux infor-
De la mme faon, face un processus de fabrication particuli- mations pertinentes au regard de la scurit des aliments :
rement complexe ou comprenant un grand nombre doprations caractristiques sanitaires : critres microbiologiques, physiques
et/ou de produits intermdiaires, il est recommand de subdiviser ou chimiques ;
le processus de fabrication en deux ou trois phases dont chacune caractristiques physico-chimiques en relation avec des dan-
fait lobjet dune tude HACCP particulire. gers significatifs (activit de leau aw , pH, potentiel doxydorduc-
tion (Eh ), concentrations en divers composs, composition
Bien videmment, la consquence pratique de ces dlimitations (incluant les teneurs en sel, sucres et substances grasses), etc.) ;
est que plusieurs tudes successives sont ncessaires pour aboutir traitements subis, surtout ceux qui peuvent avoir un impact
un plan HACCP complet. sur la scurit des aliments (traitements chimiques et physiques
Mme si elle va bien au-del de cela, on est en droit de consi- de prservation, ces derniers permettront de retracer, si nces-
drer que la dmarche HACCP sapparente un plan de travail saire, lhistorique des procds pouvant conduire une obligation
logique et chronologique. Le franchissement successif des douze dtiquetage [3]) ;
tapes constitue la squence dapplication du plan de travail. ce conditions de stockage en interne et les conditions de distribu-
titre, le recours des outils de gestion de projet comme le dia- tion et de conservation du produit fini.
gramme de Gantt ou des rtroplanning peut tre trs utile dans la Les informations lies aux produits ne doivent pas tre ngliges
planification des tches et le positionnement des jalons de car elles peuvent se rvler capitales lors des tapes 6, 7 et 8 qui
ltude. soulvent de nombreuses questions ; par exemple et de manire
non exhaustive :
le pH, le potentiel doxydorduction, lactivit de leau du
Le diagramme de Gantt est un outil permettant de modliser produit peuvent-ils inhiber la croissance microbienne ou la
la planification de tches ncessaires la ralisation dun toxinognse ?
projet. comment lemballage affecte la survie des micro-organismes ?
des micro-organismes ou des substances toxiques sont-ils
Un rtroplanning est un planning invers, conu en partant affects par les traitements subis ?
de la date de fin du projet puis en remontant dans le temps les temps dattente temprature ambiante en cours de pro-
afin de positionner les jalons. duction sont-ils acceptables ? Y a-t-il des donnes scientifiques
pour tayer la rponse ?
lun des facteurs de production constitue-t-il un moyen de
matrise dun danger significatif ? Se prte-t-il une surveillance
Il est important de noter galement que, comme pour toute
rapide et facile ? etc.
dmarche planifie et systmatise que lon souhaite efficace,
lengagement de la direction dans la dmarche HACCP doit tre
clair et sans faille. La direction doit tre informe de la ncessit
de la mettre en uvre et consciente de linvestissement que cela
reprsente. En retour, la dmarche HACCP assure la scurit sani- 3. tape 3 : identification
taire des produits fabriqus et peut se rvler un lment dam-
lioration organisationnelle de lorganisme. de lutilisation attendue
Cette tape doit permettre de complter les informations prc-
dentes et conduit notamment prciser la durabilit attendue, les
modalits normales dutilisation du produit ainsi que des ins-
tructions qui peuvent tre donnes pour lutilisation. Lutilisateur
peut tre le consommateur final ou bien le transformateur qui se
Un danger sert du produit comme dune matire premire ou dun ingrdient.
ou une catgorie De plus, il y a lieu de considrer toutes possibilits
de dangers
raisonnablement prvisibles dutilisation fautive [4]. Ce concept
est contenu dans larticle L. 221-1 du Code de la consommation. Le
raisonnablement prvisible est important ; il ne sagit en aucun
cas pour lquipe HACCP danticiper des utilisations imprvisibles
inadquates et/ou dangereuses : on ne peut prvoir limprvisible !
Un produit ou Un process ou Par contre, des fautes ou des pratiques errones peuvent tre anti-
une catgorie une catgorie cipes comme :
de produits de process
une remonte en temprature du produit lors du transport
entre le centre de distribution et le domicile ;
une consommation lgrement postrieure la date limite ;
une consommation en plusieurs fois ;
lutilisateur va vouloir prolonger la dure de vie dun produit
Figure 1 Champ dtude de lquipe HACCP rfrigr date par la conglation dudit produit ; etc.
Copyright Techniques de lIngnieur Tous droits rservs SL 6 210v2 3
La sret de fonctionnement :
mthodes pour matriser les risques
par Yves MORTUREUX

Expert Sret de Fonctionnement
la Direction dlgue Systme dexploitation et scurit la SNCF
Vice-Prsident de lInstitut de Sret de Fonctionnement
1. Caractrisation de la sret de fonctionnement ............................ AG 4 670 - 3

1.1 Considrer avec ralisme les entits auxquelles on a affaire.................. 3
1.2 Exploiter toutes les connaissances disponibles, rechercher le juste
ncessaire..................................................................................................... 3
1.3 Produire de la conance partageable grce la sret
de fonctionnement ...................................................................................... 4
2. Notions fondamentales .......................................................................... 4
2.1 Sret de fonctionnement .......................................................................... 4
2.2 Risque ........................................................................................................... 4
2.3 Fiabilit ......................................................................................................... 6
2.4 Maintenabilit .............................................................................................. 7
2.5 Disponibilit ................................................................................................. 7
2.6 Scurit......................................................................................................... 7
3. Taux de dfaillance, MTBF, MTTF, MUT .............................................. 8
4. Donnes de fiabilit (ou de maintenabilit) ..................................... 10
4.1 Gnralits ................................................................................................... 10
4.2 Bases de donnes........................................................................................ 10
4.3 Retour dexprience .................................................................................... 11
5. Dmarches et mthodes fondamentales dune approche SdF .... 12
5.1 Prsentation des caractristiques .............................................................. 12
5.2 Analyse prliminaire de risques (APR) ...................................................... 12
5.3 Analyse des modes de dfaillance, de leurs effets et de leurs criticits
(AMDEC) ....................................................................................................... 13
5.4 Arbres de causes, dvnement, de dfaillances...................................... 13
5.5 Graphes dtats. Rseaux de Petri ............................................................. 15
5.6 Complmentarits entre ces mthodes..................................................... 16
6. Fiabilits lectronique, mcanique, logicielle, humaine... ........... 16
ans lindustrie, on parle de plus en plus de sret de fonctionnement. Cette

D discipline, qui a acquis ce nom et sa forme actuelle principalement au cours
du dernier demi-sicle et dans les secteurs de la dfense, de laronautique, de
lespace, du nuclaire, puis des tlcommunications et des transports, serait
dsormais utile, voire indispensable, tous les secteurs de lindustrie et mme
dautres activits.
De quoi sagit il ? La sret de fonctionnement est une riche palette de mtho-
des et de concepts au service de la matrise des risques.
Techniques de lIngnieur, trait Lentreprise industrielle A G 4 670 1
LA SRET DE FONCTIONNEMENT : MTHODES POUR MATRISER LES RISQUES ____________________________________________________________________
La sret de fonctionnement nest pas un but en soi, mais un moyen ou un

ensemble de moyens : des dmarches, des mthodes, des outils et un vocabu-
laire. Le but qui impose le recours la sret de fonctionnement est plus recon-
naissable sous le terme de matrise des risques .
Comme il est habituel avec ce type de mots ou dexpressions, sret de
fonctionnement dsigne la fois un ensemble de moyens et un ensemble de
rsultats produits par ces moyens :
une forme desprit particulire dans la considration porte aux systmes
(en particulier industriels, mais rien ne justifie de se limiter lindustrie) ; des
dmarches, mthodes et outils propres connatre, caractriser et matriser les
effets des alas, des pannes, des erreurs... ;
des caractristiques des systmes (produits, services, systmes de produc-
tion, installations, etc.), exprimant la conformit dans le temps (constance, fr-
quence de la conformit) de leurs comportements et actions avec des attentes
plus ou moins explicites (on note la proximit de ces notions avec la qualit) :
scurit, fiabilit, disponibilit, maintenabilit, voire invulnrabilit, capabilit,
cot global de possession, survivabilit...
Par extension, on parle de la sret de fonctionnement dun systme
comme la caractristique de ce systme qui permet de placer en lui une
confiance justifie. Cest dune simplicit sduisante et trompeuse. La con-
fiance dpend de ce quoi on accorde de limportance (innocuit, productivit,
qualit... ?) et des valeurs relatives de ces caractristiques ; elle repose sur un
ensemble de dmarches et sexprime par un ensemble de caractristiques, en
particulier des disponibilits et de la scurit. Cest un atout majeur du concept
de sret de fonctionnement de runir des approches motives par la fiabilit, la
disponibilit, la maintenabilit et la scurit, mais cest un pige de vouloir
rduire une valeur (qui sappellerait la sret de fonctionnement du systme)
le rsultat de ces dmarches.
Les caractristiques pertinentes pour exprimer les fondements de la
confiance que lon place et que lon veut transmettre dans son systme pren-
nent des formes (des noms et des dfinitions) propres au systme dont il sagit,
aux cultures des acteurs concerns et leurs vocabulaires. Fondamentalement,
il sagit toujours de disponibilit et de scurit fondes sur des fiabilits et des
maintenabilits lmentaires, mais le foisonnement des vocabulaires en usage
dans les diffrentes branches de lindustrie (et encore plus si on largit au-del
du monde industriel) prouve que chacun a besoin de notions propres adaptes
son contexte.
Par contre, les dmarches et mthodes, mme caches sous des noms
divers et varis, savrent universelles. Plutt que les caractristiques, ce sont
les mthodes qui seront au cur de ce premier article. En matire de sret de
fonctionnement (et pas seulement l), il nous parat infiniment plus important de
comprendre une dmarche et un raisonnement, quitte rinventer le vocabu-
laire en lappliquant, que dapprendre des dfinitions et des rgles, dutiliser des
outils en se laissant guider par eux. Cette dernire pratique, trs rpandue,
conduit malheureusement assez souvent des conclusions gravement errones.
La sret de fonctionnement nest que du bon sens organis et systmatis.
Sen loigner en se laissant conduire par une recette ou une mthode lencon-
tre du bon sens est, coup sr, sexposer aux pires dangers derreurs graves.
Matriser les risques est une attitude naturelle que chacun pratique ; mettre en
uvre la sret de fonctionnement, cest professionnaliser cette attitude, la sys-
tmatiser, loptimiser, lexpliciter. Concrtement, cela peut se limiter un tat
desprit spcifique, quelques questions que lon se pose systmatiquement ;
cela peut aussi, linverse, mobiliser des quipes hautement spcialises en
calcul de probabilits, essais, modlisations, analyses, recueil et traitement de
donnes... chacun son activit, son besoin, ses enjeux, chacun sa sret de
fonctionnement, mais le principe en est toujours le mme.
Nota : Le lecteur pourra utilement se reporter au CD-Rom Scurit/Prvention des risques (projet 2002) et, plus particuli-
rement, larticle [SE 1 020] La sret de fonctionnement : dmarches pour matriser les risques .
A G 4 670 2 Techniques de lIngnieur, trait Lentreprise industrielle
___________________________________________________________________ LA SRET DE FONCTIONNEMENT : MTHODES POUR MATRISER LES RISQUES
1. Caractrisation Une premire caractristique dune approche sret de fonc-

de la sret tionnement, cest le principe de considrer un systme pour
tout ce quil peut tre et non seulement pour ce quon veut quil
de fonctionnement soit.
La sret de fonctionnement (SdF) est peut-tre dabord un tat

desprit avant dtre un ensemble de mthodes. Quest-ce qui carac- 1.2 Exploiter toutes les connaissances
trise cet esprit ? disponibles, rechercher le juste
ncessaire
1.1 Considrer avec ralisme les entits
auxquelles on a affaire Lapplication du principe voqu au paragraphe 1.1 met donc en
prsence de nombreuses ventualits dchecs ou daccidents. Il y a
lattitude qui consiste les ignorer et celle qui consiste les liminer
Un composant, un sous-systme peut tomber en panne. Un totalement. La SdF consiste remplacer le choix binaire entre ces
homme peut avoir une activit diffrente de ce quon a voulu lui deux extrmes par le choix continu entre toutes les positions inter-
prescrire. Les conditions denvironnement peuvent tre dfavora- mdiaires. Entre excs de prcautions (coteux, contraignant) et jeu
bles, etc. avec le feu (tout va bien jusqu la catastrophe), il y a un juste milieu
La sret de fonctionnement consiste ne pas considrer un sys- en harmonie avec les grands principes, la politique de son entit
tme uniquement travers son cahier des charges comme sil ne (entreprise, association...).
devait jamais avoir comme comportements et comme effets que
ceux pour lesquels il a t conu. Entre la connaissance dterministe que la panne va toucher tel
Exemple : un frein de bicyclette est conu, fabriqu, install pour composant tel moment et lignorance totale (on ne sait pas quelle
ralentir et arrter la bicyclette. panne va survenir, ni o, ni quand), il y a des connaissances incom-
Premirement, la SdF considre quil nest pas acquis, parce quil pltes ou incertaines. La sret de fonctionnement, loin de les car-
peut le faire, quil va le faire. Il peut ne pas remplir totalement, instanta- ter (comme si on ne pouvait rien faire dune incertitude) les exploite.
nment, chaque sollicitation sa fonction.
Le cas des composants lectroniques aprs la Seconde Guerre
Deuximement, la SdF considre que, partir du moment o il
existe, il va avoir des effets, peut-tre sans rapport avec sa fonction. mondiale est caractristique, puisquil est lorigine de lessor vo-
Normalement, un frein de bicyclette produit de la chaleur, peut faire du qu dans l historique : en prsence dun lot de composants
bruit, occupe de la place, ajoute du poids certains endroits. Un frein identiques (fabriqus ensemble), il ntait pas possible (techni-
de bicyclette, ce sont des pices qui pourraient, accidentellement, tom- quement ou conomiquement) de dterminer lesquels allaient tom-
ber dans les rayons, des cbles tendus qui pourraient, accidentelle- ber en panne et quand. Par contre, le retour dexprience montrait
ment, casser, cingler, blesser, etc. Il y a lieu den examiner les une trs grande rgularit dans le nombre de pannes rapport au
consquences pour faire des choix appropris. nombre de composants par unit de temps.
Historique
Selon A. Leroy et J.P. Signoret [1], lentre-deux-guerres voit merger les Ces activits, ds leur prime jeunesse, ont d matriser les risques dacci-
concepts de abilit et de taux de dfaillance dans laronautique suite la dents. Elles ont dvelopp des approches dterministes trs pousses et se
comparaison des frquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyes sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre dheures de vol. lanalyse logique pour assurer la scurit. Lapport des approches probabilis-
tes permet de chercher ajuster les mesures de prvention des vnements
partir de la deuxime guerre mondiale, une discipline se dveloppe sous alatoires au lieu de rester abrit derrire des normes de dimensionnement
le nom de thorie de la fiabilit . Les dcennies 1940 et 1950 sont caractri- larges et coteuses.
ses par la dcouverte de lefcacit dune approche probabiliste applique partir de la dcennie 1980, les efforts entrepris dans tant de directions
llectronique dans laronautique, la dfense et le nuclaire. La formulation sapprofondissent, mais aussi tendent se rejoindre pour constituer cette dis-
de ce qui nous parat vident aujourdhui la probabilit de succs dune cipline dapplication trs tendue quest aujourdhui la sret de fonctionne-
chane de composants est le produit des probabilits de succs de chacun des ment. On note les dveloppements suivants :
composants fut lorigine dun dveloppement trs rapide dans les domaines constitution de bases de donnes de fiabilit ;
cits. dbut de normalisation en matire de sret de fonctionnement ;
Cette priode fut aussi celle dun dveloppement rapide de llectronique dveloppement des mthodes danalyse, de modlisation, de reprsen-
qui introduit des composants nombreux dont les dfaillances individuelles tation des systmes complexes ;
sont imprvisibles ce stade des connaissances, mais dont les dfaillances dveloppement de logiciels de calculs ;
collectives prsentent des rgularits statistiques ; sur un lot de composants dveloppement de logiciels de modlisation ;
homogne, on sait prdire avec une bonne conance le nombre de campagnes dessais pour recueillir des donnes de fiabilit ;
dfaillances par unit de temps qui vont se produire alors quon reste totale- utilisation large ou cible de la sret de fonctionnement dans la plupart
ment incapable de prdire quel composant va tomber en panne et quand. des industries ;
utilisation de la sret de fonctionnement pour matriser tout type de
risque industriel (et peu peu des risques juridiques, individuels, financiers,
Les dcennies 1960 et 1970 sont marques par les tentatives de gnraliser etc.) et non seulement la scurit ;
cette approche probabiliste si russie dautres composants : apparition et dveloppement des clauses contractuelles de sret de
mcaniques, hydrauliques, lectriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences lgales et rglementaires de sret de
lextension de lapproche au retour la normale ( la abilit vient sajouter la fonctionnement ;
maintenabilit). En mme temps se dveloppent des mthodes permettant de besoin croissant de connaissances pointues dans les domaines scienti-
matriser les risques de systmes complexes (centrale nuclaire, supersoni- fiques concerns dans les systmes complexes : systmes programms,
que...) et non plus simplement de chanes de composants (mme complexes). sciences humaines et sociales.
Ces dmarches sont conduites par les quipes constitues autour de la A ujourdhui, le terme sret de fonctionnement recouvre lensemble
thorie de la abilit . Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une conance jus-
risques qui a toujours accompagn les activits risque comme le transport. tie dans le succs dun projet, dune activit et son innocuit.
Techniques de lIngnieur, trait Lentreprise industrielle AG 4 670 3
LA SRET DE FONCTIONNEMENT : MTHODES POUR MATRISER LES RISQUES ____________________________________________________________________
Entre une position trs prudente consistant ne pas utiliser ces La sret de fonctionnement est souvent dnie comme :
composants faute de pouvoir viter les pannes, en les remplaant
temps par exemple, et une position trs risque consistant esprer abilit, disponibilit, maintenabilit et scurit ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet science des dfaillances ;
dvaluer statistiquement le risque pris en fonction des choix maintien de la qualit dans le temps.
darchitecture, de politique de maintenance, etc., mais elle ne le per-
met que parce quil y a une information utile qui est, ici, la loi de pro- Toutes ces dnitions sont reconnues divers titres par lInstitut
babilit de dfaillance des composants en fonction du temps ! de Sret de Fonctionnement (ISDF). Chacune de ces dnitions est
porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant rductrice, trop troite.
1.3 Produire de la confiance partageable La dnition fiabilit, maintenabilit, disponibilit et
grce la sret de fonctionnement scurit fait donc rfrence aux dnitions de ces termes ( 2.3
2.6) et met en avant la cohrence de ces approches. Par contre, si
En vertu du principe voqu en premier dans le paragraphe 1.1, la la abilit (ou la maintenabilit, la disponibilit et la scurit) est
sret de fonctionnement tend tout prvoir ( ne pas confon- aussi une performance dun systme, la SdF ne se rduit pas facile-
dre avec empcher tout accident ). En vertu du deuxime prin- ment une performance.
cipe ( 1.2), elle tend prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que La dnition science des dfaillances met laccent sur la
choix et dcisions ont pu tre faits et pris en toute connaissance de prise en compte des dfaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, limportance de la connaissance sur
les dfaillances (causes, effets, mcanismes...) sans laquelle il ny a
Il ny a pas proprement parler de dcisions de SdF. Il y a des pas dapproche SdF. Mais elle est rductrice en ce sens que la SdF
dcisions techniques, politiques, des choix de conception, dorgani- prend en compte et traite plus que des dfaillances.
sation, dexploitation, etc., toutes les dcisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, prive... La En ce qui concerne les vnements naux (les consquences), la
SdF permet de prendre en compte de faon explicite les SdF ne prend pas en compte que les dfaillances dans laccomplis-
dfaillances, les incertitudes, les alas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances quon dtient leur che abilit, maintenabilit, disponibilit ou dependability ), mais
propos. Ce caractre explicite permet de justier, de montrer, de dis- aussi des vnements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la reprsentation des consquences (souhai- tionnel du systme (approche oriente scurit).
tes et non souhaites, mais matrises) des dcisions que lon En ce qui concerne les vnements initiateurs (les causes), la SdF
prend ou que lon veut faire prendre. ne se limite pas aux dfaillances, mais peut permettre de prendre en
compte aussi bien des agressions de lenvironnement, des actions
Utiliser la sret de fonctionnement, cest rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phnom-
exploiter les informations relatives aux vnements non nes alatoires...
voulus : pannes, agressions, alas..., les prendre en compte
pour des dcisions plus nes, plus justes, inspirant plus La dnition maintien de la qualit dans le temps souli-
conance. gne limportance de la dure et limportance de la rfrence des
exigences (explicites ou non). Elle a le dfaut de laisser supposer
Cela souligne aussi le fait quil ny a pas de dmarche sret de quune activit SdF se conduit ncessairement dans le cadre dune
fonctionnement possible sil ny a pas de connaissances. La SdF est dmarche qualit, ce qui est faux. Cest le choix explicable histori-
toujours totalement dpendante de la connaissance du systme tu- quement de certains secteurs industriels o la sret de fonction-
di et de ltat des sciences concernes. La recherche de ces infor- nement est trs dveloppe lintrieur de lorganisation Qualit,
mations, en particulier par le retour dexprience et les essais, est mais nest pas une ncessit ; dautres secteurs ont une forte exp-
donc indissociable de la SdF. rience de la sret de fonctionnement antrieure la Qualit au
sens moderne incarn par les normes ISO 9 000 et bien dautres, en
particulier une exprience de la sret de fonctionnement oriente
vers la scurit.
2. Notions fondamentales Nota : la recherche de termes quivalents dans dautres langues pose de srieux probl-
mes.
La dmarche, le raisonnement sret de fonctionnement

sappuient sur quelques notions de base qui se sont prcises au
cours de lvolution (cf. Historique) et qui continuent safner. Par- 2.2 Risque
courir ce vocabulaire de base est donc une introduction classique
la sret de fonctionnement. Le lecteur trouvera dautres dnitions
importantes dans un glossaire.
vnement redout valu en terme de frquence et de gra-
vit. En sret de fonctionnement, il sagit didentier les vne-
ments indsirables, dvaluer la frquence de leurs survenues et
2.1 Sret de fonctionnement de quoi elle dpend, dvaluer la gravit de leurs survenues et
de quoi elle dpend ; de prendre ses dcisions en fonction de
leurs impacts sur le triplet vnement, frquence, gravit
Aptitude dune entit satisfaire une ou plusieurs fonctions quon appelle risque.
requises dans des conditions donnes.
On notera que ce concept peut englober la abilit, la disponi-
bilit, la maintenabilit, la scurit, la durabilit... ou des combi-
naisons de ces aptitudes. Reformuler en terme de risque les lments de dcision qui rel-
vent de la prise en compte des dysfonctionnements, des alas, des
Au sens large, la SdF est considre comme la science des erreurs, des agressions de lextrieur... cest dj intgrer lesprit de
dfaillances et des pannes [2]. la sret de fonctionnement.
AG 4 670 4 Techniques de lIngnieur, trait Lentreprise industrielle
Mesures de matrise des risques

instrumentes (MMRI)
tat zro et fiche de vie
par Olivier IDDIR

Ingnieur analyse des risques
Membre du rseau des experts
TECHNIP France, Paris la-Dfense
1. Caractrisation dune mesures de matrise SE 2 090 - 2

des risques instrumentes (MMRI) ...................................................
1.1 Contexte : plan de modernisation des installations industrielles ......... 2
1.2 Vieillissement des MMRI .......................................................................... 4
1.3 MMRI parmi les MMR ............................................................................... 5
1.4 Contexte rglementaire ............................................................................ 6
1.5 Diffrents types de MMRI ......................................................................... 8
1.6 Performances des MMRI Rappels ......................................................... 11
2. Identification des MMRI ...................................................................... 11
2.1 Guide DT 93 ............................................................................................... 11
2.2 Mthode de slection du guide DT 93..................................................... 12
2.3 Rfrentiels dvaluation des MMRI........................................................ 15
3. Indpendance des MMRI ..................................................................... 15
3.1 Plusieurs notions dindpendance .......................................................... 15
3.2 Indpendance entre la MMRI et le scnario ........................................... 15
3.3 Indpendance des quipements dans une MMRI .................................. 16
3.4 Critre dindpendance des MMRI .......................................................... 16
3.5 Indpendance des MMR et des MMRI : clarification.............................. 18
4. tat zro et ficher de vie ..................................................................... 19
4.1 Contenu dune fiche de vie....................................................................... 19
4.2 Exemple de fiche de vie Proposition de lEXERA ................................ 21
5. Programme et plan de surveillance des MMRI.............................. 24
6. Conclusion............................................................................................... 25
uite une recrudescence de pertes de confinement dans les secteurs de

S lindustrie chimique et ptrolire survenues partir de 2007, un plan de
modernisation des installations industrielles (PMII) a t initi en 2008. Ce plan
a conduit dfinir pour les industriels soumis au rgime des installations clas-
ses pour la protection de lenvironnement (ICPE) de nouvelles obligations sur
le recensement, lvaluation et le suivi des quipements critiques.
Au travers de larrt du 4 octobre 2010, il est demand aux industriels de
mettre en place une mthodologie de gestion et de matrise du vieillissement
des mesures de matrise des risques instrumentes (MMRI). Lobjectif vis est
de pouvoir garantir un maintien dans le temps des performances des MMRI
valorises dans le cadre des tudes de dangers pour les sites classs SEVESO.
Cette nouvelle exigence a pour finalit de mieux prvenir le vieillissement en

imposant un suivi rigoureux de lensemble des systmes instruments de
MESURES DE MATRISE DES RISQUES INSTRUMENTES (MMRI) _____________________________________________________________________________
scurit (SIS) ainsi que certaines MMR qui couplent des quipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de systme action manuelle de scurit (SAMS), des
conditions quant la nature de laction humaine sont vrifier avant de
pouvoir les considrer comme des MMRI. Le prsent article sattache donner
les cls au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations ncessaires la ralisation des fiches de vie. Les
aspects lis lexploitation et la gestion des comptences ne seront pas
abords dans cet article. Le lecteur pourra se rfrer aux recommandations
prsentes dans la guide mthodologique pour la gestion et la matrise du
vieillissement des MMRI (guide DT 93).
Glossaire 1. Caractrisation
Acronyme Signification dune mesures de matrise
ADR
APS
Analyse dtaille des risques
Automate programmable de scurit
deRs risques
(aussi nomm APidS pour automate instrumentes (MMRI)
programmable ddi la scurit)
AU Arrt durgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrire technique de scurit
Entre 2007 et 2009, les pertes de confinements survenues
EDD tude de dangers Ambs (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI vnement initiateur de-la-Crau (7 aot 2009) avec des consquences environnementales
importantes ont mis en lumire la problmatique du vieillissement
ER vnement redout des installations. Le tableau 1 prsente les causes et les cons-
FCV Flow Control Valve quences associes ces trois pertes de confinement.
GMAO Gestion de la maintenance assiste Au regard des accidents lists dans le tableau 1 et de lge
par ordinateur moyen de loutil industriel en France, le ministre du Dveloppe-
ment a dcid dinitier fin 2008 par sa note du 12 dcembre 2008
ICPE Installations classes pour la protection (note BRTICP 2008-601-CBO) un plan pour la matrise du vieillisse-
de lenvironnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annonc de prvenir la survenue dincidents dont les causes
seraient lies lge des installions.
MMR Mesure de matrise des risques
MMRI Mesure de matrise des risques instrumente Il est demand aux industriels dvaluer si la dfaillance de leurs
installations est susceptible de conduire un risque technologique
MMRI C Mesure de matrise des risques instrumente direct ou indirect. Dans laffirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de matrise des risques instrumente
de scurit Les quipements concerns sont :
NC Niveau de confiance les capacits et tuyauteries ;
PID Piping and Instrumentation Diagram les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour lenvironnement et bacs cryogniques ;
industrielles les canalisations de transport de gaz, dhydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;
PFH Probability of Failure per Hour certains ouvrages de gnie civil ;

linstrumentation de scurit.
PPRT Plan de prvention des risques technologiques
SAMS Systme action manuelle de scurit Le tableau 2 prcise la nature des quipements viss, les
chances rglementaires, ainsi que les guides professionnels sur
SGS Systme de gestion de la scurit lesquels il est recommand de sappuyer.
SIF Safety Intrumented Function
Les exigences lies la mise en uvre de ce plan sont forma-
SIL Safety Integrity Level lises au travers des prescriptions de la section I de larrt du
4 octobre 2010 relatif la prvention des risques accidentels au
SIS Safety Instrumented System sein des installations classes pour la protection de lenvironne-
SNCC Systme numrique de contrle commande ment soumises autorisation. Plus particulirement, les articles 7
et 8 concernent les mesures de matrise des risques instrumentes
SV Safety Valve (MMRI).
_____________________________________________________________________________ MESURES DE MATRISE DES RISQUES INSTRUMENTES (MMRI)
Tableau 1 Accidents industriels attribus au vieillissement des installations
Localisation/
Cause Consquence
date
Ouverture brutale 2 000 m3 passent au-dessus

dun fond de bac des merlons en terre entourant
contenant 12 000 m3 la cuvette
de ptrole brut dans 50 m3 rejoignent les chenaux dune
un dpt zone marcageuse 2 km de fosss
pollus et infiltration jusqu la nappe
superficielle
50 m3 scoulent dans la
Ambs
Garonne avec les mares, 40 km
11 janvier 2007
de berges pollues sur la Gironde,
la Dordogne et la Garonne
Dversement de fioul
lourd dans lestuaire
de la Loire au cours
dun chargement de lorigine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brche de 16 cm due une corrosion
navire Fuite dcele seulement 5 h aprs
478 t de fioul dverses dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilises
pendant 3 mois et demi pour nettoyer
90 km de berges souilles
Dommages, cots de dpollution et
indemnisations estims environ
50 millions
5 400 m3 de ptrole brut dverss sur

5 ha de rserve naturelle
73 000 t de terres pollues dcaisses,
Rupture dune transportes et traites
canalisation de
transport de ptrole
brut dans la rserve
Plaine naturelle de la Crau
de la Crau (site Natura 2000)
7 aot 2009 Brche
boutonnire
de 15 cm de large et
1,8 m de long due
leffet de toit
Source : prsentation faite par le ministre de lEnvironnement sur ltat davancement du plan de modernisation du 13 janvier 2010
Cet arrt dfinit une MMRI comme une mesure de matrise des traitement comprenant une prise dinformation (capteur, dtec-
risques faisant appel de linstrumentation de scurit. Le guide DT teur...), un systme de traitement (automate, calculateur, relais...) et
93 vient prciser cette dfinition : MMR constitue par une chane de une action (actionneur avec ou sans intervention dun oprateur).
Tableau 2 quipements entrant dans le cadre du plan de modernisation

des installations industrielles chances et guides professionnels (source UIC)
Programme
Thme tat initial Guide professionnel
dinspection/surveillance
Guide dinspection et de maintenance

Rservoirs cryogniques 30 juin 2011 31 dcembre 2011
des rservoirs cryogniques DT 97
Guide dinspection et de maintenance des

Rservoirs de stockages 31 dcembre 2011 30 juin 2012
rservoirs ariens cylindriques verticaux DT 94
Capacits/tuyauteries 31 dcembre 2012 31 dcembre 2013 Guide tuyauterie dusine DT 96
Guide de surveillance des ouvrages de gnie

Rack interunits 31 dcembre 2012 31 dcembre 2013
civil et structures DT 98

Caniveaux/fosses humides bton 31 dcembre 2012 31 dcembre 2013 civil et structures Caniveaux et fosses humides
DT 100

Cuvettes/massifs de rservoirs 31 dcembre 2011 31 dcembre 2012
civil et structure DT 92
Guide mthodologique pour la gestion

Mesures de matrise des risques et la matrise du vieillissement des mesures
31 dcembre 2013 31 dcembre 2014
instrumentales de matrise des risques instrumentes (MMRI)
DT 93
en compte par le biais de calcul de fiabilit. En effet, pour un sys-

Seuls les tablissements soumis larrt du 10 mai 2000 tme de scurit, le seul bon fonctionnement (absence de panne)
modifi (SEVESO seuil haut ou SEVESO seuil bas) sont concer- peut savrer insuffisant et il est ncessaire de prvenir la dgrada-
ns par lidentification des MMRI. tion dans le temps des performances pour pouvoir justifier de la
matrise du risque dans le temps.
Par exemple, pour les MMRI dont le mode de dtection repose
1.2 Veillissement des MMRI sur de la dtection de gaz ambiante, il est connu que les dtecteurs
de gaz (comme dautres instruments de mesure) ont tendance
Il existe de nombreuses dfinitions possibles du vieillissement. driver dans le temps et que leur fonctionnement peut tre altr
Dans larticle [SE 2 080], les auteurs proposent de retenir la par des paramtres extrieurs. De ce fait, le temps de rponse peut
dfinition propose par lAgence pour lnergie nuclaire et reprise tre allong avec pour consquence une augmentation du dlai
par lElectric Power Research Institute (EPRI) : Processus par lequel avant la mise en scurit des installations. Plus prcisment, pour
les caractristiques dun systme, structure ou composant (SSC) se les dtecteurs de gaz toxiques, suite une campagne dvaluation
modifient graduellement avec le temps ou lutilisation. Daprs [1], des dtecteurs dammoniac, lINERIS concluait que ces dispositifs
ces mmes auteurs dfinissent le vieillissement comme suit : Le entraient dans une priode dendormissement sils ntaient
vieillissement est un phnomne continu et progressif qui dpend pas rgulirement mis en prsence de gaz ammoniac [2]. Cet
bien souvent dun grand nombre de covariables influentes telles endormissement ayant pour consquence dallonger les temps de
que le temps de fonctionnement, les chargements appliqus, les rponse et donc les temps de dclenchement dalarme de faon
proprits des matriaux, le rgime dexploitation... Il se traduit par non ngligeable.
une altration des performances due un mcanisme de dgrada-
tions physique ou chimique, propre au matriel et aux matriaux La prise en compte des drives dans le temps de performances
qui le constituent et ses conditions denvironnement. des MMRI valorises dans le cadre dune tude de dangers est
ncessaire puisque les niveaux performances retenus ont un
De la dfinition prcdente, il ressort que pour juger du vieillis- impact sur la criticit du risque vis--vis duquel la MMRI est
sement dun systme, la prise en compte du seul ge nest pas suf- valorise.
fisante. En effet, le vieillissement dpend dune part des conditions
susceptibles de modifier dans le temps ces caractristiques, et Par exemple, pour une MMRI dont la fonction de scurit serait
dautre part des actions mises en uvre dans le but dattnuer ou disoler une canalisation par la fermeture dune vanne disolement
de ralentir les mcanismes de dgradation. automatique, une drive ( la hausse) de son temps de rponse
aboutirait un dlai disolement plus long et donc potentiellement
une masse explosible forme plus importante. titre dexemple,
Les MMRI sont concernes par la problmatique du vieillis- le tableau 3 prsente lvolution de la masse explosible en fonc-
sement puisquil peut mener leur indisponibilit ou la tion de la dure dune fuite de propane liqufi pression de satu-
dgradation des performances, ce qui a pour consquence ration (To = 15 oC) suite une rupture de canalisation de diamtre
dabaisser le niveau de scurit dune installation. 6.
Nota : lisolement dune fuite ne permet de limiter la masse explosible forme que
dans le cas o le temps de rponse de la MMR est infrieur au temps de stabilisation du
Pour les systmes instruments, il est important de ne pas limi- nuage. Si le dlai disolement est suprieur au temps de stabilisation, isoler aura pour
ter la prvention du phnomne de vieillissement sa seule prise effet de rduire le temps de persistance du nuage explosible.
_____________________________________________________________________________ MESURES DE MATRISE DES RISQUES INSTRUMENTES (MMRI)
Tableau 3 Exemple dvolution de la masse explosible en fonction de la dure disolement

Temps de rponse de la MMRI
15 s 20 s 30 s
Conditions atmosphriques 3F 5D 3F 5D 3F 5D
Masse explosible ..............................................(kg) 543 440 638 471 726 480
3-F : vent 3 m/s et classe de Pasquill moyennement trs stable
5-D : vent 5 m/s et classe de Pasquill neutre
Nota : les distances deffets prsentes dans ce tableau ne sont pas gnriques, mais lies des hypothses de modlisation non prsentes dans le cadre de
cet article
1.3 MMRI parmi les MMR Les diffrents types de MMR sont prsents sur le schma de la
figure 1.
Dans son rapport 10 [3], lINERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de dcembre 2008, la terminologie utilise
cation prsente en figure 1 pour caractriser les MMR. Les dfini- est le terme de barrire (remplac ici par MMR).
tions sont les suivantes :
lheure actuelle, la smantique retenue par les inspecteurs
MMR humaine : MMR constitue dune activit humaine qui DREAL dans le cadre des instructions des EDD et PPRT est celle
soppose lenchanement dvnements susceptible daboutir rapporte sur le schma de la figure 1.
un accident ;
MMR technique : MMR constitue dun dispositif de scurit Il est important de bien comprendre que comme reprsent sur
ou dun systme instrument de scurit (SIS) qui soppose la figure 1, les MMRI sont tout dabord des MMR et que de ce fait,
lenchanement dvnements susceptible daboutir un accident ; elles doivent rpondre aux exigences de larticle 4 de larrt du
systme action manuelle de scurit (SAMS) : MMR faisant 29 septembre 2005.
intervenir des lments techniques et humains. Les MMRI peuvent donc tre considres comme un sous-
groupe de MMR. Deux types de MMRI sont diffrencier :
les MMRI qui couplent des dispositifs techniques (capteurs,
En croisant les dfinitions prcdentes celle dune MMRI automate, etc.) et une action humaine (action oprateur). Ces
(cf. arrt du 4 octobre 2010), il apparat que les SIS et certains MMRI sont assimilables des systmes action manuelle de scu-
SAMS peuvent entrer dans la catgorie des MMRI. rit (SAMS) dans lesquels laction humaine est limite ( 1.5.1) ;
MMR
MMR pouvant rpondre la dfinition

MMR MMR d'une MMRI au sens de l'arrt du 4
humaines techniques octobre 2010
Systmes action
manuelle de scurit
(SAMS)
Dispositif de
scurit Systmes
instruments de
scurit (SIS)
Passif Actif
Figure 1 Caractrisation des mesures de matrise des risques daprs lINERIS [3]
1.4 Contexte rglementaire
1.4.1 Arrt du 4 octobre 2010

MMR de lEDD Larrt du 4 octobre 2010, relatif la prvention des risques
accidentels au sein des ICPE soumises autorisation, dfinit des
dispositions relatives la prvention des risques lis au vieillisse-
ment de certains quipements (rservoirs ariens cylindriques
verticaux, capacits, tuyauteries, massifs des rservoirs, cuvettes
MMRI de
de rtention, mesures de matrise des risques instrumentes). Les
lEDD articles 7 et 8 sont applicables aux MMR faisant appel linstru-
mentation de scurit et prconisent :
la ralisation dun tat initial des MMRI ;
llaboration dun plan et dun programme de surveillance des
MMRI ;
llaboration dun dossier pour chaque MMRI.
titre de rappel, seuls les tablissements soumis larrt du
10 mai 2000 modifi (SEVESO seuil haut ou SEVESO seuil bas)
MMRI PMII sont concerns par les exigences prcites.
Pour tablir ltat initial, le programme de surveillance et le plan
de surveillance, les industriels peuvent sappuyer soit :
sur la base du guide professionnel reconnu par le ministre en
charge de lcologie ;
sur la base dune mthodologie dveloppe par lexploitant,
pour laquelle le prfet peut exiger une analyse critique par un
organisme extrieur expert, choisi par lexploitant en accord avec
Figure 2 MMRI : un type de MMR ladministration.
Ci-aprs les articles 7 et 8 extraits de larrt du 4 octobre 2010.
les MMRI qui ne comportent que des dispositifs techniques. Art. 7. Le prsent article est applicable aux mesures de matrise
Ces MMRI sont assimilables des fonctions instrumentes de des risques, cest--dire aux ensembles dlments techniques
scurit (SIF). et/ou organisationnels ncessaires et suffisants pour assurer une
fonction de scurit, faisant appel de linstrumentation de scu-
rit vises par larticle 4 de larrt du 29 septembre 2005 susvis
et prsentes au sein dun tablissement soumis larrt du 10
Valorisation des MMRI avec action humaine mai 2000 susvis.
pour les filtres probabilit EDD et PPRT Sont exclues du champ dapplication de cet article les mesures
de matrise des risques faisant appel de linstrumentation de
Le guide qui accompagne la note de doctrine prcise que scurit dont la dfaillance nest pas susceptible de remettre en
les MMRI avec action humaine ne peuvent pas tre consi- cause de faon importante la scurit lorsque cette estimation de
dres comme des MMR techniques au sens de la circu- limportance est ralise selon une mthodologie issue dun guide
laire du 10 mai 2010. Seules les MMRI ne comportant pas professionnel reconnu par le ministre charg de lEnvironnement.
dintervention humaine peuvent tre assimiles des MMR Lexploitant ralise un tat initial des quipements techniques
techniques et entrer dans le cadre de lapplication des filtres contribuant ces mesures de matrise des risques faisant appel
probabilit PPRT et MMR. de linstrumentation de scurit.
lissue de cet tat initial, il labore un programme de sur-
veillance des quipements contribuant ces mesures de matrise
Pour les MMRI qui ne comportent pas daction humaine, comme des risques.
le prsente le tableau 4, il est ncessaire de prciser que ce type Ltat initial, le programme de surveillance et le plan de sur-
de MMRI et les SIF rpondent des exigences et des cadres veillance sont tablis soit sur la base dun guide professionnel
diffrents. reconnu par le ministre charg de lEnvironnement, soit sur la
Tableau 4 MMRI et SIF

MMRI SIF
Les MMRI sont dfinies en lien avec les scnarios daccidents tudis Les SIF sont dfinies partir dune analyse des risques (pas nces-
dans ltude de dangers sairement rglementaires) qui vise dfinir le niveau de SIL requis
ncessaire pour rendre le risque acceptable
Les MMRI doivent rpondre aux exigences de la rglementation Les SIF doivent rpondre aux exigences des normes de scurit
ICPE : fonctionnelle : IEC 61508 et IEC 61511
1. loi du 30 juillet 2003
2. arrt du 29 septembre 2005
3. circulaire du 10 mai 2010
4. arrt du 4 octobre 2010
Pondration des frquences

de fuite dans le cadre des analyses
de risques industriels
par Olivier IDDIR

Ingnieur en analyse de risques industriels
Technip France
Service Expertise et Modlisation
Division Procds et Technologies
1. Introduction ............................................................................................... SE 5 080 - 3

2. Quantification des frquences de fuite :
une ncessit dans les analyses de risques quantifies ............... 3
3. Principe de la pondration des frquences de fuite ...................... 5
4. Rpartition des causes de fuite sur canalisation ............................ 8
5. Mthodologies et propositions en lien avec la pondration........ 11
6. Comment choisir la banque de donnes pondrer ? .................. 26
7. Influence du systme de management de la scurit
sur la frquence de fuite ........................................................................ 29
8. Influence des mthodes risk based inspection (RBI)
sur la frquence de fuite ........................................................................ 30
9. Conclusion.................................................................................................. 31
es fuites sur canalisation reprsentent une part importante des vnements

L redouts identifis dans les analyses de risques ralises dans le cadre des
tudes rglementaires franaises (tude de dangers), mais aussi dans le cadre
des tudes dites QRA (quantitative risk assessment).
Pour quantifier loccurrence dune fuite sur canalisation, lune des mthodes
couramment utilise consiste extraire une frquence doccurrence dite
linique (/an m) dune banque de donnes, et la multiplier par le mtr de la
canalisation. Cette manire de procder a pour principal intrt dtre relative-
ment simple mettre en uvre. En revanche, un certain nombre de questions
se posent quant lutilisation des valeurs moyennes rapportes dans les
banques de donnes. Il est alors ncessaire de distinguer deux types de
banques de donnes :
les banques de donnes qui sont spcifiques un secteur dactivit, telle
que lEGIG 6th pour les canalisations de transport de gaz (pipe) ou lUKOPA 4th
pour les canalisations de transport dhydrocarbures (pipe) ;
les banques de donnes multisecteurs , telle que le CPR 18 E, plus
connu sous le nom de Purple Book.

PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Utiliser les frquences de fuite rapportes par lEGIG 6th dans le cadre dune
analyse de risques portant sur une canalisation de transport de gaz ne pose a
priori pas de problme, puisque les valeurs rapportes dans cette banque de
donnes sont spcifiques ce secteur dactivit. En dautres termes, les
valeurs rapportes dans cette banque constituent de bons estimateurs des fr-
quences de fuite. En revanche, lorsque lon souhaite valuer la frquence de
fuite sur une canalisation pour un secteur dactivit qui nest pas couvert par
une banque de donnes spcifique, il se pose la question de la reprsentativit
des valeurs. En effet, comment juger si la valeur rapporte dans la banque est
trop pessimiste, ou au contraire trop optimiste, au regard des diffrentes
causes de fuite et mesures de prvention identifies lors de lanalyse des ris-
ques. Pouvoir scarter la hausse ou la baisse des valeurs rapportes dans
les banques de donnes devient alors ncessaire si lon souhaite mener une
analyse des risques spcifique en prenant en compte les particularits du
systme tudi (nature et intensit des causes pouvant mener la fuite, perfor-
mance des mesures de prvention mises en place par lindustriel, etc.).
Cet article propose de faire un point sur ltat des connaissances actuelles
sur le thme de la pondration des frquences de fuite dans le cadre des ana-
lyses de risques quantifies.
Termes et acronymes Dfinition

API American Petroleum Institute
Projet europen dbut en janvier 2002 dont lobjectif gnral tait de proposer
une nouvelle mthodologie danalyse des risques combinant les avantages
ARAMIS
des diffrentes mthodes rencontres en Europe, savoir les approches probabilistes et les
approches dterministes
CCPs (Center for Chemical Process Centre cr en 1985 par lAmerican Institute of Chemical Engineers (AIChE).
Safety) Le CCPs a pour objectif de promouvoir lamlioration de la scurit
Ouvrage rapportant des donnes probabilistes ncessaires la ralisation danalyse
de risques de type QRA. Ces donnes sont issues dun consensus tabli
entre les reprsentants des industries, les autorits comptentes et le gouvernement
CPR 18 E
des Pays-Bas. Louvrage a t rdig par le RIVM (National Institute of Public Health
and the Environment ) et supervis par une sous-commission sur lvaluation du risque
du Committee for Prevention of Disasters (CPR)
CODETI Code de construction des tuyauteries industrielles
COMAH Control of major accidents hazards
DAE Dossier dautorisation dexploiter
EGIG European gas pipeline incident data group
vnement, courant ou anormal, interne ou externe au systme, situ en amont
de lvnement redout dans lenchanement causal, et qui constitue une cause directe dans
vnement initiateur les cas simples ou une combinaison dvnements lorigine de cette cause directe. Dans la
reprsentation en nud papillon , cet vnement est situ lextrmit gauche (dfinition
issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
vnement conventionnellement dfini, dans le cadre dune analyse de risques,
au centre de lenchanement accidentel. Gnralement, il sagit dune perte
de confinement pour les fluides et dune perte dintgrit physique pour les solides.
vnement redout
Les vnements situs en amont sont conventionnellement appels phase
pr-accidentelle et les vnements situs en aval phase post-accidentelle
(dfinition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Major accident reporting system
MARS Banque de donnes de lUnion europenne dont la finalit est de recenser
les accidents majeurs

_____________________________________________ PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
Termes et acronymes Dfinition

Mesures visant prvenir un risque en rduisant la probabilit doccurrence
Mesure de prvention dun phnomne dangereux (dfinition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
Mesures visant limiter ltendue ou/et la gravit des consquences dun accident
Mesure de protection sur les lments vulnrables (dfinition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
Lvaluation de la performance des barrires de scurit seffectue au travers de leur
efficacit, temps de rponse et niveau de confiance au regard de leur architecture
Performance des MMR
(en rfrence la norme EN NF 61 508) (dfinition issue de la circulaire
no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
PPRT Plan de prvention des risques technologiques
Au sens de larticle L. 512-1 du Code de lenvironnement, la probabilit doccurrence
dun accident est assimile sa frquence doccurrence future estime
Probabilit doccurrence sur linstallation considre. Elle est en gnral diffrente de la frquence historique
et peut scarter, pour une installation donne, de la probabilit doccurrence moyenne
value sur un ensemble dinstallations similaires
RBI Risk based inspection
Combinaison de la probabilit dun vnement et de ses consquences (ISO/CEI 73)
Risque
Combinaison de la probabilit dun dommage et de sa gravit (ISO/CEI 51)
Quantitative risk assessment = analyse quantifie des risques
QRA Analyse probabiliste dont le but est dvaluer le niveau de risque pour un individu
(risque individuel) ou pour un groupe dindividus (risque socital)
UFIP Union franaise des industries ptrolires
UKOOA United Kingdom off shore operators association
1. Introduction 2. Quantification
Les enjeux lis la ralisation danalyses des risques deviennent
des frquences de fuite :
de plus en plus cruciaux pour les industriels. En effet, gravit une ncessit
dans les analyses
constante, un scnario daccident peut, en fonction de sa probabi-
lit, ncessiter des modifications des concepts de scurit, voire
dans le cas de la rglementation franaise, aboutir :
au refus de lautorisation dexploiter (tude de danger ralise
de risques quantifies
dans le cadre de DAE) ;
la fermeture de site industriel dans le cas o lacceptabilit
du site ne pourrait tre dmontre au sens de la circulaire du 2.1 Rappel sur la quantification
29 septembre 2005 ; des risques
lexpropriation de riverains conscutivement la mise en
uvre dun plan de prvention des risques technologiques (PPRT). La quantification des risques implique lvaluation de la probabi-
Lvaluation des probabilits doccurrence des accidents indus- lit et de la gravit des accidents. Cette dernire repose gnrale-
triels ncessite un degr de dtail de plus en plus pouss, et donc ment sur une valuation des distances deffets, puis sur le
le recours lutilisation de mthodologies de plus en plus dcompte des cibles impactes. Lvaluation de la probabilit,
complexes (arbre de dfaillances, arbre dvnements, etc.) pour repose de plus en plus sur la mise en uvre de mthodologies qui
lesquelles lutilisation de banques de donnes est souvent ncessitent le recourt lutilisation de banques de donnes. La
ncessaire. Afin dviter de surestimer ou de sous-estimer les figure 1 prsente de manire simplifie les diffrentes tapes
risques, ou encore de raliser des tudes standard , il parait menes lors dun processus de quantification des risques.
indispensable de scarter la hausse ou la baisse des valeurs Lors de lvaluation des probabilits des accidents, trois princi-
rapportes dans les banques de donnes. Mener une rflexion sur paux facteurs doivent tre valus :
la ncessit de pondrer ces valeurs est aujourdhui essentiel au
regard des enjeux lis aux analyses des risques. Ainsi, dans le 1) la frquence de lvnement redout lorigine de
cadre des projets dingnierie, estimer au plus juste les frquences laccident [SE 4 055] ;
de fuite est impratif, dune part pour dmontrer lacceptabilit des 2) la probabilit de dfaillance des mesures de mitigation
risques, et dautre part pour optimiser les cots lis aux rsultats [SE 4 057] [SE 4 058] ;
des tudes de scurit (implantation des quipements, perfor- 3) la probabilit dinflammation (dans le cas des produits
mances allouer aux chanes de scurit, etc.). inflammables) [SE 4 020].

Dfinition des scnarios

Frquence
accidentels
des vnements redouts
Probabilit de dfaillance
des barrires de scurit
valuation valuation
de la probabilit (P) de la gravit (G)
Probabilit
d'inflammation
Divers (direction
des vents, etc.)
valuation du risque
(P x G)
Critres
d'acceptabilit
NON Barrire(s)
Risque acceptable ? de scurit
supplmentaire(s)
OUI
Fin de l'analyse
Figure 1 Principe dvaluation des risques
Dautres paramtres sont parfois introduits dans le cadre de substances inflammables (12,5 %) ;
lvaluation des probabilits daccident ; on peut citer par exemple substances extrmement inflammables (8,9 %) ;
la rpartition statistique des directions de vent. substances trs toxiques (6 %).
Bien que lobjet de cet article ne soit pas de dtailler les diff- Cette tude permet aussi didentifier le poids des diffrents qui-
rentes mthodologies permettant de quantifier les frquences des pements lorigine de la plupart des pertes de confinement recen-
vnements redouts, il est important de rappeler quil existe deux ses. Cette rpartition est prsente dans le tableau 1.
approches :
1) lapproche dite directe qui consiste allouer lvnement La majorit des incidents se produit lors du fonctionnement nor-
redout une frquence extraite dune banque de donnes ; mal de linstallation ; seuls 15,6 % des incidents se sont produits
2) lapproche dite par calcul qui consiste valuer la fr- durant une opration de maintenance.
quence de lvnement redout partir de la connaissance des fr- Les canalisations (en incluant les brides, les soudures, le corps
quences des vnements initiateurs et des probabilits de et les open end ) sont lorigine de 23,3 % des pertes de
dfaillances des mesures de prvention. confinement ; celles-ci se produisent dans 51 % des cas durant le
ce jour, lapproche directe est gnralement retenue pour les fonctionnement normal de linstallation et 32 % durant une phase
vnements redouts de type perte de confinement sur capacit. de maintenance.
Cette approche est aussi prfre dans le cadre de la ralisation Une analyse plus profonde de la causalit des pertes de
des analyses QRA du fait du trs grand nombre dvnements confinement permet de mettre en vidence une dfaillance du
redouts traits dans ce type dtude. systme de management de la scurit.
Lanalyse dmontre que 81 % des incidents sont le rsultat de
2.2 Perte de confinement sur capacit : plans ou dapplication de procdures inadquats qui incluent :
vnement redout type la conception de linstallation dans 25,6 % des cas ;
dans les analyses de risques la planification dopration dexploitation ou de maintenance
qui reprsentent respectivement 15,6 % et 22,6 % des cas ;
Le rapport de projet men par le Health & Safety laboratory, qui la gestion des modifications dans 5,7 % des cas ;
vise fournir des informations au HID (hazardous installations la gestion du permis feu dans 4,9 % des cas ;
directorate ) [1], apporte des lments qui permettent de mettre en les procdures dinspection dans 3,5 % des cas ;
vidence limportance du poids des pertes de confinement au tra- lvaluation des comptences dans 1,7 % des cas.
vers des incidents et accidents recenss. Cette tude, effectue en
Grande Bretagne sur une dure de onze ans (entre 1991 et 2002)
dmontre que sur 2 500 incidents, 718 impliquent une perte de retenir : ltude du HSL permet de confirmer que la perte
confinement dquipement. de confinement sur quipement constitue lun des vnements
La nature des produits impliqus dans ces incidents sont en redouts rcurrents lors de lanalyse des incidents et accidents
majorit (63,6 %) soumis aux rglementations COMAH (control of recenss dans laccidentologie. Il ressort aussi limportance du
major accidents hazards ) en Grande Bretagne. Ces produits sont systme de management de la scurit dans la prvention des
des : accidents, puisque 81 % des incidents recenss dans cette
tude sont le rsultat de plan ou dapplication de procdures
produits toxiques (15,3 %) ;
liquides trs inflammables (13,2 %) ; inadquats.

Tableau 1 Rpartition statistique des diffrents quipements lorigine des pertes

de confinement (daprs ltude du HSL [1])
Composant Nombre de perte Pourcentage
quipement
de lquipement de confinement (%)
Bride 50 7
Soudure 9 1,3
Canalisation (pipe work)
Corps de la canalisation 46 6,4
Open end 62 8,6
Bride 7 1
Racteur Corps du racteur 29 4
Open end 128 17,8
Bride 4 0,6
Vanne Corps de vanne 22 3,1
Open end 87 12,1
Bride 4 0,6
Rservoir de stockage Corps du rservoir 22 3,1
Open end 64 8,9
Raccordement 28 3,9
Flexible Corps du flexible 19 2,6
Open end 23 3,2
Bride 4 0,6
Autre quipement Corps 14 1,9
tanchit 18 2,5
Camion citerne durant phase de dchargement 19 2,6
Pompe 19 2,6
Scrubber 13 1,8
3. Principe de la pondration sans apporter dinformations sur le secteur dactivit, la nature du

produit ou encore les conditions dexploitation. Ces donnes sont
des frquences de fuite donc considres comme des donnes gnriques .
La plupart des banques de donnes prsentent comme principal
dfaut de rapporter des valeurs moyennes qui peuvent ne pas
3.1 Pourquoi pondrer les frquences tre reprsentatives du site faisant lobjet de lanalyse de risques. Il
est indniable quen fonction du niveau de scurit (nombre,
de fuite ? nature, fiabilit et efficacit des barrires de scurit), la probabi-
lit doccurrence des accidents peut tre plus ou moins grande. Il
Dans le cadre des analyses de risques quantifies (QRA ou apparat alors ncessaire :
autres), il est ncessaire de pouvoir estimer les probabilits
doccurrence de phnomnes dangereux pouvant survenir didentifier les facteurs susceptibles de modifier ( la hausse
conscutivement des vnements, tels que des pertes de ou la baisse) les frquences doccurrence dvnements redou-
confinement de capacit (brche sur tuyauterie, rupture denceinte ts, tels que les brches sur canalisation, les ruptures de piquage,
sous pression, etc.). Il existe ce jour un certain nombre de ban- etc. ;
ques de donnes (HCRD, UKOPA, EGIG, etc.) dont lanalyse du de proposer des facteurs de correction permettant de pondrer
contenu a fait lobjet dun dveloppement au sein de les valeurs rapportes par les banques de donnes en fonction des
larticle [SE 4 055]. Ces banques de donnes rapportent des fr- mesures de prvention mises en place.
quences de fuite issues dune exploitation statistique du retour Bien quil soit couramment admis que les calculs raliss dans
dexprience. Ainsi, ces donnes peuvent tre considres comme le cadre des analyses de risques permettent dobtenir une valua-
spcifiques (puisquelles sont reprsentatives dun chantillon tion des frquences, et donc une incertitude sur les rsultats, il
dquipements similaires). En parallle de ces banques coexistent reste ncessaire dvaluer au plus juste ces valeurs. En effet, une
des banques de donnes qui rapportent des frquences de fuite survaluation des risques peut avoir des consquences sur le cot
pour diffrents types dquipements (canalisation, rservoir, etc.) des installations (du fait de la mise en place de dispositifs de scu-

3 105 3 105
E R E R
3 104 3 104
A B C A B C
105 105 105 Dcote Dcote 3 105

d'un facteur 10 d'un facteur 10
104 104 104 3 104
Cas d'une rpartition de causes Cas d'une rpartition de causes avec

quiprobables une cause prpondrante
Figure 2 Principe de la dcote
rit qui peuvent parfois ne pas se justifier au regard des risques).

Au contraire, une sous-valuation des risques peut conduire des
accidents majeurs prjudiciables pour lindustriel.
Lvaluation des frquences doccurrence des vnements
redouts de type perte de confinement sur capacit constitue une
tape prpondrante lors de la quantification des probabilits
doccurrence des phnomnes dangereux de type incendie,
explosion ou dispersion de toxique. Une erreur lors de cette tape
peut avoir des consquences significatives sur les conclusions de
lanalyse des risques et mener des prises de dcisions non perti-
nentes.
retenir : dans le cadre des analyses de risques industriels,

la perte de confinement (brche ou rupture) constitue un v-
nement type qui est systmatiquement tudi. La question de
la quantification des frquences de fuite sur quipement revt
Figure 3 Arbre des causes non exhaustif ddi lillustration
alors toute son importance pour valuer au plus juste les pro- de lapproche 1
babilits des phnomnes dangereux qui y sont associs.
Pondrer une frquence de fuite peut se faire par diffrentes

approches :
3.2 Comment pondrer ?
approche 1 : pondration de la frquence de fuite dun quipe-
Ds lors quune frquence de fuite est disponible dans une ban- ment en prenant en compte le poids des diffrentes causes et la
que de donnes, il nest pas ais de justifier dune ventuelle sur- performance des mesures de prvention mises en uvre (appro-
cote ou dcote de cette valeur. En effet, les analyses de risques ont che par arbre de dfaillances) ;
parfois tendance survaluer limpact des barrires de prvention approche 2 : pondration de la frquence de fuite dun quipe-
sur la frquence doccurrence des vnements redouts de type ment par application directe de facteurs de pondration sans une
perte de confinement. Ainsi, il est courant de trouver des dcotes analyse pralable des causes et des mesures de prvention mises
dun facteur 10, voire 100, sans justification probante portant sur en place.
les frquences issues des banques de donnes. Supposons,
comme le montre la figure 2, que trois causes de fuite (A, B, C) sur
capacit soient identifies et que la banque de donnes consulte 3.2.1 Principe de lapproche 1
rapporte une frquence de fuite de 3 105/an. Pouvoir dcoter
cette frquence dun facteur 10 suppose donc : Dans cette approche, il est ncessaire de disposer au pralable
dune frquence de fuite issue de banque de donnes et dune
1) de pouvoir dcoter dun facteur 10 chacune des branches rpartition statistique des causes de fuite.
(dans le cas o toutes les branches de larbre seraient
quiprobables) ; Une fois ces donnes disponibles, une analyse de risques visant
2) de pouvoir dcoter une branche qui reprsente la quasi-tota- identifier les causes qui peuvent mener la fuite doit alors tre
lit de la frquence doccurrence (dans le cas o une cause pr- effectue afin de construire un arbre des causes. Pour chacune
pondrante serait identifie). delles, il faut recenser les mesures de prvention mises en place
par lindustriel et leur allouer une probabilit de dfaillance.
La difficult consiste proposer des facteurs de pondration qui
puissent tre justifis. Si lon souhaite donner du crdit une telle Larbre des causes prsentes en figure 3 illustre lapplication de
dmarche, il est indispensable de pouvoir argumenter quant au cette approche qui permet de dcoter la frquence de fuite rappor-
choix des valeurs. te dans une banque de donnes.

Tableau 2 Difficult de mise en uvre de la dmarche idale

Phase Difficult
valuation du poids statistique Effectuer une rpartition statistique des causes de fuite par taille de brche qui correspond
de chaque cause au secteur dactivit faisant lobjet de ltude.
Savoir quelles sont les mesures de prvention mises en place sur les installations
qui composent le retour dexprience. Les banques de donnes ne fournissent pas un tel
degr de dtail et il est difficile de savoir quelles sont les barrires dont la performance
est dj inclue dans la frquence doccurrence rapporte par la banque. En effet, il est
important de ne pas prendre en compte deux fois leffet des mesures de prvention.
valuation de leffet des mesures
En dautres termes, seules des mesures de prvention juges spcifiques peuvent
de prvention
tre prises en compte lors de lapplication de cette dmarche.
Allouer une probabilit de dfaillance aux diffrentes barrires de prvention sachant
que certaines sont des barrires bases sur de lorganisationnel (plan dinspection bas
sur une approche de criticit des lignes, etc.) ou sur des coefficients de scurit par rapport
aux standards ou codes de conception (sur paisseur de corrosion, etc.).
valuation du poids de Slection dune frquence

Identification des causes
chacune des causes laide de fuite gnrique dans
pouvant mener la fuite
dune rpartition statistique (wi) une banque de donnes (FBdD)
Identification des barrires

valuation de la frquence
de prvention mises en
de fuite
place
pondre (Fp)
n
Fp = FBdD i =1(wi Pdi )
Identification des barrires valuation de limpact

de prvention spcifiques de ces barrires
au secteur dactivit tudi* de prvention (Pdi)
Figure 4 Principales tapes de lapproche de pondration no 1
Nota : seules les barrires qui sont supposes ne pas tre dj prises en compte dans
la valeur de frquence issue de la banque de donnes peuvent tre retenues. retenir : lapproche dcrite dans ce paragraphe ne doit pas
tre confondue avec la dmarche de quantification dun arbre
partir de larbre prsent en figure 3, la frquence de lvne- des causes ou de dfaillances. Dans lapproche faisant lobjet
ment redout Rupture guillotine de canalisation se calcule de ce paragraphe, la frquence de lvnement redout F(ER)
comme suit : est value partir dune valeur issue dune banque de don-
nes F(BdD) qui est pondre laide de la rpartition statis-
F(ER) = F(C1) + F(C2) + F(C3) + F(C4) tique des causes et des probabilits de dfaillance alloues aux
F(ER) = F(C1)) (Pd1) + F(C2) (Pd2) + F(C3) (Pd3) + F(C4) (Pd4)) barrires de prvention.
A contrario, la quantification dun arbre des causes permet
avec F(Ci) = F(BdD) wi, dvaluer la frquence de lvnement redout partir des fr-
quences des vnements initiateurs (ou causes) et des probabi-
F(BdD) frquence de fuite issue de la banque de donnes,
lits de dfaillance des barrires de prvention.
wi poids statistique de la cause no i,
Pdi probabilit de dfaillance de la barrire no i. 3.2.2 Principe de lapproche 2
Cette approche, qui parat relativement simple mettre en Contrairement lapproche 1, celle-ci est plus macroscopique.
uvre, implique de dtenir des donnes difficiles trouver. Tout En effet, elle ne se base pas sur une pondration de chacune des
dabord, il est impratif de disposer dune rpartition statistique de causes pouvant mener lvnement redout, mais pondre direc-
causes pouvant amener la ralisation de lvnement redout, tement la frquence issue de la banque de donnes. Cette pond-
afin de pouvoir valuer le poids de chacune des causes. Ensuite, il ration repose gnralement sur une identification au pralable
faut tre en mesure de quantifier leffet des barrires de prven- dune liste de paramtres qui sont supposs avoir une influence
tion mises en place sur la frquence des vnements initiateurs. sur la frquence de fuite. Ces paramtres font gnralement
Pour chacune des deux phases de cette dmarche idale , le intervenir :
tableau 2 liste les difficults de mise en uvre.
la conception des installations (code utilis, prise en compte de
La figure 4 prsente les diffrentes tapes de cette approche. facteur de scurit, etc.) ;

des quipements
Mthodes dexploitation des jugements
dexperts
par Gilles ZWINGELSTEIN
Ingnieur de lcole nationale suprieure dlectrotechnique, dlectronique, dinformatique,
dhydraulique et des tlcommunications de Toulouse (ENSEEIHT)
Docteur-Ingnieur Docteur s sciences
Professeur associ des universits retrait, Universit Paris Est Crteil, France
1. Brainstorming SE 4 004 - 3
1.1 Origine et domaines dapplications ........................................................ 3
1.2 Principes originaux du brainstorming .................................................... 3
1.3 Adaptation de la mthode du brainstorming pour la recherche
de la criticit des quipements ................................................................ 3
1.4 Droulement dune sance de brainstorming........................................ 3
1 .5 Avantages et inconvnients de la mthode du brainstorming............. 4
1.6 Conclusions ............................................................................................... 4
2. Mthode Delphi ....................................................................... 4
2.2 Description de la mthode Delphi initiale............................................... 5
2.3 Variantes de la mthode Delphi .............................................................. 7
2.4 Avantages et inconvnients de la mthode Delphi ............................... 7
2 .5 Conclusions ............................................................................................... 7
3. Mthode de lAbaque de Rgnier ........................................... 8
3.2 Principe original de la mthode............................................................... 8
3.3 Adaptation de la mthode pour la dtermination de la criticit ........... 8
3.4 Variante de la mthode Delphi : mthode de Delphi Rgnier ............ 11
3.5 Avantages et inconvnients de lAbaque de Rgnier .......................... 12
3.6 Conclusions ............................................................................................... 12
4. Mthode de notation Pieu ....................................................... 12
4.2 Principe de la mthode............................................................................. 12
4.3 Variantes de la mthode Pieu .................................................................. 14
4.4 Avantages et inconvnients de la mthode Pieu ................................... 16
4.5 Conclusions ............................................................................................... 17
5. Mthodes fondes de la maintenance base sur la fiabilit (MBF) 17
5.2 Principes de la maintenance base sur la fiabilit ................................. 17
5.3 Mthodes de dtermination de la criticit pour la MBF : RCM ............. 18
5.4 Avantages et inconvnients des mthodes fondes
sur la maintenance base sur la fiabilit ................................................ 22
5.5 Conclusions ............................................................................................... 22
6. Mthode dIshikawa (arbres causes-consquence-5M) .............. 22
6.2 Principe gnral de la construction du diagramme dIshikawa............ 22
6.3 Avantages et inconvnients du diagramme dIshikawa........................ 25
7. tudes comparatives des mthodes dlaboration
de la criticit par jugements dexperts ........................................... 26
8. Conclusion .............................................................................................. 26
VALUATION DE LA CRITICIT DES QUIPEMENTS ________________________________________________________________________________________
a criticit de certains quipements dinstallations industrielles doit impra-

L tivement tre value ; la dfaillance de ces quipements peut avoir des
consquences graves sur le personnel, lenvironnement, le respect de la rgle-
mentation, sans parler des consquences darrts de production.
Cependant, la dtermination de la criticit des quipements en cours de
conception, ou dj en phase dexploitation, pose de nombreuses difficults si
lon ne dispose pas de donnes relles de retour dexprience archives dans les
banques de donnes spcialises. Cette situation se rencontre trs frquemment
dans de nombreuses entreprises o la connaissance est mmorise par les diff-
rents experts qui conoivent, exploitent ou maintiennent ces quipements. On
notera cependant que souvent la qualit dexpert est ambigu, voire conteste.
Pour pallier cette difficult, il devient ncessaire de faire appel des mthodes
qui reposent sur les connaissances dun panel dexperts en comportement des
quipements. Pour obtenir un consensus dexperts, la majorit de ces techni-
ques repose sur les votes des experts en utilisant des questionnaires o chaque
rponse est code suivant une chelle prdfinie ou un codage par couleur.
La premire mthode prsente dans cet article, le Brainstorming dOsborn, est
un outil de crativit libre et ordonn qui permet de rechercher en groupe et en
toute libert un maximum dides sur un sujet donn ou dinventer des solutions
pour rsoudre un problme. Cette mthode sadapte la recherche de la criticit
des quipements, en demandant chacun des membres du panel dexperts de
donner leur avis sur la criticit du mme quipement dont ils connaissent parfaite-
ment le fonctionnement en toute libert et indpendamment des autres experts.
La seconde mthode Delphi a t mise au point dans les annes 1950 par
Olaf Helmer la Rand Corporation. La mthode implique un groupe dexperts
qui, sous la direction dun animateur, rpondent anonymement et de faon
individuelle aux questionnaires et reoivent ensuite de la part de lanimateur la
synthse des informations sous la forme dune reprsentation statistique de la
rponse collective. Ensuite, lanimateur renvoie une autre srie de question-
naires et assure le dpouillement et la synthse, ventuellement sous forme
statistique, des rponses. Aprs quoi le processus se rpte. Lobjectif est de
rduire lventail des rponses pour obtenir un consensus. On prsente gale-
ment les versions apparues avec Internet.
La troisime mthode correspond celle de lAbaque de Rgnier. Le
groupe dexperts se voit proposer une liste de questions (items) laquelle
chaque expert doit rpondre de faon non verbale en utilisant un code de sept
couleurs. Ensuite, en affectant une valeur numrique chaque avis, on
construit plusieurs tableaux colors pour dfinir des entits spcifiques la
mthode. Leurs interprtations visuelles permettent de dterminer les items
qui font lobjet dun consensus et didentifier les experts minoritaires qui
envoient des signaux faibles dfinis par cette mthode.
La quatrime mthode dcrit la mthode Pieu (pannes, importance de lqui-
pement, tat de lquipement, utilisation). Avec cette mthode, la criticit des
quipements peut tre dfinie avec prcision par notation. Suivant le domaine et
les avis des experts, il est possible de choisir des grilles dvaluation avec
diffrents poids associs des critres dfinis de faon interne. La mthode
Mride (mthode dvaluation des risques industriels) est succinctement dcrite.
La cinquime mthode prsente succinctement les concepts de la mainte-
nance base sur la fiabilit (MBF) qui a pour objectifs de dfinir un programme
de maintenance prventive uniquement sur les quipements critiques. On y
prsente les critres recommands dans les normes internationales sur la RCM
(reliability centered maintenance).
Finalement, la sixime mthode dcrite est celle dIshikiwa, galement
appele le diagramme de causes-effet. Aprs une description de la mthode
formelle, on prsente le diagramme dIshikawa pondre et une adaptation
pour la dtermination de la criticit des quipements.
Pour chacune de ces mthodes, les avantages et inconvnients sont prsents
en insistant sur la robustesse des rsultats compte tenu du fait que lon fait appel
aux jugements dexperts et aux aspects psychologiques qui y sont lis.
_________________________________________________________________________________________ VALUATION DE LA CRITICIT DES QUIPEMENTS
1. Brainstorming
Analyse
Brainstorming
fonctionnelle
1.1 Origine et domaines dapplications
Identification
Pour la dtermination de la criticit des quipements dune des dfaillances
installation industrielle et en absence de retour dexprience, il est des quipements
possible dadapter la mthode dite du brainstorming ou
remue-mninges , utilise dans les entreprises pour trouver des
solutions innovantes, en runissant un groupe dexperts des
quipements, pilot par un animateur, pour obtenir un consensus Identification
sur les diffrents attributs associs la criticit des quipements. des consquences
des dfaillances
Pour atteindre cet objectif, il est indispensable de sinspirer de la des quipements
mthode dfinie ci-dessous par son concepteur Alex Osborn [1] et
de faire les adaptations ncessaires.
Classification
1.2 Principes originaux du brainstorming de la criticit
des quipements
On est plus intelligent plusieurs que seul , tel est le principe
de base du brainstorming. Le brainstorming (association des
termes anglais brain [cerveau] et storm [tempte]) est une Figure 1 tapes dune session de brainstorming analyse
technique de crativit en groupe labore en 1940 par le publici- fonctionnelle
taire Alex Osborn. Selon lui, la qualit dune ide ou dune solution
nat de la quantit des propositions dun groupe. Le principal
intrt de la mthode provient du fait que des ides trs nombreu- conception, exploitation, maintenance, scurit et environnement
ses et originales sont produites. Pour cela, les suggestions et dune personne prenant les notes.
absurdes sont admises durant la phase de production dides et de
stimulation mutuelle. En effet, des personnes ayant une certaine 1.4.1 Nomination dun modrateur expriment
rserve peuvent alors tre incites sexprimer, par la dynamique
sur le sujet
de la formule et/ou par les effets volontaires (interventions) de
lanimation. Rsultat : en dpit de la peur premire de formuler La principale tche de lanimateur est de rendre les sances de
une ide absurde, des ides excellentes peuvent se mettre brainstorming aussi productives que possible. Son rle est capital et
surgir. Cest pour amener laccouchement de ces bonnes ides il doit en particulier matriser le comportement des quipements et
en toute quitude que labsence de critique, la suggestion dides les effets de leurs dfaillances. Il nonce le but recherch lors des
sans aucun fondement raliste et le rythme, sont des lments sances de travail, distribue le temps de parole lors dun tour de table
vitaux pour la russite du processus. par exemple, et finalement il ralise les documents de synthse.
Cette tche est complexe car elle implique de faire respecter
1.3 Adaptation de la mthode strictement les rgles de base du brainstorming, de noter les avis
du brainstorming pour la recherche mis et de piloter subtilement le processus de classification de la
criticit des quipements, surtout si les sances de brainstorming
de la criticit des quipements sont des occasions uniques de rassembler les experts en raison de
La mthode du brainstorming a fait lobjet dune adaptation pour la leur faible disponibilit.
dfinition de la criticit des quipements en fonction des
consquences fonctionnelles des dfaillances [2]. Cette adaptation a 1.4.2 Constitution de lquipe de travail
t ralise dans le domaine de la scurit aronautique et combine et planification des runions et prparation
une approche fonctionnelle et la mthode classique du brainstorming. du brainstorming
Dans la phase fonctionnelle prliminaire de dtermination de la
criticit, on procde en trois tapes : Le modrateur slectionne les experts reprsentant les diffrents
ralisation de linventaire des fonctions ; spcialistes des quipements et planifie les runions.
identification des dfaillances du systme (perte ou dgra- Ce sont des acteurs essentiels pour la dtermination des qui-
dation des fonctions) et des quipements qui en sont la cause ; pements critiques.
identification des consquences potentielles des dfaillances Lexprience montre quun groupe de quatre six personnes est
des quipements et de leurs frquences acceptables doccurrence. tout fait adquat pour le brainstorming.
Comme cette premire approche nest que rarement exhaustive,
Comme en gnral les participants sont trs sollicits par leurs
il devient ncessaire de faire appel ltape de brainstorming
responsabilits oprationnelles quotidiennes, le modrateur doit
runissant un animateur et un panel dexperts spcialistes des
sassurer auprs de leurs responsables hirarchiques de leur
diffrents aspects lis lexploitation, la maintenance, la
disponibilit, sinon leur absence entranera obligatoirement des
scurit et aux aspects rglementaires.
retards. Pour une bonne efficacit des sances, il est indispensable
La figure 1 montre les tapes de la mthode. de procder en plusieurs tapes :
slectionner et organiser les participants, en particulier les
1.4 Droulement dune sance experts oprationnels ;
prsenter aux membres du groupe les objectifs ;
de brainstorming rparer lapproche de la mthode du brainstorming ;
Le brainstorming suppose le respect de certaines rgles et un prparer et prciser le contenu de la mthode de dtermi-
droulement en plusieurs tapes pendant les runions de travail. nation des dfaillances des quipements ;
Un groupe optimal pour obtenir la meilleure efficacit des sances prsenter les aspects pratiques de la dtermination de la criti-
de brainstorming est compos dun modrateur, dexperts en cit des quipements.
1.4.3 Droulement du brainstorming 1.5.2 Inconvnients

Le rle de lanimateur est de sassurer que les rgles dor du Cependant, des expriences de psychologie sociale ralises en
brainstorming sont respectes. Il veille ce que le groupe ne soit laboratoire semblent dmentir lefficacit de cette mthode. En
pas domin par certaines personnes et que le dialogue reste particulier, les travaux raliss par Thomas A. Timmerman [3]
cordial et constructif. Tous les jugements mis sur la criticit de dmontrent partir de sances de brainstorming quun groupe
chaque quipement sont inscrits sur un tableau visible ou sur des dindividus ne conduit pas obligatoirement un rsultat meilleur
feuilles spares de paper-board visible par chaque participant. quun individu trs expriment, do sa faible efficacit.
Chacun se doit de respecter certains principes. Au niveau productivit, le remue-mninges apparat en fait
presque comme une perte de temps.
Pas de censure Parmi les autres inconvnients, on peut citer les points suivants :
Le brainstorming nest pas une sance de rglements de compte ncessit dune formation pralable de lanimateur la
entre collgues. Aucun jugement ou aucune critique sur les ides pratique de cet outil ;
ne doit tre mis afin de ne pas freiner le processus cratif de efficacit conditionne par le respect de rgles strictes de
chacun. Cela suppose que chaque participant dpasse le stade de fonctionnement ;
linimiti, de la rivalit ou de linhibition pour donner libre cours risques de manque de ralisme dans les ides mises ;
lexpression de ses ides. nest pas efficace si une mthode essais-erreurs est
indispensable ;
Un moment dgalit beaucoup dides sont superficielles ;
Durant cette sance de rflexion collective, les rapports hirar- est mieux adapt la rsolution de problmes simples ou
chiques sont laisss de ct. Ainsi, la prsence du chef ne doit pas spcifiques ;
paralyser les participants dans leur rflexion. limite souvent la reconnaissance des ides.
Un moment de libert Cest la raison pour laquelle la technique du brainstorming est

remplace de plus en plus par des techniques telles que le vote
Exprimer le plus grand nombre possible dides, de suggestions, par la mthode Delphi ou de lAbaque de Rgnier. Ces mthodes
de propositions, cest le but de cette runion de rflexion, qui feront lobjet des paragraphes ultrieurs.
laisse toute sa place loriginalit. La quantit des propositions
formules permettra daugmenter les probabilits de trouver des
ides valables. Chaque participant est donc invit sinspirer des 1.6
ides mises, les dvelopper, les enrichir, les complter.
Aprs la phase de production des suggestions, lanimateur Historiquement, le brainstorming est la technique la plus
procde lexploitation des ides. Il reformule ou fait prciser les ancienne pour trouver des solutions en utilisant un groupe de
ides floues ou peu claires, il limine les ides sans lien exploi- personnes qui lon demande de se prononcer ou dmettre des
table avec le sujet trait, il supprime les redondances ou les formu- ides nouvelles pour rsoudre un problme donn. Sa mise en
lations diffrentes ayant le mme sens. place semble particulirement simple, mais elle ncessite tout de
mme un minimum de prparation et de dfinition mthodo-
Il hirarchise les ides en utilisant ventuellement dautres outils logique. Pour tre efficace pour le problme de la dtermination de
pour la slection et le choix des ides (matrice multicritres, vote la criticit des quipements, un panel dexperts doit tre slec-
pondr, etc.). tionn avec soins et les rgles qui rgissent le brainstorming
Aprs la sance, le modrateur, dans un dlai de quelques jours, doivent tre strictement suivies sous la responsabilit dun
distribue les comptes-rendus de la runion avec la liste numrote animateur bien rod aux conduites de runions. Lexprience
des quipements considrs comme critiques par les participants montre que cette approche porte ses fruits si les thmes abords
en leur demandant des corrections et des ajouts. Il doit galement sont suffisamment bien identifis. Dans le cas contraire, elle
dcider si une sance supplmentaire est ncessaire. savre inefficace et conduit des pertes de temps.
Pour obtenir un rendement optimal dune sance de brainstor-

ming, il est trs important de prendre en compte les contraintes
principales logistiques suivantes :
2 . Mthode Delphi
utilisation dune salle de runion si possible dans un lieu
loign du lieu de travail habituel des experts (pour viter leur
drangement) ; 2.1 Origine et domaines dapplications
demander aux membres du groupe de ne pas utiliser leurs La mthode Delphi a t dveloppe par les militaires amricains
tlphones portables ou consulter leurs courriels pendant les dans les annes 1950 par O. Helmer la Rand Corporation [4].
sances de travail (challenge trs difficile pour le modrateur! ) .
Pour viter les cueils des facteurs psychologiques lis au travail
de groupe, la technique Delphi a t mise au point pour viter
1.5 Avantages et inconvnients leffet dopinion de groupe. Les rsultats obtenus avec les
mthodes traditionnelles de discussion de groupe au cours de
de la mthode du brainstorming runion en commun sont trs souvent fausses par des facteurs
psychologiques tels que la prsence dune personnalit dominante
et persuasive, la tendance de certains experts camper sur leur
1.5.1 Avantages position pour imposer leur point de vue sans vouloir accepter des
Le brainstorming traditionnel permet dapporter des solutions contradicteurs. La technique Delphi a t mise au point pour viter
un problme donn grce un recoupement davis effectu par le ces travers en empchant leffet dopinion de groupe et, de ce fait,
groupe de travail. Notamment, une bonne sance de en diminuant les contraintes psychologiques en runion telle la
brainstorming : persuasion spcieuse (ou fallacieuse ou fausse), le refus de revenir
sur une opinion fausse nonce en public ou leffet train en
produit de nombreux avis ; marche (band wagon effect ) sans esprit critique pour suivre la
diffre le jugement et ainsi encourage la participation. majorit (effet mouton de panurge). La mthode Delphi vite ces
COORDINATEUR Rappels statistiques

Panel experts
Soit une srie statistique dfinie dans le tableau suivant :
Valeur x1 x2 ........ xp
A B C D E F Effectif n1 n2 ....... np
Frquences f1 f2 ....... fp
Questionnaires
Leffectif total est donn par : N = n1 + n2 + .... + np et la fr-
ni
Envoi aux experts quence par fi = .
N
Moyenne : la moyenne de cette srie statistique (xk ; nk)
Envoi aux experts aprs analyses note x ou est telle que :
RSULTATS, ANALYSES, DISCUSSIONS

n1 1+ n 2 2 + ... + n p p
x=
Figure 2 Principes dune tude Delphi N
travers observs pendant des discussions directes en runion par Variance : on appelle variance de la srie statistique
une mthode dfinie avec beaucoup de soins avec une interro- (xk ; nk ) le nombre :
gation personnelle et anonyme de chaque expert laide de
questionnaires conscutifs et individuels sous la responsabilit
dun animateur. Entre chaque nouveau questionnaire, de nouvelles n1 (x1 x ) 2 + n 2 (x 2 x ) 2 + ... + n p (x p x ) 2
V=
informations et de nouvelles justifications sont demandes N
chaque expert jusquau moment o lanimateur aura obtenu un
consensus parmi tous les experts. La procdure est reprsente cart type : lcart type dune srie statistique est dfini
sur la figure 2. Cette procdure appele licitation dexperts
permet dobtenir les avis des diffrents experts qui ne se par : = V .
connaissent pas ; le dpartement de la Dfense amricain dfinit Elle caractrise la dispersion autour de la moyenne.
l licitation (intelligence) comme lacquisition dinformation
auprs dune personne ou dun groupe avec une procdure qui ne Mdiane : la mdiane Me dune srie ordonne par ordre
dvoile pas lutilisation des rponses qui seront fournies. croissant partage cette srie en deux parties telles que la
moiti au moins prend des valeurs infrieures ou gales la
Lobjectif de ces questionnaires successifs est de diminuer mdiane :
lespace interquartile tout en prcisant la mdiane (encadr si le nombre de donnes est pair, N = 2p : la mdiane est
Rappels statistiques ). la moyenne des pime et (p + 1) ime valeurs ;
La mthode Delphi utilise une interrogation personnelle et si le nombre de donnes est impair, N = 2 p + 1 : la
anonyme de chaque expert laide de questionnaires conscutifs mdiane est la (p + 1) ime valeur.
et individuels sous la responsabilit dun animateur. Entre chaque Les quartiles : les valeurs dune srie deffectif N sont
nouveau questionnaire, de nouvelles informations et de nouvelles ranges par ordre croissant :
justifications leur sont demandes jusquau moment o
lanimateur aura obtenu un consensus de tous les experts. Dans le premier quartile Q1 de la srie est la valeur xi dont
cette procdure dlicitation dexperts, lanimateur renvoie de N
nouveaux questionnaires pour demander des justifications lindice i est le plus petit entier suprieur ;
4
dtailles sur leurs rponses. Il rassemble les diffrents avis et les le troisime quartile Q3 de la srie est la valeur xj dont
envoie aux autres experts pour commentaires et critiques, et ven-
tuellement pour obtenir un changement davis. Ainsi, les experts 3N
lindice j est le plus petit entier suprieur .
peuvent rviser leurs jugements initiaux et prendre en compte des 4
faits quils avaient ngligs en les considrant comme non impor- Intervalle interquartile : cest une mesure de dispersion.
tants ou totalement ngligeables.
Lintervalle interquartile est lintervalle [Q1 ; Q3].
Lcart interquartile : lcart interquartile est la diffrence
2.2 Description de la mthode Delphi Q = Q3 Q1.
initiale Le schma ci-dessous permet de visualiser ces caractris-
tiques statistiques.
Dans un premier temps la dmarche dorigine est prsente sachant
que de nombreuses variantes ont t dveloppes par la suite avec
lmergence des nouvelles technologies (Internet, rseaux sociaux) et 75 %
qui feront lobjet de paragraphes spcifiques dans ce chapitre. 25 %
Phase 1 : formulation du problme
Llaboration du questionnaire doit se faire selon certaines Min Q1 Mdiane Q3 Max
rgles : les questions doivent tre prcises, quantifiables (elles
portent par exemple sur les probabilits de ralisation dhypo-
Remarques : le couple (mdiane ; cart interquartile) est
thses et/ou dvnements, le plus souvent sur des dates de rali-
robuste par rapport aux valeurs extrmes, mais sa dtermi-
sation dvnements) et indpendantes (la ralisation suppose
nation (les quartiles) nest pas trs pratique. Plus lcart inter-
dune des questions une date donne na pas dinfluence sur la
quartile est grand, plus la dispersion est importante.
ralisation dune autre question).
Phase 2 : choix des experts explicitement si celle-ci se situe hors de lintervalle (Q1-Q3). Les
Le manque dindpendance des experts peut constituer un experts renvoient les rponses, ventuellement les raisons.
inconvnient ; cest pourquoi, par prcaution, les experts sont iso- Il comporte deux parties principales : dabord, les rsultats et les
ls et leurs avis sont recueillis par voie postale ou par courrier rponses du premier questionnaire sont prsents sous forme de
lectronique et de faon anonyme : on obtient donc lopinion de liste ou de tableau ; ensuite, les experts classent les lments de
chaque expert et non une opinion plus ou moins fausse par un rsultats afin dtablir des priorits et sont autoriss examiner
processus de groupe (pas de leader ). leurs rponses la lumire de lavis dautres experts, ajouter des
commentaires et modifier leurs rponses.
Phase 3 : droulement pratique et exploitation des rsultats
Une fois le processus de slection des experts achev, un Lanimateur traite ces informations et prpare le troisime
questionnaire est distribu chaque membre du panel. Les questionnaire.
membres sont encourags tirer parti de leurs expriences et Le troisime questionnaire et tous les questionnaires suivants
utiliser toutes les donnes historiques ou dautres ressources pour contiennent trois grandes parties. Dabord, ils comprennent les
les aider rpondre aux questions poses. Toutefois, les experts rponses toutes les questions prcdentes, avec quelques
du panel ne doivent pas se consulter entre eux pour viter un biais donnes statistiques permettant aux experts de voir comment
dans les rponses. leurs rponses sont lies celles des autres membres du groupe.
Le premier questionnaire se compose gnralement dune ou de
deux questions. Celles-ci sont destines tre ouvertes sur le Deuximement, ils incluent des commentaires et des raison-
domaine concern. Les experts donnent leur avis et retournent le nements que les experts mettent dans leurs rponses. Troisi-
questionnaire lanimateur. mement, ils donnent loccasion aux experts dexaminer et de rviser
leurs rponses prcdentes. Puis le questionnaire est retourn
Celui-ci examine les rponses et utilise cette information pour lanimateur. Ce troisime questionnaire vise opposer les rponses
laborer des questions plus spcifiques qui seront utilises dans le extrmes en rapprochant leurs arguments. Il est en outre demand
deuxime questionnaire. chaque expert de critiquer les arguments de ceux qui se situent
On notera que selon les versions de la mthode Delphi, on peut en-de de Q1 et au-del de Q3. Comme on le voit, la convergence
utiliser une chelle de cotation comme lchelle de Likert, est force, voire manipule, puisque seuls les extrmes sont oppo-
frquemment utilise dans les questionnaires de psychologie. Elle ss, alors quensemble, ils reprsentent autant de rponses quil y
a t dveloppe par le spcialiste en psychologie organisation- en a dans lintervalle (Q1-Q3). En outre, il nest jamais demand aux
nelle Rensis Likert [5]. Dans la majorit des cas, une chelle cinq extrmes de critiquer les arguments de ceux qui sont dans lespace
ou sept niveaux est utilise. interquartile. La procdure Delphi est reprsente sur la figure 3.
Ce premier questionnaire a pour objectif de reprer la mdiane Ce processus se poursuit jusqu ce quun consensus dfinitif
et lintervalle interquartile (encadr rappels statistiques ). La soit atteint par le groupe (nombre de tours pouvant aller de 3 7).
mdiane (deuxime quartile) est litem au-dessous duquel 50 %
des experts pensent que lvolution sera ngative et au-dessus Un ingrdient cl de ce processus est lanonymat des membres
duquel 50 % des experts pensent quau contraire, elle sera posi- du panel dexperts car il limine de nombreux problmes qui
tive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on dfi- dcoulent de prjugs et de linfluence de ses pairs.
nit aussi respectivement le premier quartile (Q1) et le troisime
quartile (Q3). Lespace interquartile est constitu par lintervalle Cette mthode a t utilise pendant la guerre froide pour
(Q1-Q3). Lanimateur ralise une premire synthse pour laborer connatre par exemple le nombre de bombes sovitiques nces-
le second questionnaire. saires pour dtruire des sites industriels aux tats-Unis. La
consultation de sept experts aprs trois questionnaires successifs
Le second questionnaire est labor et a pour objectif de rduire a permis de rduire de faon significative les premires
les positions contradictoires (cest--dire lintervalle Q1-Q3). Ce estimations comme indiqu sur le tableau 1.
questionnaire est envoy aux experts pour quils rvisent leurs
positions et on demande explicitement aux experts ayant des On peut noter que le rapport initial maximum/minimum qui tait
jugements extrmes de se justifier. Cela signifie quil est demand de 100 a t rduit 360/167 trs proche de 2 do lefficacit
chaque expert de fournir une nouvelle rponse et de se justifier remarquable de la mthode Delphi.
Tour 1 Tour 2 Tour 3 Tour n

Questionnaire 1 Questionnaire 2 Questionnaire 3 Questionnaire n
Coordinateur
Groupe questionnaires Rapport
dexperts dpouillements final
analyse
synthse
statistiques
Figure 3 Diffrents votes dune tude Delphi
des quipements.
Mthodes analytiques

Ingnieur de lcole nationale suprieure dlectrotechnique, dlectronique, dinformatique,
dhydraulique et des tlcommunications de Toulouse (ENSEEIHT)
Docteur-ingnieur
Docteur s-sciences
Professeur associ des universits retrait
Universit Paris-Est-Crteil, France
1. Classification des mthodes analytiques dvaluation SE 4 005 - 2

et de rduction de la criticit ............................................................
1.1 volution des mthodes analytiques et leurs rfrences ...................... 2
1.2 Typologie des mthodes dvaluation de la criticit ............................. 3
2. Mthodes analytiques dvaluation de la criticit....................... 4
2.1 Analyse prliminaire des risques (APR) .................................................. 4
2.2 AMDEC....................................................................................................... 6
2.3 HAZOP........................................................................................................ 8
2.4 What-if 9
2.5 Arbre de dfaillances ................................................................................ 10
2.6 Blocs diagrammes de fiabilit Arbre des succs ................................. 12
2.7 Comparaison des mthodes analytiques utilisant
le retour dexprience............................................................................... 14
3. Mthodes de rduction de la criticit des consquences
des dfaillances des quipements.................................................... 14
3.1 Prsentation et principes .......................................................................... 14
3.2 Barrires mesure de matrise des risques............................................ 15
3.3 Principe de la mthode des arbres dvnements ................................. 16
3.4 Principe de la mthode du nud papillon.............................................. 17
3.5 Principe de la mthode MOSAR .............................................................. 18
3.6 Principe de la mthode LOPA .................................................................. 21
3.7 Comparaison des mthodes de rduction de la criticit
des consquences dune dfaillance ....................................................... 25
3.8 Recommandations .................................................................................... 26
4. Conclusion............................................................................................... 26
et article prsente les principales mthodes dvaluation de la criticit des

C dfaillances des quipements industriels et les outils contribuant la
rduction des consquences des dfaillances critiques des quipements. En
effet, dans de nombreux secteurs industriels, lvaluation de criticit des
dfaillances des quipements installs sur les installations reprsentent des
enjeux stratgiques. Le terme criticit faisant lobjet de diffrentes dfini-
tions et interprtations, il sera considr dans cet article comme une mesure
combine des consquences et de la frquence doccurrence des dfaillances
dun quipement. Son valuation permet, en particulier, de dterminer les
VALUATION DE LA CRITICIT DES QUIPEMENTS. MTHODES ANALYTIQUES __________________________________________________________________
impacts des dysfonctionnements sur la scurit des personnels, les arrts de

production, la qualit de service, les contraintes rglementaires pour les instal-
lations classes et le respect de lenvironnement. En fonction des rsultats
obtenus, il peut savrer ncessaire ou obligatoire vis--vis des rglementa-
tions davoir recours des dispositifs matriels ou immatriels permettant de
rduire la criticit des consquences des dfaillances. Des outils ont t mis au
point pour rpondre ces besoins et ces exigences.
Cet article prsente les principales mthodes analytiques qui exploitent les
donnes de fiabilit extraites du retour dexprience sur le comportement des
quipements. Dans le cas contraire, en absence du retour dexprience, larticle
[SE 4 004] propose les mthodes utilisables pour lvaluation de la criticit
base de jugement dexperts.
La premire partie de larticle sera consacre la typologie des mthodes
dvaluation et de rduction de la criticit. La seconde partie sera ddie aux
descriptions succinctes des principaux outils analytiques utilisables pour quanti-
fier la criticit des dfaillances des quipements. Pour chaque mthode, la trame
danalyse sera : origine, principe, tapes. Seront ainsi passs en revue lAPR
(analyse prliminaire des risques), lAMDEC (analyse des modes de dfaillance
de leurs effets et de leur criticit), lHAZOP (HAZard and OPerability study) uti-
lise pour lanalyse des risques industriels, What-If (Que se passe-t-il si ?), les
arbres de dfaillances, les blocs diagrammes de fiabilit-arbres des succs.
Pour guider le lecteur sur le choix le plus adapt sa problmatique, une
grille comparative des principaux attributs des mthodes est ensuite propose.
Dans lventualit o la criticit des dfaillances savrerait inacceptable, la
troisime partie rsumera les principes des mthodes les plus utilises pour
rduire les consquences des dfaillances critiques (barrires de scurit,
arbres dvnement, nud papillon, mthode MOSAR, mthode LOPA (Layer
Of Protection Analysis), avec galement une comparaison des avantages et
inconvnients de ces mthodes de rduction de la criticit.
La conclusion portera sur lvolution de ces dmarches compte tenu de leurs
mises en uvre de plus en plus frquentes dans de nombreux secteurs indus-
triels, grce notamment la mise sur le march de nombreux logiciels
commerciaux ddis aux tudes de risques. Elle saccompagnera galement
dune mise en garde sur des utilisations et interprtations inappropries des
rsultats obtenus en matire de matrise des risques.
1. Classification suivant cette norme en fonction de leurs impacts sur

laccomplissement de la mission et sur la scurit des
des mthodes analytiques quipements et des personnels. partir de cette date, de
nouveaux besoins de mthodes lis lvaluation et la prven-
dvaluation tion des risques ont vu le jour suite aux nombreux accidents ayant
entran la mort de milliers de personnes et des impacts irrpara-
et de rduction bles sur lenvironnement.
de la criticit Des annes 1950 jusqu nos jours, plusieurs dizaines de

mthodes analytiques ont t dveloppes dans diffrents
secteurs industriels et font lobjet de normes internationales de
guides dapplications spcifiques et douvrages spcialiss. Afin de
1.1 volution des mthodes analytiques guider le lecteur pour un approfondissement des connaissances de
et leurs rfrences ces outils, les principales rfrences sont proposes en fonction de
leur date de publication :
Le 9 novembre 1949, larme amricaine a publi la norme 1988 : Alain Villemeur [2] prsente dans son ouvrage neuf
MIL-P-1629 [1] qui a dfini lun des tous premiers outils mthodes danalyse en sret de fonctionnement ;
analytiques de la sret de fonctionnement : lAMDEC (analyse des 2002 : Jrme Tixier et al. [3] ont tabli un inventaire de 62
modes de dfaillances, de leurs effets et de leur criticit). mthodes pour lanalyse des risques pour les installations indus-
Initialement conu pour les systmes darmement, cette norme trielles. Il classe les mthodes en deux groupes : qualitatifs et
avait pour objectifs de dterminer les effets des dfaillances des quantitatifs, qui sont leur tour diviss en trois catgories :
systmes et des quipements. La criticit des dfaillances svalue dterministes, probabilistes et mixtes ;
__________________________________________________________________ VALUATION DE LA CRITICIT DES QUIPEMENTS. MTHODES ANALYTIQUES
2006 : lINERIS [4] dans son document sur les mthodes

danalyse des risques gnrs par une installation industrielle,
fournit une typologie pour onze mthodes ;
2009 : la norme ISO/CEI 31010 [5] prsente une slection de
vingt-huit outils et techniques danalyse de risques. Elle propose vnements
Dfaillance
galement une classification suivant leurs caractristiques pour pouvant
lidentification, lvaluation et lanalyse des risques ; conduire
la dfaillance
2011 : Andr Laurent [6] prsente, dans son ouvrage ddi la
scurit des procds chimiques, dix mthodes danalyse de
risques incluant les mthodes de fiabilit humaine. Les dfinitions
de mthodes qualitatives et/ou quantitatives y sont galement Analyse par approche inductive (Bottom Up approach)
fournies ;
2012 : Sam Mannan [7] propose une douzaine de mthodes
didentification et dvaluation des risques dans la quatrime Figure 1 Principe dune dmarche inductive
dition de son ouvrage sur la prvention des risques dans les
industries classes dangereuses.
On constate un foisonnement de dfinitions relatives la Causes

criticit dans les diffrentes publications et certaines dentre possibles Dfaillance
elles sont parfois ambigus. pouvant -
La dfinition suivante sera retenue dans cet article en se conduire vnements
basant sur sa premire dfinition labore en 1949 lors de la la non dsir
miseau point des AMDEC : La criticit est une valuation dfaillance
relative des consquences et de la frquence doccurrence des
dfaillances dun quipement .
Analyse par approche dductive (Top Down approach)
Linventaire des mtriques relatives aux diffrentes dfini-
tions de la criticit est donne dans cet article. Ici, les termes
employs correspondent aux dfinitions donnes dans les Figure 2 Principe dune dmarche dductive
normes internationales ou bien sont requis dans les clauses
des cahiers des charges dappels doffres. Ils feront lobjet du
glossaire dfinissant les principaux termes les plus Pour les mthodes dductives bases sur la dduction logique
communment admis la fin de cet article. qui est un procd par lequel on va du gnral au particulier ,
suivant le dictionnaire de lAcadmie des Sciences, la dmarche
est inverse puisque lon part de lvnement non dsir, la
dfaillance, et lon recherche ensuite par une approche descen-
1.2 Typologie des mthodes dvaluation dante toutes les causes possibles. Le systme est suppos
de la criticit dfaillant et lanalyse porte sur lidentification des causes suscepti-
bles de conduire cet tat. On part alors des dfaillances pour
Une analyse approfondie de lensemble des mthodes remonter aux causes. Il sagit partir de lvnement majeur
dvaluation de la criticit dcrites dans les documents de rf- didentifier les combinaisons et enchanements successifs dvne-
rence numrs au paragraphe prcdent fait apparatre que les ments pour remonter jusquaux vnements initiateurs comme le
concepts, les dmarches mises en uvre et les rsultats obtenus montre la figure 2.
couvrent un spectre trs large. Par consquent, pour aider le lec-
Dans la terminologie anglo-saxonne, cette mthode est appele
teur choisir la mthode la plus approprie, il est indispensable de
Top-Down approach .
mettre en uvre une typologie pour classer de faon non ambigu
les mthodes dvaluation de la criticit.
Cet article ne concernant quun nombre rduit de mthodes 1.2.2 Mthodes qualitatives, semi-quantitatives
(AMDEC, HAZOP, What-if, arbres de dfaillances, blocs et quantitatives
diagrammes de fiabilit, barrires, arbres dvnement, nud
papillon, MOSAR, LOPA), une grille comparative de leurs principa- Les mthodes qualitatives danalyse des risques sont utilises
les caractristiques sera prsente. dans la phase prliminaire dvaluation des risques. Elles
consistent identifier lensemble des situations dangereuses
susceptibles de survenir. Une analyse qualitative a pour objectif de
1.2.1 Mthodes dductives et inductives fournir principalement une apprciation. Une analyse qualitative
sutilise dans des domaines o les connaissances sont peu
Base sur linduction logique dfinie par le dictionnaire de lAca-
formalises ou difficilement quantifiables.
dmie des Sciences comme la manire de raisonner qui consiste
infrer du particulier au gnral , les mthodes inductives sont Lanalyse qualitative dfinit les consquences, leurs probabilits
bases sur une analyse montante o lon identifie toutes les doccurrence et les risques en les qualifiant par exemple avec des
combinaisons dvnements lmentaires possibles qui peuvent mots tels que : trs faible, faible, moyenne ou forte. Elle peut
entraner la ralisation dun vnement unique indsirable : la combiner les consquences et leurs probabilits doccurrence et
dfaillance. partir des vnements initiateurs, on identifie les valuer le risque laide de critres qualitatifs. Il est possible gale-
combinaisons et enchanements dvnements pouvant mener ment dutiliser une matrice de hirarchisation qualitative de risques.
jusqu laccident.
Les mthodes semi-quantitatives utilisent des chelles de
On dit gnralement que lon part des causes pour identifier les
notation numriques pour les probabilits doccurrence et leurs
effets. Dans la terminologie anglo-saxonne, cette mthode est
consquences. Les chelles de notation peuvent tre linaires ou
appele Bottom-Up approach .
logarithmiques. Elles combinent ensuite ces valeurs en utilisant
La figure 1 reprsente le principe de la dmarche inductive. des formules spcifiques au secteur industriel concern.
En prenant comme dfinition du risque : la combinaison de la

probabilit dun vnement et de ses consquences suivant 2. Mthodes analytiques
ISO/CEI 73 [8], ou la combinaison de la probabilit dun
dommage et de sa gravit suivant (ISO/CEI 51) [9], les mthodes
dvaluation de la criticit
quantitatives permettent de quantifier et danalyser les
consquences des dfaillances, les frquences et les risques. Les Pour les systmes industriels en cours de conception ou en
mthodes quantitatives, pour tre fiables et crdibles, doivent faire phase dexploitation, il est primordial de dterminer la gravit des
appel aux donnes de retour dexprience de trs bonne qualit. Il consquences des dfaillances des quipements mis en uvre et
est important de souligner que les valeurs fournies sont des leurs frquences doccurrence. En sappuyant sur les donnes de
estimations dont la prcision dpend des donnes utilises et retour dexprience dquipements analogues pendant la phase de
quelles doivent tre considres comme telles. conception, ou bien sur les donnes relles collectes sur les qui-
pements en exploitations, il devient possible dvaluer la criticit
des dfaillances potentielles ou effectives des quipements. Les
1.2.3 Mthodes pour dfaillance indpendante mthodes dcrites dans les paragraphes suivants sont
ou pour dfaillances combines essentiellement ddies ces deux cas de figure.
Les mthodes analytiques peuvent se classer en deux catgories
en fonction du nombre de dfaillances considres ; les mthodes
dfaillance indpendante considrent uniquement le cas o une
seule dfaillance se produit sur lquipement. Les rsultats des 2.1 Analyse prliminaire des risques (APR)
analyses sont fonction des caractristiques de cette seule
dfaillance (taux de dfaillance, probabilit doccurrence, etc.). 2.1.1 Historique et domaines dapplications
Inversement, les mthodes danalyses qui considrent les probabi-
lits doccurrence de dfaillances pouvant survenir simultanment La mthode danalyse prliminaire des dangers (APD) (Prelimi-
sont appeles mthodes pour dfaillances combines. nary Hazard Analysis ) [SE 4 010] [10] a t utilise au dbut des
annes 1960 aux tats-Unis pour lanalyse de scurit des missiles.
1.2.4 Mthodes dterministes et probabilistes La mthode initiale a pour objet didentifier les dangers dune ins-
tallation et ses causes (lments dangereux) et dvaluer la gravit
Dans le domaine particulier des installations risques des consquences lies aux situations dangereuses et aux acci-
industriels majeurs o lon souhaite prvenir ou rduire les causes dents potentiels. Lidentification des dangers est effectue grce
dun accident technologique (nuclaire, chimie, etc.). Il existe deux lexprience et la connaissance des spcialistes, laide de lis-
grandes approches pour lvaluation quantitative du risque tes-guides (check-lists ) dlments et situations dangereuses qui
industriel : lapproche dterministe et lapproche probabiliste. dpendent du domaine dapplication. Par extension, on appelle
analyse prliminaire des risques (APR), la mme analyse
Les mthodes dterministes tiennent compte des dfaillances
complte par une estimation de la probabilit doccurrence des
relles des quipements et quantifient les consquences pour
situations dangereuses et accidents potentiels, ainsi que leurs
diffrentes cibles comme les personnes, les installations.
effets et consquences.
Les mthodes probabilistes sont bases sur lvaluation de la
probabilit doccurrence des situations dangereuses ou de la
survenance dun accident potentiel en fonction des probabilits 2.1.2 Principes
doccurrence des dfaillances des quipements.
Le principe de lAPR est dtudier de faon prliminaire la scu-
Les mthodes dterministes mettent laccent sur lvaluation et rit afin de mettre en vidence les dangers potentiels et les mesu-
le contrle des consquences dun accident, tandis que les res ou exigences de scurit mettre en uvre pour obtenir un
mthodes probabilistes se concentrent sur lestimation de la niveau de scurit acceptable. Les dangers potentiels concernent
probabilit doccurrence de cet accident. souvent les substances dangereuses sous forme de matires pre-
Lapproche dterministe consiste en effet vrifier que les mires, dquipements dangereux ou des oprations dangereuses
consquences sont matrises, tandis que lapproche probabiliste associes linstallation industrielle.
se propose de dmontrer que la probabilit est maintenue des Ces mthodes sont utilises pour la phase didentification des
valeurs considres comme acceptables. Ces deux approches sont risques et orientes vers la scurit prvisionnelle pour des qui-
donc fondamentalement diffrentes puisquelles sont deux inter- pements en cours de conception.
prtations distinctes de la notion de risque. Ces approches sont
cependant complmentaires, et sont entreprises, par exemple, Lidentification de ces lments dangereux est fonction du type
dans le domaine de la sret des centrales nuclaires franaises. dinstallation tudie.
Le tableau 2 montre un exemple partiel dentits dangereuses
1.2.5 Grille des caractristiques principales en aronautique.
des mthodes analytiques
tant donn la richesse de la typologie des mthodes 2.1.3 Droulement
analytiques, la majorit des publications rfrences au
Il ny a pas de mthodologie unique pour lAPR ni de standard
paragraphe 1.1 proposent des grilles dcrivant les attributs des
unique. Deux dmarches sont possibles pour ce type de
mthodes analytiques danalyse de risque. Le lecteur pourra sy
dmarche :
rfrer pour plus dinformations complmentaires. Cette article
prsentant seulement les principes des mthodes APR, AMDEC dmarche dductive : on part du gnral vers le particulier et
HAZOP, What-If, arbres de dfaillances, blocs diagrammes de fiabi- on identifie les accidents potentiels et lon recherche tout
lit-arbres des succs, barrires de scurit, arbres dvnement, (lment + situation) ce qui peut conduire cet accident (dmarche
nud papillon, MOSAR, LOPA, la grille du tableau 1 fournit leurs type recherche des causes) ;
principales caractristiques. Concernant les caractristiques de dmarche inductive : on part du particulier vers le gnral et
mthodes dterministes et probabilistes, et compte tenu de leurs on part des lments du systme ; on recherche comment ils peu-
domaines dapplications trs spcifiques, le lecteur se reportera vent, combins une situation dangereuse, conduire un accident
la grille dvaluation tablie par Tixier [3]. potentiel.
Tableau 1 Grille dvaluation des caractristiques des mthodes analytiques

Approche quan- Niveau
Approche Domaines Dfaillances
Mthodes Objectifs titative/qualita- de
logique dapplications envisages
tive complexit
Identification des dangers, valuation
Toutes installa- et classement des risques associs et
APR Inductive Indpendantes Qualitative +
tions simples proposition des mesures de couver-
tures des risques
Systmes Analyse des modes de dfaillances, de
AMDEC Inductive Indpendantes Quantitative +++
techniques leurs effets et de leur criticit
Identification des dysfonctionnements
Procds
de nature technique et opratoire pou-
HAZOP Inductive thermo Indpendantes Qualitative ++
vant conduire des vnements non
hydrauliques
souhaits
Inventaire des quipements pouvant
Toutes installa- Semi-
What-if Inductive tre dfaillants et valution de la pro- Indpendantes +
tions simples quantitative
babilit et la gravit de leurs effets
Arbres
valuation de la probabilit
de
Toutes doccurrence dun vnement redout
dfaillance Dductive Combines Quantitative +++
installations partir de loccurrence des vne-
(quantita-
ments qui peuvent le produire
tifs)
Blocs
diagramme Dtermination de la fiabilit globale
Toutes
de fiabilit Inductive dun systme partir de la fiabilit des Combines Quantitative +++
installations
(quantita- composants lmentaires
tifs)
Analyse des barrires ayant pour but
la rduction de la probabilit
Inductive Toutes
Barrires doccurrence et/ou des effets Combines Quantitative ++++
Dductive installations
et consquences dun vnement
non souhait dans un systme
Dtermination de lensemble
des squences accidentelles
Arbres
Inductive Toutes susceptibles de se raliser suivant
dvne- Combines Quantitative +++
Dductive installations que les barrires de protection
ment
remplissent ou non leur fonction
de scurit
Visualisation et quantification
des scnarios daccident qui pour-
Nud Inductive Toutes raient survenir en partant des causes
Combines Quantitative ++++
papillon Dductive installations initiales de laccident jusquaux
consquences sur les lments
vulnrables environnants
Analyse des risques dun systme
Inductive Toutes diffrents niveaux danalyse et mise
MOSAR Combines Quantitative ++++
Dductive installations en vidence des moyens de matrise
des risques
valuation du niveau de matrise
Inductive Toutes de risque avec les barrires existantes
LOPA Quantitative Quantitative ++++
Dductive installations sur un systme et dtermination
ventuelle de nouvelles barrires
Lutilisation dun tableau danalyse tabulaire constitue un outil [SE 4 010], il est important de retenir une trame qui contient les
utile pour synthtiser le raisonnement et assurer le raisonnement notions de gravit et doccurrence des consquences des dfaillan-
intellectuel du groupe de travail charg de la dtermination de la ces des quipements dans le cadre dune tude sur la criticit des
criticit des quipements. On remarquera quil ny a pas de trame quipements.
unique, mais celle-ci doit au minimum contenir les rsultats Dans le cadre de la recherche de la criticit des quipements, il
attendus de lanalyse et ventuellement dautres colonnes est recommand de mettre en uvre des tableaux utiliss pour
(structuration, traabilit). Cependant, comme indiqu dans ces analyses qui contiennent :
Analysis : FMECA), dveloppe aux tats-Unis et utilise depuis

Tableau 2 Exemple dvnements dangereux septembre 1949 en spatial et en aronautique, a t depuis gn-
en aronautique ralise de nombreux domaines de lindustrie. Elle permet ltude
Entits et situations dangereuses en aronautique systmatique des causes et des effets des dfaillances (modes de
dfaillance et effets) et de dfinir la gravit, la frquence doccur-
Entits dangereuses Situations dangereuses rence, la dtectabilit et la criticit des consquences des modes
de dfaillances qui affectent les composants dun systme.
Combustible Acclration
Depuis sa premire mise en uvre en 1949, des adaptations ont
Propergols Contamination t apportes et concernent les AMDEC : produit, procd, machi-
nes, moyens de production et organisationnelles. De trs nom-
Catalyseurs chimiques Corrosion breuses normes internationales, nationales et sectorielles ont vu le
jour depuis plusieurs dcennies. Parmi les standards les plus utili-
Charges explosives Ractions chimiques
ss et proposs dans la majorit des logiciels commerciaux
Conteneurs sous pression Explosion dAMDEC figurent :
MIL STD-1629A [11] ;
IEC NF EN 60812 [12] ;
le systme ou la fonction tudie ; SAE J1739 [13] ;
la phase de la mission o le danger peut se manifester ;
lentit dangereuse ; SAE ARP 5580 [14] ;
le (ou les) vnement(s) causant une situation dangereuse ; AIAG FMEA-4 [15].
la situation dangereuse ; La norme CEI 60812 [16] sert en particulier trs souvent de base
le (ou les) vnement(s) transformant la situation dangereuse aux normes nationales ou europennes et dans plusieurs secteurs
en accident potentiel ; industriels (Norme Cnomo dans lautomobile franaise par exemple).
laccident potentiel ;
les consquences de laccident ; La mthode comprend quatre tapes et se caractrise par une
une classification par gravit ; prsentation sous forme de tableaux qui sont trs souvent
une estimation prliminaire de probabilit sil sagit dune spcifiques un secteur industriel concern.
tude APR ;
les mesures prventives ventuelles.
2.2.2 Principes
Le tableau 3 donne un exemple de trame APR.
Le principe de lAMDEC, dcrit dans de multiples ouvrages et
publications dont [SE 4 040] est didentifier et de hirarchiser les
2.1.4 Limites et avantages modes potentiels de dfaillance susceptibles de se produire sur un
Un avantage principal de lanalyse prliminaire des risques est quipement, den rechercher les effets sur les fonctions principales
de permettre un examen rapide des situations dangereuses sur des quipements et den identifier les causes. Pour la dtermina-
des installations industrielles. Elle possde lavantage de ne pas tion de la criticit des modes de dfaillance, lAMDEC requiert pour
requrir des analyses trs approfondies et est donc conomique chaque mode de dfaillance la recherche de la gravit de ses
en regard du temps requis. La mthode APR fournit une bonne effets, la frquence de son apparition et la probabilit de sa dtec-
vision densemble sur les dangers et points critiques et une bonne tabilit. Quand toutes ces informations sont disponibles, diffren-
vision densemble des principes de mise en scurit. Une de ses tes mthodes existent pour dduire une valeur de la criticit du
limites est son champ dapplication des installations simples et mode de dfaillance. Si la criticit est juge non acceptable, il est
ne permet pas de prendre en compte de combinaisons alors impratif de dfinir des actions correctives pour pouvoir cor-
dvnements complexes simultans. riger la gravit nouvelle du mode de dfaillance (si cela est effecti-
vement possible), de modifier sa frquence dapparition et
damliorer ventuellement sa dtectabilit.
2.2 AMDEC
2.2.3 Droulement
2.2.1 Historique et domaines dapplications
Lobjectif de la mthode AMDEC est de complter les informa-
La mthode AMDEC (analyse des modes de dfaillance de leurs tions contenues dans des colonnes que lon renseigne avec les
effets et de leur criticit (Failure Mode and Effects and Criticality donnes indispensables.
Tableau 3 Trame type dune tude APR
Tableau type de la mthode APR
Mesures
vnement
Sous- vnement de
Entit causant Situation Effets Occurrence
systme ou Phase causant un Accident Gravit prvention
dangereuse une situation dangereuse consquences (frquence)
quipement accident ou de
dangereuse
protection

Dfinition du systme, de ses fonctions et de ses composants tablissement de leurs effets et de leur criticit
Dans cette premire tape, on identifie les principales fonctions Dans cette tape, on recense les effets ou consquences que
du systme, ses limites fonctionnelles (systmes et composants) peut avoir chaque mode de dfaillance. Il convient de les valuer
les spcifications relatives au fonctionnement du systme, de ses sur le (ou les) niveau(x) suprieur(s), jusquau niveau le plus haut
composants ou de lenvironnement du systme. (effet local, effet au niveau immdiatement suprieur, effet final).
Ensuite, il est impratif de dfinir le niveau de dfinition de La criticit est lexpression de limportance globale dune
lAMDEC : niveau procd, niveau systme, niveau composant ou dfaillance donne.
niveau pice lmentaire.
Elle permet de hirarchiser les dfaillances selon leur influence
tablissement des modes de dfaillance des composants et globale sur le systme, le process, le client, etc. vis--vis des
leurs causes objectifs matriser (scurit, maintenance).
Cette phase doit tre la plus complte possible et demeure le Elle peut tre exprime par un paramtre ou une combinaison
point faible de la mthode. Un mode de dfaillance dcrit laltra- de paramtres tels que :
tion dune fonction attendue. Les modes de dfaillance sont dfinis
par rapport un fonctionnement prcis du systme et sont donc gravit : classe ou degr sur les effets des dfaillances ;
dpendants de celui-ci. Pour aider lanalyse, on utilise des tableaux probabilit doccurrence : taux de dfaillance, frquence
comme le tableau 4 donnant quelques modes de dfaillance de la dapparition ;
liste-guide de modes gnriques de dfaillance (norme dtection : probabilit ou niveau, de dtectabilit du mode de
EN 60812 [16] qui remplace la norme AFNOR X 60-510). dfaillance ;
Suivant les besoins de ltude, on recherche les causes attribua- autres paramtres spcifiques aux particularits de ltude
bles chaque mode de dfaillance et un mode de dfaillance peut (dure de fonctionnement, temps moyen de rparation...).
avoir plusieurs causes. On recherche souvent la cause la plus l-
mentaire (cause des causes). Pour valuer la criticit, il existe plusieurs solutions. La premire
solution consiste utiliser un indice numrique de criticit souvent
appel IPR (indice de priorit de risques) qui est le produit des
valeurs numriques donnes la gravit, la probabilit
Remarques sur les notions de causes, modes et effets doccurrence et la dtectabilit du mode de dfaillance suivant des
chelles propres la norme dAMDEC retenue :
Selon le niveau o lon situe le problme, la cause devient
le mode ou bien leffet. Indice de priorit de risque (IPR) = gravit probabilits dtection
En raison du dcalage dans larborescence fonctionnelle,
leffet devient le mode de dfaillance au niveau suprieur, et Pour dfinir si un mode de dfaillance est critique, il appartient
le mode devient la cause au niveau suprieur. au groupe de travail de dfinir un seuil au-del duquel
lquipement sera considr comme critique. Dans de nombreux
cas, on choisit le seuil au quart de la valeur maximale de la
criticit.
Tableau 4 Exemple de modes gnriques
de dfaillance Dfinition des actions correctives et nouveau calcul de la
Modes gnriques de dfaillance suivant la norme EN 60812 criticit
1 Dfaillance structurelle Dans certaines tudes, si la criticit nest pas acceptable, il est
demand de dfinir des actions correctives telles que reconcep-
2 Blocage physique tion, maintenance prventive, moyens de prvention. Pour juger
9 Fuite externe de lefficacit de ces actons correctives, il est de nouveau
indispensable de recalculer le nouvel IPR :
13 Fonctionnement intempestif
14 Fonctionnement intermittent IPR = gravit probabilit dtection
19 Ne sarrte pas Le tableau 5 donne un exemple de trame dAMDEC.
Tableau 5 Exemple de trame dAMDEC
EXEMPLE DE TRAME dAMDEC
Effet
au Gra- Fr- Dtec- Action Gra- Fr- Dtec-
Fonc- Effet Effet IPR ini- IPR
Mode niveau Cause vit quence tion correc- vit quence tion
tion local final tial finale
sup- initiale initiale initiale tives finale finale finale
rieur
des quipements
Mtriques et indicateurs de performance

Ingnieur de lcole nationale suprieure dlectrotechnique, dlectronique, dinformati-
que et dhydraulique
et des tlcommunications de Toulouse (ENSEEIHT)
Docteur-ingnieur
Docteur s-sciences
Professeur associ des universits en retraite, Universit Paris Est Crteil, France
1. Typologie des impacts des dfaillances critiques ....................... SE 4 006 - 3

1.1 Notions de dfaillance critique ................................................................ 3
1.2 Classification des secteurs dactivits ..................................................... 3
1.3 Classification des dfaillances et de leurs consquences ..................... 4
2. Mtriques et indicateurs de performance ...................................... 8
2.1 Prambule.................................................................................................. 8
2.2 Mtriques pour les indicateurs de performance .................................... 9
2.3 Donnes ..................................................................................................... 10
3. Mtriques et indicateurs de performance
pour les secteurs dactivits conventionnelles ............................ 12
3.1 Prambule.................................................................................................. 12
3.2 Indicateurs et mtriques pour la maintenance ....................................... 12
3.3 Indicateurs et mtriques lis la sret de fonctionnement ................ 13
4. Mtriques et indicateurs de performance
pour les secteurs dactivits dangereuses ..................................... 16
4.1 Prambule.................................................................................................. 16
4.2 lments de terminologie pour les dangers et les risques ................... 16
4.3 Mtriques et indicateurs de performance
pour les installations classs ICPE........................................................... 17
4.4 Mtriques et indicateurs de performance
pour les transports ariens et ferroviaires .............................................. 19
4.5 Mtriques et indicateurs de performance pour les industries
ptrolires et chimiques dangereuses .................................................... 21
5. Conclusion............................................................................................... 24
et article prsente les mtriques et indicateurs de performance utiliss

C dans les diffrents secteurs industriels pour valuer et/ou contribuer
rduire la criticit des consquences des dfaillances des quipements.
Les responsables des entreprises et les organismes chargs dtablir et de

faire appliquer les rglementations doivent imprativement disposer de
tableaux de bord pour contrler lefficacit des dispositions mises en place
pour prvenir ou minimiser les consquences des dfaillances des
quipements.
Le terme mtrique utilis dans cet article vient de langlicisme du mot
metrics et se rfre aux mthodes de mesure par laquelle lefficacit dun
processus ou dun produit peut tre value.
La grande majorit de ces moyens de suivi a t dfinie pour quantifier et
qualifier les impacts des dfaillances critiques sur la rentabilit conomique
des investissements, la scurit des biens et des personnes, la disponibilit
oprationnelle, le respect des contraintes rglementaires pour les installations
dangereuses et lenvironnement. Compte tenu du foisonnement des mtriques
et des indicateurs de performance, un utilisateur non averti a toujours du mal
slectionner le jeu dindicateurs le plus pertinent, et cet article a pour but de
lui servir de guide.
Lanalyse approfondie de leurs dfinitions permet de sparer leurs domaines
dapplication en deux catgories : dune part le domaine des secteurs
dactivits classiques et non dangereuses pour le lgislateur, et dautre part le
secteur des activits dangereuses et classes.
Deux familles dindicateurs de performance ont t dfinies pour chacune de
ces catgories.
La premire famille est conue pour valuer les performances calcules
partir des donnes collectes sur les installations : elle permet davoir des
informations sur les consquences des dcisions du management prises en
amont. Ces indicateurs de performance sont appels lagging indicators
dans la terminologie anglo-saxonne et appels dans cet article indicateurs
dimpact .
La seconde famille concerne des indicateurs lis des dispositions techni-
ques ou organisationnelles contribuant terme rduire la criticit dune
dfaillance. Qualifis de leading indicators dans la terminologie
anglo-saxonne, ils seront appels par la suite indicateurs dactivits .
La notion de criticit dun quipement a de multiples interprtations, souvent
ambiges ; la premire partie en proposera une dfinition. Les dfaillances
nayant pas ncessairement les mmes consquences en fonction des secteurs
dactivits, une classification des secteurs dactivits conventionnelles et des
secteurs dactivits classes dangereuses sera prsente avec les rglementa-
tions associes pour cette dernire catgorie. Ensuite, une typologie des
dfaillances identifiera trois classes de dfaillances : organisationnelles,
humaines et techniques. Les dfaillances organisationnelles et humaines tant
prpondrantes, le modle Swiss cheese de James Reason sera dvelopp.
Deux mthodes damlioration seront brivement exposes : les mthodes
Tripod et ALARM. Ensuite, linventaire des impacts des dfaillances sera
dtaill ; il concerne les impacts sur la scurit des personnes, lenviron-
nement, la disponibilit, les consquences financires, limage de marque et
lintgrit des biens. Enfin, pour les dfaillances techniques des quipements,
une analyse des causes est propose : conception, exploitation, maintenance,
facteurs organisationnels et humains (FOH) et les facteurs externes.
La deuxime partie explique le rle fondamental des indicateurs de perfor-
mance pour les dirigeants et les diffrents responsables dune entreprise. Les
sept tapes de processus dlaboration dun indicateur de performance sont
dcrites dans la seconde partie. Elles concernent la dfinition des objectifs
recherchs laide dun indicateur, la slection de lindicateur de performance,
le choix des mtriques, la collecte des donnes brutes, le calcul des valeurs
des indicateurs, la dfinition des actions correctives suite aux valeurs obtenues
et sa redfinition sil savre non pertinent. La troisime partie est consacre
aux applications dans le secteur des activits conventionnelles. Dans la mesure
o des normes internationales ont t rdiges pour la maintenance et pour la
sret de fonctionnement, les indicateurs de performance associs seront pro-

poss. La quatrime partie sera ddie aux activits classes dangereuses.
Aprs un rappel sur les diffrentes dfinitions relatives aux dangers et aux ris-
ques, le cas des installations classes ICPE en France sera trait. Le cas de la
rglementation internationale de lOACI pour les transports ariens fera lobjet
dun paragraphe particulier, ainsi que le cas des secteurs du transport ferro-
viaire. Pour les industries chimiques et ptrolires, les pays anglo-saxons se
basent sur des recommandations et normes particulires. Les principes de la
norme API 754 Process Safety Performance Indicators de lAmerican Petro-
leum Institute seront succinctement dcrits. Pour les industries chimiques, les
recommandations de lAmerican Institute of Chemical Engineers (AIChE) feront
lobjet de dveloppements.
La conclusion noncera des recommandations pour la mise en place dindi-
cateurs et de leurs mtriques avec galement une vue perspective sur les
dveloppements en cours.
1. Typologie des impacts geants et de leurs actionnaires est de fournir un retour sur inves-
tissements optimis. Cependant, toute activit industrielle
des dfaillances critiques implique des quipements et des personnels pour les exploiter.
Les responsables de ces entreprises sont obligatoirement soumis
des rglementations concernant la sant et la scurit des
personnels et le respect de lenvironnement. Trs souvent, une ins-
1.1 Notions de dfaillance critique tallation conventionnelle comporte une partie dangereuse soumise
rglementation.
Le choix des mtriques et des indicateurs de performance, et la
collecte des donnes associes impliquent de dfinir les notions
de criticit et de dfaillance critique. En effet, depuis la naissance 1.2.2 Secteurs dactivits soumises
des premiers concepts de la sret de fonctionnement dans les rglementation
annes 1930, de nombreuses dfinitions ont vu le jour. Dans cet
article, la dfinition de la criticit sera dduite de la norme Lorsque des atteintes la sant et la scurit des personnes ou
amricaine sur les AMDEC (analyse des modes de dfaillance, de lenvironnement sont susceptibles de se produire dans un sec-
leurs effets et de leur criticit) qui a vu le jour le 10 septembre teur dactivits donn, des rglementations nationales ou interna-
1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et tionales ont t labores pour les encadrer. Ainsi, dans le
remise jour par la Mil-STD 1629A [1] et qui dfinit la criticit domaine des activits industrielles dangereuses, le ministre de
comme tant une mesure relative des consquences dun mode lcologie, du Dveloppement durable et de lnergie rglemente
de dfaillance et de sa frquence doccurrence . partir de cette et fait inspecter les installations classes pour la protection de
mesure relative, il est possible de dfinir un seuil au-del duquel la lenvironnement (ICPE) [2]. Les installations classes ICPE sont
consquence sera considre comme critique. La gravit des susceptibles de gnrer des risques ou des dangers, ou de provo-
consquences dun mode de dfaillance critique, conformment quer des pollutions ou nuisances, notamment pour la scurit et la
cette mme norme, prend en considration ses pires sant des riverains et pour lenvironnement.
consquences finales : par exemple, mort de personnes, blessures, Il existe quatre catgories dinstallations classes :
atteintes aux biens et aux systmes. Les paragraphes suivants 1. les installations soumises dclaration : pour les activits les
dcrivent les typologies des causes et des consquences des moins polluantes et les moins dangereuses ;
dfaillances pour deux familles de secteurs dactivits : les
2. les installations soumises autorisation : pour les installations
secteurs dactivits conventionnelles et les secteurs dactivits sou-
prsentant les risques ou pollutions les plus importants ;
mises rglementation.
3. les installations dites Seveso seuil bas : cette catgorie
correspond au seuil bas de la directive europenne Seveso II ;
4. les installations soumises autorisation avec servitudes
1.2 Classification des secteurs dactivits dutilit publique (AS) : cette catgorie inclut les installations dites
Seveso seuil haut de la directive europenne Seveso II.
Les consquences des dfaillances des quipements varient de
faon trs notable suivant leurs potentialits induire des risques
ou des dangers pour la scurit et la sant des personnels des
partir de 2015, la rglementation SEVESO III remplacera
entreprises ou des riverains. Pour ces raisons, il est important de
la rglementation SEVESO II.
diffrencier le cas des secteurs dactivits conventionnelles de
celui des secteurs dactivits prsentant des dangers et des
risques. Dans le domaine des transports ferroviaires, de nombreux
rglements rgissent leur scurit. LUnion europenne [3] a tabli
1.2.1 Secteurs dactivits conventionnelles le rglement (UE) no 1078/2012 du 16 novembre 2012 concernant
une mthode de scurit commune aux fins du contrle que doi-
Les secteurs dactivits conventionnelles directement lis vent exercer les entreprises ferroviaires et les gestionnaires
lindustrie reprsentent environ 80 % de toutes les activits dinfrastructure aprs lobtention dun certificat de scurit ou dun
recenses en France. La principale proccupation de leurs diri- agrment de scurit, ainsi que les entits charges de lentretien.
Pour les transports ariens, lOrganisation de laviation civile

internationale (OACI) est lorganisme qui assure la normalisation
internationale des rgles de scurit. La DGAC (Direction gnrale Financires
de laviation civile) est charge de sa transcription dans le droit
franais [4].
Image de
Pour information, lAutorit de sret nuclaire (ASN), Disponibilit
marque
rglemente et contrle la sret nuclaire et la radioprotection en Dfaillances
France. Les rfrences [SE 3 010] et [SE 12] donnent des informa- organisationnelles
tions complmentaires sur la scurit et gestion des risques et les techniques
facteurs organisationnels de la scurit. humaines
Intgrit
Environnement
des biens
1.3 Classification des dfaillances Scurit des
et de leurs consquences personnes
Pour les secteurs dactivits conventionnelles ou classes

Figure 1 Causes et consquences des dfaillances
dangereuses, les dfaillances dorigine diffrentes sont invitables
car les objectifs zro dfaut , zro panne et zro accident
sont irralisables en pratique. Une tape pralable la dfinition majeure et non encore parfaitement rsolue concerne les dfini-
des mtriques et dindicateurs de performance consiste tablir tions de facteurs humains, derreurs humaines et de fiabilit
une classification des dfaillances conduisant des situations humaine. Ce paragraphe donnera des exemples de dfinitions les
juges critiques. Elle permettra didentifier les leviers appropris plus appropries pour une tude de criticit en soulignant quelles
pour entreprendre des actions de prvention et danticipation de ne runissent pas obligatoirement un consensus au sein des
loccurrence de dfaillances. La figure 1 reprsente les communauts scientifiques dans cette discipline. Dans les annes
consquences principales des trois catgories principales de 1950 avec lcole des Human Factors , lhomme tait considr
dfaillance : essentiellement comme un lment de dfaillance et tait fr-
dfaillances organisationnelles ; quemment mis en cause dans lanalyse des catastrophes indus-
dfaillances humaines ; trielles et les accidents du travail [5]. Pendant plusieurs dcennies,
dfaillances techniques. cette conception ngative de lintervention humaine reposait sur
Sur la figure 1, les diffrentes consquences des dfaillances une confiance sans faille dans la technique et sur une mconnais-
sont reprsentes, ainsi que leurs interrelations. sance des sciences humaines. On attribuait presque toujours les
causes des accidents aux facteurs humains lis aux erreurs et aux
fautes des oprateurs. Grace aux leons tires des analyses des
1.3.1 Typologie des dfaillances grandes catastrophes industrielles (Bhopal, Three Mile Island,
Tchernobyl, Piper Alpha, etc.), ce point de vue rducteur a chang
Il est important de noter que les dfaillances ne font pas lobjet notablement pour prendre en compte les facteurs organisationnels
de dfinitions uniques et il convient de sassurer de la bonne dans lequel volue loprateur humain [6]. Cambon [7] dans sa
acceptation de ces concepts au sein dune tude de criticit thse prsente les quatre res qui replacent ces volutions
particulire. Les paragraphes suivants proposent les dfinitions les depuis les annes 1930 :
plus communment admises pour les dfaillances et leurs
lre technique : fiabilit des systmes techniques ;
consquences.
lre de lerreur humaine : facteur humain ;
lre organisationnelle : facteurs organisationnels ;
1.3.1.1 Dfaillances organisationnelles lre interorganisationnelle : culture de scurit et rsilience.
Les dfaillances organisationnelles relvent principalement de La rsilience est la capacit dun systme maintenir ou rta-
problmes de management car elles mettent en cause les blir un niveau de fonctionnement acceptable malgr des pertur-
mthodes et les procdures de travail, la communication entre les bations ou des dfaillances [8]. Aujourdhui, les facteurs humains
acteurs, lorganisation des quipes de travail et la fourniture des et organisationnels (FOH) sont pris en considration dans la majo-
moyens humains et logistiques. Elles peuvent contribuer de faon rit des activits industrielles ou de services. Samson [AG 1 520]
indirecte la dfaillance dun quipement ou un accident dfinit ainsi le facteur humain : Lhomme, ses comportements et
majeur. Ainsi les enqutes menes, suite aux accidents des navet- ses modalits de fonctionnement, les facteurs internes et externes
tes Columbia et Challenger, ont point du doigt de nombreuses qui influencent ces comportements. Lincidence de ces comporte-
dfaillances organisationnelles. Par exemple, une procdure de ments sur la qualit et la fiabilit ou : Lhomme et ses interac-
maintenance inadapte dun quipement peut conduire une tions avec les sous-systmes humains, techniques, sociaux et
dfaillance technique. De nombreuses normes et rfrentiels pro- organisationnels dun systme, le rsultat de ces interactions en
posent des systmes de management pour la qualit, la sant et termes de scurit et de production .
scurit au travail, lenvironnement, la communication et les rela-
tions humaines et le management des risques. Dans la suite de cet Les facteurs internes relvent des caractristiques individuelles
article, les normes directement lies la dtermination de la de loprateur, et les facteurs externes concernent particulirement
criticit des dfaillances feront lobjet de descriptions plus lorganisation du travail et lenvironnement des conditions de
dtailles. travail.
Lerreur humaine peut tre considre comme lincapacit
1.3.1.2 Dfaillances humaines atteindre un objectif donn selon une procdure prvue par suite
dun comportement involontaire ou dlibr, ou bien lerreur est
Les dfaillances humaines reprsentent dans beaucoup un cart ou une dviation involontaire entre laction et lintention.
dindustries la source prpondrante de dfaillances induisant la
majorit des consquences dcrites sur la figure 1. Selon lInstitut La fiabilit humaine est laptitude dune entit (individu ou
de radioprotection et de sret nuclaire (IRSN), les dfaillances quipe) effectuer ses tches de faon sre, dans les dlais et les
humaines et organisationnelles taient lorigine de 85 % des v- exigences attendus.
nements significatifs pour la sret nuclaire en 2009. Dans le Depuis les annes 1990, de nouveaux concepts et modlisations
domaine de ltude des dfaillances humaines, une difficult ont t introduits pour comprendre pourquoi et comment les
accidents surviennent. Incontestablement, le modle Swiss caches pour les oprateurs, peuvent se propager lintrieur du
cheese ou gruyre dvelopp par le Professeur James systme de barrire et conduire des erreurs actives.
Reason de la Manchester University au Royaume-Uni est actuelle-
ment le plus rpandu. Ces travaux considrent que lerreur La figure 3 reprsente toute la chane causale pouvant conduire
humaine nest plus la cause dun accident, mais la consquence un accident.
dun environnement organisationnel dfaillant [9]. La figure 2 Le modle initial de Reason a fait lobjet depuis son premier
reprsente le modle de Reason. Il utilise un systme de plaques concept de nombreuses modifications pour lamliorer et le
correspondant des barrires redondantes qui sinterposent entre complter. Parmi ces amliorations, on peut citer la mthode
le danger et laccident. Tripod dveloppe par Cambon et Guarniri dans le domaine de la
Loccurrence dun accident se produit si toutes les barrires scurit du travail et celle de la mthode ALARM dans le domaine
mises en place savrent dfaillantes. Les points faibles dune mdical.
barrire sont reprsents par trous do le surnom de la La mthode Tripod [10] repose sur les analyses faites a poste-
mthode Swiss cheese ou gruyre . Lapparition simultane riori sur les rapports daccidents et dincidents. Les conclusions de
de trous dans chacune des barrires peut alors provoquer ces analyses permettent de classer les dfaillances latentes en un
laccident. Le chemin ainsi dfini entre le danger, les trous et nombre limit de onze facteurs types de risques organisationnels.
laccident est alors appel la trajectoire accidentelle . Les tra-
vaux de Reason se sont penchs sur les conditions dapparition de La mthode ALARM a t dveloppe dans le domaine de la
ces trous. Les erreurs actives correspondent aux consquences prvention des risques hospitalier par Charles Vincent et son
derreurs commises par les oprateurs de premire ligne. Selon quipe et publie en 1998 [11]. Elle est inspire directement du
son modle, ces erreurs actives sont les consquences de modle de REASON. Les fondements de la mthode ALARM
mauvaises dcisions organisationnelles prises par le management repose sur les constatations et dfinitions suivantes : Tout op-
(conception, communication, planification, etc.). Ces dysfonction- rateur fait des erreurs, et il est mme impossible dimaginer un
nements organisationnels sont appels conditions latentes et oprateur qui nen fasse pas. Ces erreurs sont patentes ,
sont les sources derreurs latentes . Ces erreurs latentes, visibles de tous.
Conditions latentes
Barrire
DANGER
n 3
Barrire
n 3
Barrire
n 2
Barrire
n 1
Erreurs actives
Accident
Figure 2 Modle Swiss cheese plaques de Reason
Erreurs Conditions Erreurs Barrires/

latentes de travail actives dfenses
Accident
Facteurs : Actes dangeureux :
Dcisions du charge de travail oublis
management supervision report des tches
communication erreurs cognitives
Processus outillage (pertes mmoire et
organisationnel connaissances fautes)
aptitude violations
Figure 3 Chane causale dun accident
Erreurs latentes Erreurs patentes Dfenses en profondeur

Pression lerreur par dfaut Erreurs et violation par Dont certaines sont
dorganisation,de communication les acteurs rodes par la routine
ou de conceptions sre des le manque de moyens
interfaces
Auto dtection
et rcupration
vnement
indsirable
Arrt de progression
par une barrire
Pression Mauvaise Fatigue
la production organisation stress
interface
Figure 4 Le modle ALARM de Vincent
La scurit repose sur des dfenses en profondeur qui sont frquente de loccurrence des dfaillances techniques. Ainsi, le
des procdures organises pour rcuprer les erreurs des choix dune mauvaise nuance dun acier entranera terme sa
oprateurs (aucune de ces procdures ou barrires nest suffisante rupture par fatigue lors de sollicitations mcaniques rptes.
pour procurer une scurit totale, mais leur empilement bloque
presque toutes les propagations derreurs dans le systme. Une exploitation de lquipement ne respectant les spcifica-
tions techniques dexploitation est une source de dfaillance
Lorganisation du travail, sa conception et son management classique. Par exemple, si loprateur dun pont roulant manipule
par la hirarchie, psent sur la frquence et le type derreur des une charge dpassant la valeur limite de conception, cela induira
oprateurs. Mais les dysfonctionnements ce niveau sont long- sa destruction structurelle. Il est important de noter que dans ce
temps invisibles : on les appelle des erreurs latentes . cas, le facteur humain y joue galement un rle important.
La mthode ALARM fournit un guide pour retrouver ces erreurs
latentes de lorganisation et de son management. Une politique de maintenance mal matrise et/ou inefficace est
une source majeure de dfaillances. titre dexemple, une mau-
La figure 4 illustre les principes et concepts de la mthode vaise priodicit du graissage dun palier conduit invitablement
ALARM. une dfaillance.
1.3.1.3 Dfaillances techniques Comme largement dvelopp au paragraphe 1.3.1.2 les facteurs
humains oprationnels et humains (FOH) sont des contributeurs
Les dfaillances techniques sont dfinies dans la discipline de la
majeurs lapparition de dfaillances techniques. Ainsi, un person-
sret de fonctionnement comme est la cessation de laptitude
nel mal form ou non habilit pourra endommager un quipement
dune entit accomplir une fonction requise (norme NF EN 13306
et conduire la dfaillance, ou bien une procdure de maintenance
Maintenance Terminologie de la maintenance) [12]. La
non remise jour peut engendrer terme une dfaillance techni-
dfaillance est observe travers son mode et rsulte dune cause
que. Un inventaire exhaustif de toutes les causes lies aux FOH est
initiale. Elle se caractrise donc par le couple cause-mode. Le
impossible raliser en pratique. Chaque secteur dactivits dis-
mode de dfaillance est la manire par laquelle la dfaillance est
pose de son propre rfrentiel li aux FOH. Les facteurs extrieurs
observe et correspond une perte totale ou partielle de fonctions
qui conduisent des dfaillances techniques correspondent des
assures par lquipement. La cause potentielle de la dfaillance
agressions externes non prvues lors de la conception de lquipe-
reprsente lvnement initial susceptible de conduire au mode de
ment. Parmi ces facteurs on peut prendre en compte :
dfaillance. Leffet est la consquence du mode de dfaillance sur
le bon fonctionnement du moyen de production ou sur lutilisateur les environnements dexploitation en dehors des plages spci-
final du moyen. La figure 5 reprsente les facteurs qui contribuent fies (humidit, pression atmosphrique, temprature, vibrations,
loccurrence des dfaillances techniques. champs lectriques et magntiques, poussires, atmosphre
Une mauvaise conception des quipements conjugue la corrosive) ;
slection de matriaux inadapts ou trop fragiles est une cause les sabotages ou actes de malveillance ;
Facteurs influants
sur les dfaillances
techniques
Facteurs
Conception Exploitation Maintenance organisationnels Facteurs
et humains (FOH) externes
Figure 5 Causes des dfaillances techniques
des quipements
Mthodologie globale
Ingnieur de lcole nationale suprieure dlectrotechnique,
dlectronique, dinformatique et dhydraulique et des tlcommunications
de Toulouse (ENSEEIHT)
Docteur-Ingnieur
Docteur s Sciences
Professeur associ des universits en retraite
Universit Paris Est Crteil , France
1. Prsentation de la mthodologie...................................................... SE 4 007 - 3

1.1 Objectifs ..................................................................................................... 3
1.2 tapes de la dmarche mthodologique ................................................ 3
2. Mthodes danalyse fonctionnelle associes aux outils ............ 4
2.1 Rle et objectifs ......................................................................................... 4
3. Slection de la caractristique mesurant la criticit
de lquipement ..................................................................................... 7
3.1 Prambule.................................................................................................. 7
3.2 Caractristiques qualitatives et quantitatives ......................................... 9
4. Typologies des donnes de fiabilit pour la dtermination
de la criticit........................................................................................... 10
4.1 Prambule.................................................................................................. 10
4.2 Donnes de fiabilit .................................................................................. 10
5. Typologie des banques de donnes de retour dexprience ..... 11
5.1 Prambule et historique ........................................................................... 11
5.2 Typologie des donnes contenues dans les banques de donnes ...... 11
5.3 Principales banques de donnes de fiabilit .......................................... 12
6. Diffrentes mthodes dvaluation de la criticit ....................... 12
6.1 Prambule.................................................................................................. 12
6.2 Mthodes dvaluation de la criticit par jugements dexperts ........... 12
6.3 Mthodes analytiques dvaluation de la criticit .................................. 17
6.4 Mthodes de rduction de la criticit des consquences
des dfaillances......................................................................................... 22
7. Conclusion............................................................................................... 24
et article prsente la mthodologie globale pour valuer la criticit des

C consquences des dfaillances dun quipement dun systme complexe
industriel.
Cette valuation est dune importance stratgique pour les dirigeants en leur
fournissant une vision instantane des performances de leurs entreprises pour
mettre en uvre ensuite des actions de progrs si cela savre ncessaire. La

mthodologie prconise dans cet article repose sur sept tapes principales.
La premire tape insiste sur le besoin de dfinir les objectifs prcis dune
tude de criticit qui doivent tre valids et entrins par les dirigeants de
lentreprise. En effet, ces valuations de la criticit peuvent concerner des
aspects conomiques, stratgiques, financiers, rglementaires, techniques,
organisationnels. Elles pourront servir ltablissement dindicateurs de per-
formance et/ou llaboration de tableaux de bord.
La deuxime tape propose une organisation du groupe de travail regrou-
pant tous les acteurs indispensables pour mener bien ltude de criticit.
En fonction des objectifs dfinis dans la premire tape, la troisime tape cor-
respond la dfinition prcise du systme, de ses quipements et de ses limites.
La quatrime tape dcrit les principales mthodes danalyse fonctionnelle.
Ces mthodes sont indispensables pour raliser des arborescences fonction-
nelles et/ou matrielles dun procd industriel complexe. Lobjectif de ces
mthodes est daider comprendre les raisonnements en visualisant le chemi-
nement entre les causes et les diffrents effets des dfaillances et dfinir le
niveau appropri du critre. Les mthodes FAST, SADT, IDEF0 et Apte feront
lobjet de descriptions succinctes.
La cinquime tape propose une slection des mtriques et indicateurs de
performances les plus appropris aux objectifs recherchs. Les indicateurs
dimpacts lagging indicators et les indicateurs dactivit leading
indicators feront lobjet de descriptions spcifiques. Parmi le grand foisonne-
ment de mtriques et dindicateurs de performance cls , les chelles de
cotation de la gravit et de la frquence doccurrence, les ordres de priorit de
risque (RPN) et la courbe de Farmer seront exposs. Il sera fait galement rf-
rence aux principales normes internationales dfinissant des indicateurs de
criticit organisationnels, conomiques et techniques.
La sixime tape fournit une typologie des donnes de fiabilit ncessaires
la construction des mtriques de mesure de la criticit. Ces donnes tant par
nature des variables alatoires, seules des estimations statistiques sont possi-
bles. Les mthodes destimation ponctuelles ou par intervalles sont dcrites et
les principes des estimations des lois de probabilit par les approches frquen-
tistes et baysiennes y sont rappels.
La septime tape tablit un inventaire des banques internationales de
donnes de fiabilit (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC
217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer)
en mentionnant le degr dobsolescence de certaines dentre elles. Il y sera
soulign que pratiquement toutes ces banques donnent des taux constants de
dfaillance suivant la loi exponentielle. La liste des autres banques sera men-
tionne par souci dexhaustivit. Dans la septime tape, les principaux outils
pour valuer la criticit des dfaillances des quipements sont prsents en
suivant pour chaque mthode la trame suivante : origine, principe, avantages
et inconvnients. La premire famille doutils est consacre aux mthodes qua-
litatives base des jugements des experts quand les donnes de fiabilit ne
sont pas disponibles (brainstrorming, Delphi, Abaque de Rgnier, mthodes
PIEU et Mride, Mthode de la MBF (maintenance base sur la fiabilit et le
diagramme dIshikawa). La seconde famille est ddie aux outils quantitatifs
dvaluation de la criticit en soulignant les mtriques utilises. Seront passs
en revue : lAPR (analyse prliminaire des risques), lAMDEC (analyse des
modes de dfaillance de leurs effets et de leur criticit), lHAZOP (HAZard and
OPerability study) utilis pour lanalyse des risques industriels, What-If (Que se
passe-t-il si ?), les arbres de dfaillances, les blocs diagrammes de fiabilit.
Pour guider le lecteur sur le choix le plus adapt leur problmatique, une
grille comparative des mthodes est ensuite propose.
Dans lventualit o la criticit des dfaillances savrerait inacceptable, on
recense les mthodes les plus utilises pour rduire leurs consquences (bar-
rires de scurit, arbres dvnements, nud papillon, mthode MOSAR,
mthode LOPA (Layer Of Protection Analysis). En conclusion, des recommanda-
tions seront mises pour sassurer que les rsultats obtenus sont conformes aux
objectifs recherchs et de nouvelles approches seront mises en perspective.
1. Prsentation 1.2.1 Dfinitions des objectifs de la dtermination

de la criticit
de la mthodologie Les dfinitions des objectifs recherchs sont primordiales dans
une tude de la dtermination de la criticit car elles conditionnent
le contenu et le niveau de dtail de toutes les tapes suivantes.
1.1 Objectifs Elles doivent galement prendre en compte la structure des syst-
mes tudis, leurs environnements et leurs interactions avec
dautres systmes. La criticit dun quipement peut tre utilise
Suivant les secteurs dactivits (industriels, aronautiques, trans- en fonction de la svrit des consquences des dfaillances,
ports, mdicaux, agroalimentaires, pharmaceutiques, nuclaires, comme les impacts sur :
etc.) plusieurs dizaines de mthodes ont t mises au point et
appliques avec succs. Lobjet de cet article est de prsenter la la vie des personnes internes ou externes lentreprise ;
mthodologie mettre en uvre pour obtenir une valuation per- lintgrit des installations ;
tinente de la criticit. les pertes de production ou de qualit ;
la rglementation sur lenvironnement ;
Un procd industriel, reprsent sur la figure 1, est un ensem-
ble complexe dquipements, logiciels, personnels et processus le respect de la rglementation en matire de risques ;
dutilisation organis de manire satisfaire les besoins et remplir les cots de maintenance ;
les services attendus dans un environnement donn [1]. limage de marque de lentreprise.
Parmi toutes les dfinitions de la criticit disponibles, celle de la Les utilisateurs des rsultats dune tude de la dtermination de
norme CEI 60812 [2] sera retenue : La criticit, est la combinaison la criticit peuvent rentrer dans les catgories suivantes :
de la svrit dun effet et de la frquence de son apparition, ou 1) les organismes chargs de faire respecter les rglementations ;
dautres attributs dune dfaillance, comme une mesure de la 2) les dirigeants des entreprises qui souhaitent disposer dindi-
ncessit dun traitement ou dune attnuation. cateurs de performance ;
3) les concepteurs dinstallations industrielles nouvelles ;
4) les responsables de maintenance.
1.2 tapes de la dmarche La criticit servira de mtrique pour dfinir des indicateurs de
mthodologique performance dactivits ou dimpact. Suivant [SE 4 006] les indica-
teurs dimpact (lagging indicator ) permettent de constater et de
Quel que soit loutil final retenu pour dfinir la criticit des qui- mesurer les impacts des dcisions organisationnelles ou techni-
pements, la dmarche mthodologique rassemblant un ensemble ques prises auparavant dans lentreprise par le management. Ils
de mthodes se dcompose en plusieurs tapes : fournissent des photographies instantanes des performances
relles et sont ainsi appels indicateurs ractifs , a posteriori.
dfinition des objectifs de la dtermination de la criticit ; Les indicateurs dactivits (leading indicators ), par opposition, ont
mise en uvre du groupe de travail ; t dvelopps pour identifier si les entreprises ont mis en place
des mesures permettant de corriger de faon proactive des indica-
dfinitions du systme tudier et de ses limites ; teurs dimpact jugs non satisfaisants.
analyse fonctionnelle de lquipement ; Une fois les objectifs dfinis, il convient de mettre en place un
slection de la caractristique mesurant la criticit de groupe de travail spcifique qui ralisera les tudes de criticit et qui
lquipement ; rendra compte de lavancement des travaux au niveau des dirigeants.
tablissement de la typologie des donnes de fiabilit ;
tablissement de la typologie des banques de donnes de 1.2.2 Mise en uvre du groupe de travail
retour dexprience ;
Pour tre aussi exhaustive que possible, lanalyse de la criticit
slection et mise en uvre de la mthode dvaluation de la doit tre mene au sein dun groupe de travail runissant des sp-
criticit. cialistes des installations tudies.
De manire gnrale, les outils danalyse de la criticit sont mis
en uvre dans le cadre de groupe de travail anim par le respon-
sable du projet.
La composition conseille du groupe dexperts techniques
contribuant ltude sur la criticit peut tre, titre dexemple, la
suivante :
responsable du projet ;
personne charge de la conception ;
quipements PROCESSUS personne charge de la scurit des personnes ;
INDUSTRIEL spcialiste du fonctionnement du procd ;
personne charge de la maintenance ;
Personnels
Techniques spcialiste du contrle commande ;
personne travaillant en production ;
Logiciels personne charge de la rglementation du travail ;
personne charge de la rglementation sur les risques et
lenvironnement.
Pour tre efficace, une quipe ne doit pas comporter plus de
Figure 1 Schma dun procd industriel sept ou huit personnes au total.
1.2.3 Dfinition du systme tudier 1.2.8 Slection et mise en uvre

et de ses limites de loutil dvaluation de la criticit
Pour viter toute ambigut sur le domaine de validit de ltude Dans cette tape, il faut slectionner un ou plusieurs outils pour
de criticit, la dfinition du systme et ses limites physiques doi- mener lanalyse de la criticit. Parmi les dizaines doutils dvelop-
vent tre clairement identifies. Il est indispensable de fournir : ps depuis plusieurs dcennies, il est possible de proposer une
classification base sur les modes de raisonnement liant les cau-
une description dtaille sur les composants de lquipement ses aux consquences des dfaillances : mthodes inductives
avec leurs caractristiques, leurs rles et leurs fonctions ; (Bottom-up ) des causes aux consquences ou dductives
les entres fournies par des systmes serviteurs (lectricit, (Top-down ) des consquences aux causes.
air comprim, etc.) ;
En absence de donnes de retour dexprience, les mthodes
les sorties du systme vers des systmes extrieurs bases sur les jugements des experts peuvent tre mises en
utilisateurs ; uvre. Le paragraphe 6 donnera les principes des techniques
le niveau et la nature des redondances ; suivantes dlicitation dexperts : brainstrorming, Delphi, Abaque
les phases de la mission du systme (arrt, marche continue, de Rgnier, mthodes PIEU et Mride, mthode de la MBF (main-
nombre de sollicitations, etc.) ; tenance base sur la fiabilit et le diagramme dIshikawa). En pr-
la topologie de lenvironnement du systme. sence de donnes de retour dexprience, la majorit des outils
propose des indicateurs quantifis. Ce chapitre donnera un rsum
trs succinct des principes des mthodes analytiques (APR,
1.2.4 Analyse fonctionnelle du systme AMDEC, HAZOP, What-if, arbres de dfaillances, blocs diagram-
mes de fiabilit) et les principes gnraux des mthodes de rduc-
Les objectifs de lanalyse de criticit sont trs souvent rattachs tion de la criticit des consquences (barrires, arbres
un niveau particulier dans larchitecture dune installation dvnements, nud papillon, MOSAR, LOPA).
industrielle : usine, units de production, systmes, composants.
Diffrentes mthodes danalyse fonctionnelle ont t mises au
point pour aider les experts visualiser la chane causale entre les
causes et les effets des dfaillances au niveau retenu. Compte tenu
de limportance de ces techniques de modlisation fonctionnelles
2. Mthodes danalyse
et matrielles utilises dans la majorit des outils quantitatifs ou
qualitatifs, elles feront lobjet du paragraphe 2 de cet article.
fonctionnelle associes
aux outils
1.2.5 Slection de la caractristique mesurant
la criticit de lquipement
2.1 Rle et objectifs
Les objectifs dfinis dans la premire tape nindiquent pas
souvent les modalits prcises de slection de la caractristique Les mthodes danalyse fonctionnelle, par leurs caractres sys-
permettant de mesurer la criticit de lquipement. Il convient alors tmatiques et exhaustifs, reprsentent une garantie formelle pour
de rechercher les mtriques et les caractristiques les plus perti- dcomposer une installation industrielle en niveaux fonctionnels et
nentes satisfaisant les objectifs recherchs. La grande majorit des matriels ncessaires pour identifier les modes de dfaillances et
caractristiques est labore de faon quantitative partir de don- leurs consquences sur les objectifs oprationnels retenus pour
nes numriques disponibles dans les banques de donnes linstallation ou lquipement concern.
ralises partir de la collecte des donnes de retour dexp- Lanalyse fonctionnelle consiste recenser, caractriser, ordon-
rience. De nombreuses normes internationales et guides de ner, hirarchiser et ventuellement valoriser les fonctions.
recommandation ont vu le jour depuis plusieurs dcennies pour
Les mthodes danalyse fonctionnelle permettent :
slectionner la caractristique la plus adapte. Pour guider le
lecteur dans sa recherche de la caractristique la plus pertinente le en cours de conception de dcrire le besoin dun utilisateur en
paragraghe 3 sera consacr cette problmatique. termes de fonctions, en faisant abstraction des solutions pour le
raliser ;
pour un quipement existant de dcrire sa structure en termes
1.2.6 Typologie des donnes de fiabilit de fonctions, en prenant en compte les composants utiliss.
Pour chaque fonction, des critres dapprciation et de perfor-
Dans lventualit o la mtrique ou lindicateur de performance
mance sont attribus.
retenu possde un caractre quantitatif, il est indispensable davoir
accs aux donnes sur le comportement des quipements. Les rsultats des analyses fonctionnelles sont matrialiss par
Comme ces donnes sont brutes et correspondent des grandeurs trois lments : le cahier des charges fonctionnel (CDCF), le bloc
alatoires, lapplication des mthodes statistiques destimation des diagramme fonctionnel (BdF) et le tableau danalyse fonctionnelle
paramtres ou des lois de fiabilit devient incontournable. Le (TAF). Le lecteur trouvera les dtails dans la norme
paragraphe 4 prsentera les bases des techniques destimation fr- NF-EN1325-avril 2014 [3].
quentiste ou baysienne.
2.1.1 Arbres fonctionnels et matriels
1.2.7 Typologie des banques de donnes Certains outils et logiciels utiliss pour la dtermination de la cri-
de fiabilit et retour dexprience ticit se basent sur des arborescences fonctionnelles ou mat-
rielles qui se dduisent directement de la structure du systme.
Cette tape vise slectionner et caractriser les banques de
titre dexemple, la figure 2 reprsente le schma dun systme de
donnes de retour dexprience disponibles au niveau internatio-
production et de distribution dair comprim qui a pour fonction
nal et qui seront les plus pertinentes pour les tudes de criticit.
principale de fournir de lair comprim 50 bar avec un dbit de
Le paragraphe 5 fournira les caractristiques des principales 30 m3/h. Les contraintes sur la qualit de lair comprim
banques de donnes de fiabilit et une description de leur concernent : la quantit deau par kilogramme dair infrieure
contenu. 1,5 g, la concentration de gaz hydrocarbons infrieure 50 ppm
et des tailles des particules infrieures 5 . partir des fonctions

des composants reprsents sur le schma, il est possible de rali-
ser des arborescences fonctionnelles et matrielles avec une
Entre d'air
approche intuitive comme indiqu sur les figures 3 et 4.
Chapeau pare-pluie
Linconvnient de cette approche est de ne pas tre totalement
Filtre entre d'air exhaustive contrairement aux mthodes FAST, SADT, IDEF0 et
APTE.
Capteur Groupe moto compresseur
P1
de pression 2.1.2 Mthode FAST
C La mthode FAST (Function Analysis System Technique ) [4] est
Soupape de scurit couramment employe en matire danalyse de la valeur. Elle
permet :
AP dordonner les fonctions identifies ;
Vannes de vrifier la logique fonctionnelle ;
Automate V1 V3 davoir une bonne connaissance du produit ou du systme
programmable tudi ;
de prendre conscience de limportance relative des lments
Scheur 1 S1 S2 Scheur 2
ou des structures vis--vis des fonctions quils assurent ;
de mettre en vidence des synchronisations entre les fonctions
indpendantes.
V2 V4 Le diagramme FAST se construit de gauche droite en plaant
Vannes gauche la fonction principale ralise par lquipement et ensuite
Alarme en se dplaant vers la droite ou vers le bas. Les liaisons entre
AH humidit blocs fonctionnels sont tablies en rpondant trois questions :
Rseau de distribution pourquoi ou dans quel but la fonction existe-t-elle ?
P2 Capteur comment la fonction dordre suprieur est-elle ralise avec
de pression des fonctions dordre infrieur ?
quand est-il ncessaire de disposer simultanment de plu-
R Rservoir sieurs fonctions ?
RV
Le systme est reprsent laide dun diagramme comportant
trois rgions dlimites par des traits pointills verticaux :
Regard de 1) la partie centrale correspond au domaine fonctionnel propre
visite au systme ;
2) dans la partie gauche, on trouve les fonctions principales du
Vanne de purge V5
systme ;
3) dans la partie droite, on trouve les ressources extrieures
au systme, ressources qui, si elles nexistaient pas, ne modi-
Figure 2 Schma dune installation de production dair comprim fieraient pas la capacit du systme satisfaire les fonctions.
Chapeau pare-pluie
Filtre Sous-systme
Capteur pression P1 entre dair/filtration
Tuyauterie
Systme
de compression
Moto compresseur
Automate programmable Sous-systme
Soupape de scurit Ensemble compressueur
Tuyauterie
Scheur n 1
Scheur n 1 Systme
Systme
Vannes 1, 2, 3, 4 de production
de schage
Tuyauterie air comprim
Capteur d'alarme humidit
Rservoir dair
Vanne de purge V5 Systme
Capteur presssion P2 de stockage
Regard de visite distribution
Tuyauterie
Figure 3 Arbre matriel du systme de production dair comprim
Fournir de lair Admettre lair extrieur

comprim Comprimer lair 50 bars
50 bars Contenir lair
Distribuer lair
Fournir et
distribuer de lair Enlever lhumidit dans
comprim les scheurs
Enlever lhumidit dans
Enlever lhumidit
le rservoir dair
de l'air
Enlever lhumidit dans
Enlever les pots de condensation
lhumidit de
lair et les
polluants
Enlever les
polluants de lair
Figure 4 Arbre fonctionnel du systme de production dair comprim
Intrieur du systme
Comment ? Pourquoi ?
Fonction 2 Fonction 5
Fonction principale Fonction

Fonction 1 CHEMIN CRITIQUE
supports
satisfaire par lquipement
externes
Fonction 3 Fonction 6
Quand ?
Fonction 4
Figure 5 Diagramme fonctionnel dun FAST
Les fonctions sont ordonnes et reprsentes dans des les datagrammes, o les donnes sont gnres par des fonc-
botes rectangulaires. tions de gnration, utilises par des fonctions dutilisation, sous
Le graphe se construit progressivement sur une ligne baptise la surveillance des activits de contrle.
chemin critique . Au-dessus ou en dessous dune fonction, on
placera les fonctions qui se produisent dans le temps, ou en mme SADT dfinit une dcomposition fonctionnelle hirarchise
temps (on se pose la question Quand ? ) comme lindique la entre les diffrents niveaux de dtail, la dcomposition un niveau
figure 5. donn doit faire apparatre des fonctions ou des donnes qui sont
leur tour dcomposes (approche descendante top-down ). Pour
la validation, on doit sassurer que les entres dune fonction dun
2.1.3 Mthode SADT niveau donn doivent imprativement se retrouver dans sa
dcomposition, et celle-ci ne doit produire que les sorties de la
La mthode SADT (Structure Analysis Design Technique ) est fonction de niveau suprieur.
une mthode graphique danalyse et de conception des systmes
importants et complexes. Elle met en uvre deux reprsentations Laccent est port tout dabord sur lanalyse et la spcification
complmentaires : du Quoi ? (ce que le systme doit faire) et ensuite sur les
les actigrammes, o les fonctions transforment les donnes considrations sur le Comment ? (avec quels moyens on ra-
dentres en donnes de sortie, suivant les contraintes imposes lise le Quoi ? ). SADT utilise un seul type de bote rectangu-
pour cette transformation, en utilisant certains moyens ou sup- laire dont chacun des quatre cts possde une signification
ports de lactivit ; particulire (figure 6).
Mthode B pour la spcification

et la ralisation de logiciels
et de systmes critiques prouvs
par Jacques VALANCOGNE

IMdR
Membre du Conseil scientifique du CSFRS (Conseil suprieur de la Formation
et de la Recherche stratgiques)
1. Complexit croissante des systmes et des logiciels

Les logiciels critiques et leur processus de ralisation ................ SE 2 525 - 2
2. Petit panorama des mthodes de fiabilisation des logiciels ....... 3
3. Principes de la mthode B ..................................................................... 4
4. Mthode B et processus de ralisation des logiciels ..................... 15
5. Avantages actuels de la mthode B vis--vis
dautres mthodes ................................................................................... 15
6. Limites de B ............................................................................................... 16
7. B systme ou B vnementiel ............................................................... 17
8. Autres aspects de B ................................................................................. 19
9. Applications industrielles ...................................................................... 21
10. Perspectives davenir .............................................................................. 22
11. Conclusions sur la mthode B .............................................................. 22
objectif de cet article ne vise pas ce que le lecteur puisse tout connatre sur
L la mthode B ; ce serait impossible et prtentieux. The B-BOOK Assigning
Programs to Meanings de Jean-Raymond ABRIAL, linventeur de la mthode B,
qui est la base du langage B, possde dj plus de 750 pages et est bas sur de
nombreuses connaissances en mathmatiques et en logique ; de plus, de nom-
breuses formations sur la mthode B existent aujourdhui. Lobjectif se limitera
donner des clairages pour mieux porter une apprciation sur une telle mthode
en essayant den comprendre les principaux concepts. Il nest donc pas question
de trop dvelopper les aspects mathmatiques, bien que ceux-ci soient essen-
tiels. Le propos restera toujours assez gnral, en simplifiant volontairement
parfois pour rester comprhensible.

MTHODE B POUR LA SPCIFICATION ET LA RALISATION DE LOGICIELS ET DE SYSTMES CRITIQUES PROUVS ______________________________________
1. Complexit croissante les-ci doivent tre interprtes par lhomme et traduites manuelle-
ment et progressivement en des exigences plus prcises qui
des systmes tiennent compte dun certain nombre de contraintes. Des
optimisations de larchitecture sont effectues laide de regroupe-
et des logiciels ments de fonctions (architecture fonctionnelle) puis de modules
logiciels (architecture logicielle) par exemple. Quand on passe au
Les logiciels critiques langage de programmation, un certain nombre de vrifications peu-
vent tre effectues par des outils. La traduction du langage de pro-
et leur processus grammation en langage machine seffectue laide dun outil qui
peut gnrer des erreurs si celui-ci na pas un niveau de garantie
de ralisation suffisant, et qui doit tre cohrent avec lobjectif que lon sest fix
concernant le logiciel. Les transformations et allocations doivent
Depuis des dcennies, la complexit des systmes et des logi- tre suivies et vrifies tout au long du projet. Il existe des outils de
ciels sest accrue pour diffrentes raisons : dune part cause de la traabilit, mais ils ne garantissent pas les transformations
puissance des calculateurs qui a sans cesse augment (tant en elles-mmes. Heureusement, lorsque le logiciel est ralis, on peut
vitesse quen capacit mmoire), mais aussi cause de la le tester afin de vrifier sil rpond au fonctionnel demand. Les
demande croissante des industriels et des clients qui, en gnral, tests effectus sont dabord unitaires (chaque module du logiciel est
demandent toujours plus de fonctionnalits parce que le logiciel test unitairement par rapport sa spcification), puis on passe aux
ne semble pas avoir de limite, tant immatriel (il suffit dcrire du tests dintgration une fois que les diffrents modules dune entit
code, seules les ides pourraient manquer, et les frais ne sont sont intgrs par rapport la spcification de cette dernire, qui est
importants que pour la conception et la ralisation, et de plus en elle-mme intgre pour former un ensemble plus vaste jusqu
plus faibles lorsquil sagit de multiplier les exemplaires). La majo- lintgration complte de lensemble du logiciel sur le calculateur de
rit des capteurs, des actionneurs et des interfaces contiennent dveloppement. Des tests portent ensuite sur le logiciel et son cal-
aujourdhui du logiciel. Un autre aspect important est lutilisation culateur (tests sur calculateur cible avec simulateur ou directement
de linformatique dans le monde industriel (automatismes, postes in situ ), puis sur lensemble des calculateurs jusqu lintgration
de commande, process), le dveloppement des tlcommunica- complte du systme.
tions, lutilisation de rseaux avec des calculateurs rpartis et les Deux problmes de fond existent. Le premier est li la manire
systmes dinformation auxquels une disponibilit leve est exi- dont les scnarios de tests sont gnrs. Ceux-ci sont issus des
ge. Cela ncessite dy associer des redondances qui doivent tre spcifications, ce qui signifie que les tests unitaires et dintgration
gres convenablement si lon veut viter des problmes, par ne sont valables que si la spcification correspondante est cor-
perte dinformations rendant le systme global incohrent, recte. Or, celle-ci est issue de transformations manuelles de la sp-
lorsquil y a des commutations suite des dfaillances. cification dorigine, certes vrifies. Une erreur dans une
Des logiciels sont devenus critiques parce quils sont utiliss pour spcification intermdiaire se traduira par le fait que le test, si
supporter des fonctions de scurit, pouvant en cas de dfaillance celui-ci est ralis convenablement, est correct. Il reste malgr tout
(erreur) porter atteinte aux hommes, aux biens, lenvironnement, le test fonctionnel global, mais celui-ci ne peut tre exhaustif ; cest
ou parce quils sont utiliss pour supporter des applications qui peu- le deuxime problme. En effet, sur des systmes complexes, il est
vent entraner des pertes financires importantes, la dsorganisa- impossible de parcourir tous les chemins (cela pourrait demander
tion dentreprise ou de territoire entier. On peut citer leur un nombre excessif dannes pour certains systmes dont la
importance dans le secteur du transport, de lnergie, des tlcom- combinatoire de scnarios possibles est extrmement leve). En
munications, des processus de fabrication (chimique, chane gnral, on teste au moins chaque branche et on complte par des
dassemblage, etc.), dans le secteur bancaire ou de la prvision tests plus ou moins agressifs bien cibls en couvrant le domaine
(mtorologie) qui ne sont pas sans lourdes consquences si certai- des entres. Cela ne garantit souvent pas quune erreur na pas pu
nes erreurs apparaissent lors de lutilisation de ces logiciels. sintroduire dans le processus de conception du logiciel. Reste
enfin le rel problme de la qualit de la spcification de dpart
De plus, le fait de raliser des fonctions en logiciel la place de sur lequel nous reviendrons.
matriel a compliqu certaines applications industrielles parce que
la part des fonctions de conception ncessaires est devenue pr-
pondrante par rapport celle des fonctions principales propre- 1.1.2 Aspect cohrence densemble
ment dites. et interactions entre lments
Quand un logiciel est important, peut se poser le problme de la
1.1 Principales difficults de ralisation cohrence densemble et dinteraction entre lments. Les
dun logiciel critique lments doivent conserver un certain niveau dindpendance de
manire minimiser les interactions, source souvent de
La ralisation dun logiciel critique ou complexe nest pas sans complexit et donc derreurs la conception.
poser un certain nombre de problmes thoriques que nous allons
aborder dans les paragraphes suivants. 1.1.3 Aspect modification et rutilisation
de composants
1.1.1 Aspect traabilit des exigences
Quand il est ncessaire deffectuer une modification sur un logi-
Tout au long du processus de conception/ralisation du logiciel, ciel, quelle soit lie des volutions du besoin ou de la technique
peuvent se glisser des erreurs, les difficults se situant en premier (traitement dobsolescence ou diminution des cots de mainte-
lieu au niveau de la spcification des exigences, puis au niveau des nance par exemple) ou quelle soit corrective (suite la dcouverte
transformations successives ou de lallocation sur plusieurs derreurs), se pose le problme de mesurer limpact de la modifi-
lments logiciels mesure que la solution se concrtise, enfin au cation sur le reste du logiciel (et du systme). Cela nest pas a priori
niveau du code, install dans les mmoires des calculateurs, qui tra- vident car cela dpend beaucoup des architectures fonctionnelles
duit la solution en langage machine comprhensible par le et logicielles retenues et du niveau dindpendance entre les l-
calculateur. Un premier problme existe au niveau des exigences de ments modifis et leurs variables, et les autres lments et leurs
dpart car elles doivent tre exhaustives par rapport au problme variables. Souvent, pour viter de se poser la question laquelle il
pos et cohrentes entre elles (non contradictoires) ; ensuite, cel- serait difficile de rpondre facilement, on fait des tests de

______________________________________ MTHODE B POUR LA SPCIFICATION ET LA RALISATION DE LOGICIELS ET DE SYSTMES CRITIQUES PROUVS
non-rgression complets comme sur le logiciel dorigine. Cela ne 1.3 Analyses de scurit et exigences
sapplique pas toujours si les logiciels deviennent importants ou sur
des systmes avec des logiciels rpartis sur des rseaux de calcula-
de scurit
teurs. Malgr tout, par mesure de prcaution, on vite, dans la
Lorsque lon traite des fonctions de scurit, il est ncessaire
mesure du possible, de modifier un logiciel critique si celui-ci ne
deffectuer des analyses de scurit associes lenvironnement,
prsente pas danomalie qui pourrait avoir de graves consquences.
aux principes utiliss, aux architectures fonctionnelles et tech-
niques et aux dfaillances internes au systme (techniques ou
humaines) afin de gnrer une liste dexigences de scurit qui
1.2 Lien entre niveau de qualit devront tre respectes par le systme raliser.
du processus (mthodes et outils)
et SIL (Safety Integrity Level )
Comment fait-on pour garantir le niveau de scurit dun 2. Petit panorama des
logiciel ? Peut-on en mesurer le niveau ? Pour des logiciels
critiques, compte tenu du niveau de fiabilit exig, il nest pas mthodes de fiabilisation
possible deffectuer des mesures de fiabilit en comptabilisant les
erreurs dtectes. En effet, cela ncessiterait une exprimentation des logiciels
sur une priode extrmement longue. Pour tester un seul exem-
plaire logiciel, dont on vise 10n/heure (en moyenne une erreur sur Il existe de nombreuses mthodes (et outils associs) qui per-
10n heures de fonctionnement), cela ncessite au moins n 10n mettent damliorer la fiabilit des logiciels. Ces mthodes sont
heures de fonctionnement sans erreur. Les modles de fiabilit bases sur un formalisme parfois complexe qui autorise un niveau
prvisionnelle sont inadapts pour les niveaux recherchs dans les plus ou moins pertinent de vrification. Elles peuvent porter sur
logiciels critiques. De plus, la mise en parallle de plusieurs logi- une phase particulire du cycle de dveloppement ou sur lensem-
ciels, comme on le fait avec du matriel, napporte probablement ble des phases, sur certaines proprits (statiques ou dynamiques)
pas les gains que lon pourrait esprer. La redondance est plutt ou sur lensemble des proprits du logiciel. Leffort est fonction
un lment supplmentaire de confiance, sans diminuer leffort bien entendu du champ sur lequel porte les mthodes. Un contrle
port sur chacun des logiciels lmentaires. Il est difficile dvaluer de type (comme le font la plupart des langages de programmation)
ces gains. En effet, le taux derreurs communes plusieurs logi- est dun apport moindre quune analyse statique, qui elle-mme
ciels en parallle nest pas ngligeable, mme avec des quipes est moins efficace quune vrification par modle ou quune abs-
diversifies. Il serait possible dobtenir des rsultats valables si on traction automatise. Le maximum de confiance est obtenu sur
avait deux systmes totalement diffrents (capteurs, actionneurs) des logiciels dvelopps avec un langage sur lequel on peut effec-
mais il resterait pour certains systmes lalgorithme li des prin- tuer directement la preuve de thormes.
cipes physiques attachs la nature mme du problme traiter.
Il est noter que le terme fiabilit na pas une grande signification Pour viter des erreurs sur le logiciel, on peut, pour chaque
en logiciel sagissant pour celui-ci derreurs systmatiques et non phase de la conception, disposer de plusieurs principes de
derreurs alatoires comme pour de nombreuses dfaillances du solutions. Nous avons vu que les erreurs sont issues des transfor-
matriel ; des erreurs latentes ne peuvent donc se rvler que mations que lon effectue successivement sur les exigences (trans-
dans un certain contexte. On a vu des erreurs se rvler plus de formations directes et/ou allocations). Pour vrifier quune
dix ans aprs une mise en service parce que certaines transformation/allocation faisant passer de ltat i ltat i + 1 a
combinaisons de dfaillances sont apparues. bien t effectue, on peut :
Dans tous les secteurs industriels ont t dveloppes les notions 1) comparer, en utilisant la transformation inverse du rsultat,
trs voisines de SIL (Safety Integrity Level) dans le domaine du T (i + 1) T1 (i + 1) ltat initial T (i) ;
transport ferroviaire et de lindustrie, dASIL (Automotive Safety 2) comparer, en utilisant une transformation analogue mais pr-
Integrity Level ) dans le domaine automobile ou de DAL (Develop- sentant une forme diffrente (un modle de la transformation),
ment Assurance Level) dans le domaine aronautique. Un SIL est li T (i + 1) T (i + 1) ;
au niveau de confiance que lon peut avoir dans un systme. Ce 3) sassurer que la transformation est intrinsquement sre en y
niveau de confiance est associ au niveau de qualit du processus apportant une preuve mathmatique.
de conception/ralisation pour viter les erreurs systmatiques Mais une tape donne de la ralisation du logiciel, il existe
(principalement pour le logiciel ou des circuits intgrs complexes) des mthodes plus ou moins compltes qui prennent en compte
et est associ un niveau de probabilit par heure (et par ensemble) partiellement ou totalement les caractristiques ou proprits de
dobtenir une dfaillance contraire la scurit pour les erreurs lexigence transforme. Certaines mthodes concernent plus
alatoires (principalement pour le matriel). Un processus de laspect dynamique et comportemental, dautres laspect statique
conception/ralisation est caractris par une organisation, des dans lequel certaines se limitent vrifier le typage (de variable
mthodes, des outils et des techniques spcifiques pour rpondre par exemple), dautres des caractristiques gnrales (non division
au niveau de confiance exig. Plus un logiciel est critique, plus on par zro par exemple), dautres enfin portent sur des caractris-
doit disposer dune organisation robuste et des mthodes et outils tiques plus spcifiques lapplication.
qui permettent dviter les erreurs ou de les dtecter si elles appa-
raissent malgr tout. Par exemple, dans le secteur ferroviaire, la Dautres mthodes sont bases sur la gnration automatique
norme EN50128 prcise que pour un logiciel SIL3 et SIL4, les mthode code et/ou la gnration automatique de tests de conformit
des formelles sont hautement recommandes, et cela a tendance partir dun modle issu de la spcification. Les outils de gnration
se gnraliser lensemble du monde industriel. doivent tre bien entendu qualifis, et le modle est souvent de
plus bas niveau. Pour les tests, une difficult existe entre les cas de
Nota : la norme europenne EN 50128 (IEC62270) est aussi appele norme CENELEC tests abstraits gnrs et les donnes concrtes.
(Comit europen de normalisation lectrotechnique) Application ferroviaire, systme
de signalisation, de tlcommunication et de traitement Logiciels pour systmes de Pour dvelopper un logiciel, deux catgories dapproches alter-
commande et de protection ferroviaire . Elle complte la norme 50126 (IEC62278) qui natives existent :
dfinit la specification et la dmonstration de la FDMS (fiabilit, disponibilit,
maintenabilit et scurit) quivalent du RAMS en anglais (Reliability, Availability, Main- 1) celles visant labsence de dfaut par vrification mathma-
tenability, Safety) des systmes ferroviaires dans leur ensemble, et la norme 50129 (pas tiques formelles ;
dquivalent IEC) qui dfinit les conditions dacceptation et dapprobation de la scurit
du matriel lectronique. La norme gnrique qui chapote lensemble des normes des 2) celles permettant la dtection de dfauts par des logiciels
quipements lectroniques industriels est lEN61508. diversifis.

MTHODE B POUR LA SPCIFICATION ET LA RALISATION DE LOGICIELS ET DE SYSTMES CRITIQUES PROUVS ______________________________________
En ce qui concerne la premire approche, il existe un foisonne- tes inhrentes lapplication que lon en fait. Par exemple, partir
ment de mthodes. Cette premire approche peut tre classe en dune spcification trs dtaille ne conduit pas au mme rsultat
deux grandes catgories : que dentamer le processus du logiciel par une spcification de haut
1) vrification par modle ; niveau. Si une approche est du type formel sur une partie du proces-
2) analyse statique. sus (par exemple, appliquer la mthode formelle uniquement la
spcification pour la blinder ) sera meilleure quune approche ne
La vrification par modle est base le plus souvent sur une lutilisant pas, mais moins bonne quune approche qui lutilisera
reprsentation de la spcification sous forme de diagrammes toutes les tapes de la conception. Cela ne signifie dailleurs pas
transitions/tats (automates tats finis, rseaux de Petri) qui per- quune approche partielle ne soit pas suffisante dans un certain
mettent la vrification dun certain nombre de proprits, nombre de cas ou que lon ne puisse pas appliquer une dmarche
condition de simplifier le modle et les proprits si lon ne veut limite aux seules parties critiques dun logiciel.
pas avoir une explosion combinatoire.
Les notations utilises peuvent tre orientes vers des donnes
Nota : le rseau de Petri est un graphe, avec places et transitions, non dterministe de type algbrique (Larch, OBJ et Specware) ou modles (VDM, Z
dvelopp au dpart par Carl Adam Petri. Un cas particulier est lautomate tat fini,
chaque transition ayant une seule entre et une seule sortie.
et B), vers le comportement et les interactions (Statecharts, SCR et
CSP), ou vers le langage de programmation (ADA, C). Il peut aussi
La vrification peut tre automatise au niveau de la syntaxe par y avoir des notations mixtes comme RSL qui cumule VDM, CSP et
un compilateur (comme pour le langage de haut niveau), pour des lalgbrique, ou Lustre qui regroupe la fois le langage de pro-
proprits gnriques (absence de blocage ou dterminisme dans grammation et laspect comportemental.
des automates, division par zro, overflow...) ou des proprits Les techniques de vrification peuvent tre la preuve avec le
spcifiques (par comparaison de deux noncs formels, par prouveur B, PVS et Caveat qui utilisent des axiomes et des rgles
comparaison des traces de deux automates, par preuve de raf- dinfrence, le model-checking qui permet une exploration exhaus-
finement en B...) lapplication (par comparaison de deux noncs tive du graphe dexcution pour SVM et SPIN, la rsolution de
formel, comparaison). partir du modle, on peut aussi gnrer contraintes par instanciation et propagation avec Design Verifier,
du code et des tests. Il est possible pour certains modles deffec- miniSAT, Yices, Ilog Solver, linterprtation abstraite (analyseur de
tuer des simulations (par exemple, prototypage par SADT code) par la vrification dune abstraction sre du systme pour
complt le plus souvent par des automates tats finis), et ainsi une proprit donne par limplantation dun algorithme pour le
de faire des tests au plus tt de la spcification. calcul de labstraction avec ASTREE, Absint et Polyspace. SCADE,
Nota : SADT (Structured Analysis and Design Technic) est une mthode de reprsen- qui intervient au niveau de la conception dtaille avec un seul
tation danalyse fonctionnelle et non de conception comme son nom lindique. niveau dabstraction, associe un simulateur, un gnrateur de
code, un outil de vrification formelle qui vrifie le modle globa-
Se pose ici le problme de la conformit de limplantation par lement et lanalyse de couverture au niveau du modle. Enfin,
rapport au modle. On peut classer dans la vrification de modle Altarica possde un langage de haut niveau adapt au domaine de
lapproche par langages synchrones qui traitent de systmes rac- la sret de fonctionnement et peut gnrer en particulier des
tifs avec des contraintes de synchronisme et de flots de donnes, arbres de dfaillance et des squences.
dont le langage Lustre en est une illustration (par exemple dans
loutil SCADE) ou les outils de model-checking.
Nota : Lustre est un langage de programmation synchrone de type dclaratif et par
flots de donnes dvelopp conjointement par Paul Caspi et Nicolas Halbwachs au labo- 3. Principes de la mthode B
ratoire VERIMAG de Grenoble
SCADE (Safety Critical Application Development Environment) est un environnement
de dveloppement intgr diffus par Esterel Technologies fond sur le langage Lustre. Il y a seulement quelques dcennies, lunique formalisme utilis
Model checking est une famille de techniques de vrification automatique de pro- dans un logiciel tait celui du code, qui tait obligatoire si lon vou-
prits des systmes dynamiques par comparaison avec un modle. lait que la machine comprenne ce quon lui demandait dexcuter !
Lanalyse statique seffectue partir du code source du logiciel Pour donner une dfinition simple, la mthode B est une mthode
et sattache dtecter des erreurs qui se produiraient lexcu- pour spcifier, concevoir, coder et prouver des logiciels de
tion. Elle complte ou remplace des tests effectus sur le code manire rigoureuse et progressive.
source dun logiciel. Le contrle de type qui vrifie la syntaxe dun
modle et labstraction automatise, qui vise tablir un pont
entre vrification de modle et preuve de thorme, sont dautres 3.1 Principes gnraux de la mthode B
mthodes. La plupart des mthodes ci-dessus visent rvler et
liminer des dfauts introduits durant la production du logiciel, Cette mthode utilise un langage mathmatique unique tout au
soit par essence comme lanalyse statique, soit en raison de leur long du processus de conception afin de permettre la vrification de
limitation comme la vrification de modle, alors que le dvelop- chaque tape laide de preuves mathmatiques. La difficult de la
pement formel vise viter leur introduction. Le niveau de vrification de toutes les transformations qui font passer de la spci-
confiance crot en fonction de leffort depuis le contrle de type fication initiale au code (voir B0) qui sera transform dans un lan-
jusqu la preuve par thorme, en passant par lanalyse statique, gage classique, se trouve par l mme rsolue. Cest une mthode
la vrification de modle et labstraction automatise. progressive, le langage lui-mme prenant en compte laspect
preuve, un modle supplmentaire nest donc pas ncessaire.
La deuxime approche, par diversification logicielle, si elle est
utilise seule, napporte pas damlioration sensible du niveau de La mthode B est donc plus quun langage de programmation
confiance parce que des erreurs communes sont toujours car elle introduit en elle-mme la possibilit de vrification. En
possibles au niveau de parties dlicates, sauf si lon travaille par- effet, il nest pas ncessaire de raliser une modlisation suppl-
tir de deux systmes totalement diversifis quant aux principes uti- mentaire et deffectuer une comparaison pour vrifier si ce qui a
liss au niveau des actionneurs et des capteurs pris au sens large, t fait est correct. Bien appliqu (nous verrons ce que cela signi-
et en modifiant compltement la manire deffectuer les fie), B est un langage intrinsquement sr. On peut comparer le
traitements (algorithme, tats/transitions du systme, etc.). concept utilis dans la mthode au concept de scurit intrinsque
(false-safe ) qui a cours au niveau de la scurit du matriel.
Les approches purement processus, fondes sur une organisation
et un ensemble de mthodes et doutils associs aux diffrentes Nota : la scurit intrinsque suit la rgle suivante : toute dfaillance ou ensemble de
phases de conception/ralisation, ne peuvent apporter quune dfaillances qui pourrait se rvler contraire la scurit doit tre dtecte par la
conception mme du systme de manire positionner ltat du systme dans un tat sr.
confiance subjective, alors que les approches formelles donnent Pour un logiciel, la preuve, si elle ne peut tre faite, montre que celui-ci a probablement une
une confiance objective, avec toutefois, pour ces dernires, les limi- anomalie.

______________________________________ MTHODE B POUR LA SPCIFICATION ET LA RALISATION DE LOGICIELS ET DE SYSTMES CRITIQUES PROUVS
Les bases mathmatiques sur lesquelles est fonde la mthode Le set comprehension : si P est un prdicat, on peut dfinir un ensemble par
comprhension comme lensemble de tous les objets dun ensemble E qui vrifient le
apportent la rigueur et la notation propose limine les ambigits prdicat P (la formule P ). On note cet ensemble {x E | P (x )}.
bien connues du langage naturel, source derreur parfois trs Le choice (v ) est un lment particulier de lensemble v.
grave. La vrification mathmatique de chaque tape est si troi-
tement imbrique quil est impossible de sparer les choix de
conception du processus de vrification garantissant la justesse 3.2.2 Relations binaires
vis--vis des spcifications initiales.
La relation binaire est une relation p (un ensemble de paires)
La mthode B introduit un langage rigoureux pour reprsenter depuis un ensemble u vers un ensemble v (not p u v). On
les programmes et leurs proprits en utilisant le concept de subs- peut dfinir la relation inverse de p de u vers v qui est p1 de v
titution gnralise. Elle utilise la notion simple de machine abs- vers u, la notion de domaine dom (p ) (le membre a u de la paire
traite qui est assez voisine de la notion dobjet, mais qui, en plus, {a b } , avec b v, ne figure quune seule fois) et de distance
intgre la notion dinvariant assurant la prservation de proprits (range ) ran (p ) dune relation [ran (p ) est le domaine de la relation
des variables dtat de la machine, quelles que soient les op-
rations appliques. inverse qui est gal dom (p1)], de composition relationnelle (p ;
q ou p q ), de relation didentit [id (u )] qui est la relation de
lensemble sur lui-mme, des formes plus restrictives de relations,
limage ([]) dun ensemble sous une relation, loverriding dune
3.2 Bases mathmatiques relation par une autre (<+), le produit direct () de deux relations,
les deux projections pour des paires ordonnes et le produit paral-
La mthode B conue par J.-R. ABRIAL, qui avait particip la lle de deux relations (||). Ces concepts permettent de dvelopper
conception de Z dans les annes 1980, est fonde sur les travaux un calcul relationnel trs riche qui facilite la preuve.
dun certain nombre de mathmaticiens ou de scientifiques : par
exemple ceux de E.-W. DIJKSTRA, C.-A.-R. HOARE, R. FLOYD, C.-B.
JONES, C. MORGAN et Jifeng He. Ces travaux font eux-mmes 3.2.3 Fonctions
suite ceux dA.-M. TURING.
Cest un cas particulier de relation o il nexiste pas deux points
Nota : Hoare, puis Floyd et Dijkstra ont dvelopp les premiers lide de preuve des distance qui peuvent tre en relation avec un seul point du
programmes. Cela ncessitait de les reprsenter en se donnant des rgles et des domaine : f (a) est unique (s t ) . Plus simplement, une fonction
mthodes de preuve. Hoare raisonnait sur les valeurs des variables apparaissant dans les est une relation telle que chaque lment a une image au maxi-
programmes, les fonctions tant vues comme des transformateurs de prdicats.
mum. On peut dfinir aussi des fonctions totales (domaine = s ) et
Pour prouver un logiciel, il faut le soumettre une analyse partielles (domaine inclus dans s ), des injections partielles
mathmatique ; cela ncessite que chaque construction de la (fonction partielle de s t dont linverse est une fonction partielle
notation utilise par le langage ne soit pas seulement syntaxi- de t s ), des surjections partielles (fonction partielle de s t dont
quement correcte, mais, ce qui est le plus important, reoive une la distance = t ) ou des bijections partielles (surjection partielle et
dfinition axiomatique trs prcise. La notation doit tre capable injection partielle). Les injections, surjections et bijections peuvent
daider non seulement produire des descriptions formelles, mais tre aussi totales. On peut aussi dfinir les concepts dabstraction
aussi exprimer et prouver des thormes. Le formalisme de fonctionnelle (appele aussi Abstraction Lamda) et dvaluation
modlisation sappuie sur plusieurs concepts : la thorie des fonctionnelle. Il existe l aussi un certain nombre de thormes.
ensembles, la logique des prdicats du premier ordre et le langage Aux constructions de fonction peuvent tre aussi associes des
de substitutions gnralises, composantes que nous allons pr- vrifications de type. Il existe aussi toute une liste de proprits
senter brivement. associes (monotonicit, inclusion, lois dgalit, lois dadhsion,
etc.).
3.2.1 Notation ensembliste 3.2.4 Objets mathmatiques

La notation ensembliste rend possible lutilisation dobjets de Un certain nombre dobjet supplmentaires sont encore nces-
haut niveau, tels les ensembles, les relations et les fonctions pour saires. On peut citer les ensembles finis, les nombres naturels, les
des quantifications du premier ordre, qui sont indispensables pour squences finies et les arbres finis. Ils utilisent tous la mme
spcifier un certain niveau dabstraction des logiciels. Nous ver- mthode inductive base sur le fixpoint theorem de Knaster et
rons que pour B Systme, il faut encore aller plus loin. La thorie Tarski. Cela permet dunifier compltement ces constructions. En
des ensembles permet aussi de manipuler de manire contrle la mathmatique, les objets avec des dfinitions circulaires sont fr-
ngation : le complment dun ensemble est encore un ensemble. quemment utiliss ; par exemple, ajout dun simple lment un
En logique classique, la ngation dun prdicat pourrait corres- ensemble fini dj donn (cas des nombres naturels, dune
pondre une proprit trop large, ce qui ne serait pas trs intres- squence ou dun arbre). partir de l, sont dfinis la notion de
sant pour lutilisation que lon veut en faire au niveau des preuves. minimum dun nombre, les fonctions rcursives sur un nombre
La thorie des ensembles permet aussi, trs souvent, dliminer naturel, les oprations arithmtiques (addition, multiplication et
les quantificateurs. La syntaxe est une extension de ce qui sera vu exponentiation, soustraction, division, logarithme), la ritration
dans la suite du texte en ajoutant des expressions qui appar- dune relation, le cardinal dun ensemble fini (nombre dlments
tiennent un ensemble, les ensembles eux-mmes et un certain de lensemble), les entiers, le principe dinduction, le principe
nombre doprations sur ces ensembles, notamment le produit dinduction forte (si une proprit tient pour un nombre n sous
cartsien de deux ensembles : Set Set, le power-set (ensemble lhypothse quelle tienne pour chaque nombre naturel m
des parties) : (Set ), le set-comprehension (ensemble par strictement plus petit que n, alors la proprit P tient pour tout
comprhension) : { | }, choice(v) et lensemble constant BIG, nombre naturel n ). Il est possible de dfinir galement rcursi-
linclusion densemble (, ). Des dfinitions et des axiomes peut vement la taille dune squence, la concatnation de deux
tre dduit un certain nombre de proprits classiques (rflexivit, squences, linsertion dun lment la fin dune squence, la
transitivit, inclusion, etc.). composition gnralise dune squence de relations, la somme et
le produit dune squence dentiers. La dfinition des arbres ti-
Nota : le produit cartsien de deux ensembles v et w est lensemble constitu par quets (ou numrots) et les arbres binaires numrots servent
toutes les paires ordonnes dont les deux lments sont respectivement des lments de
v et w. construire dautres types darbres. Il est possible deffectuer des
Le power-set (s ) (ou ensemble des parties) dun ensemble s est lensemble dont les oprations rcursives sur un arbre et deffectuer des preuves par
lmens sont tous des sous-ensembles de s. induction.

Concept de defense en profondeur :

contribution a la securite des ICPE
par Emmanuel GARBOLINO
Docteur, HDR
Matre assistant, MINES ParisTech, CRC (Centre de recherche sur les risques et les crises)
et Franck GUARNIERI
Docteur, HDR
Matre de recherches, MINES ParisTech, CRC (Centre de recherche sur les risques et les
crises)
1. Motivations pour la transposition du concept de defense

en profondeur dans lindustrie..................................................... SE 2 065 2
2. Formalisation du concept de defense en profondeur
dans le nucleaire ............................................................................. 2
2.1 Du technique a lorganisationnel ....................................................... 3
2.2 Prerequis et cadre dimplementation dune defense en profondeur 3
2.3 Importance des niveaux de protection .............................................. 4
3. Strategie de transposition pour les activites industrielles .... 5
3.1 Un cadre reglementaire structurant .................................................. 5
3.2 Tentatives de transposition ................................................................ 5
3.2.1 Les industries europeennes .................................................... 5
3.2.2 Les transports .......................................................................... 6
3.2.3 Le reseau de transport delectricite ........................................ 6
3.2.4 La surete des hopitaux et des laboratoires de recherche
sur la sante .............................................................................. 6
3.2.5 Linformatique .......................................................................... 6
3.3 Methodologie de transposition pour les ICPE .................................. 7
3.4 Contributions majeures de la transposition ...................................... 7
4. Exemple de transposition de la DEP dans lindustrie
de procedes ...................................................................................... 8
4.1 Contexte general de linstallation ...................................................... 8
4.1.1 Description de linstallation .................................................... 8
4.1.2 Fonctionnement de linstallation ............................................ 8
4.1.3 Environnement de linstallation .............................................. 8
4.2 Exemple dun scenario daccident ..................................................... 8
4.2.1 Analyse des dispositifs de securite sous langle
de la defense en profondeur ................................................... 9
4.2.2 Bilan ......................................................................................... 10
4.3 La DEP pour formaliser le retour dexperience daccidents ............. 10
4.3.1 Contexte general ..................................................................... 10
4.3.2 Description du sous-systeme implique dans laccident ......... 11
4.3.3 Identification des causes techniques, organisationnelles
et structurelles de laccident ................................................... 11
4.3.4 Bilan ......................................................................................... 11
5. Conclusion : une demarche organisationnelle de matrise
des risques industriels ................................................................... 12
Pour en savoir plus.................................................................................. Doc. SE 2 065
origine du terme defense en profondeur est liee au domaine militaire,

L notamment dans le but dorganiser les fortifications et deployer les troupes
sur le territoire pour contrer les tentatives dagression de tous ordres. Les recits
dhistoriens relatent quune technique de defense en profondeur avait ete
Toute reproduction sans autorisation du Centre francais dexploitation du droit de copie

CONCEPT DE DEFENSE EN PROFONDEUR : CONTRIBUTION A LA SECURITE DES ICPE
utilisee vers 2900 avant J.-C. a Hierakonpolis en Egypte, fondee sur un dispositif
de defense mettant en jeu deux murailles paralleles et independantes, renfor-
cant la protection de cette citee. Ce dispositif etait complete par une organisa-
tion particuliere des troupes qui beneficiaient elles-memes de la protection
quoffraient les murailles. Le but dun tel dispositif etait dobliger lassaillant a
rencontrer plusieurs barrieres et lignes de defenses successives afin de laffai-
blir et de ralentir sa progression dans la ville. Cette strategie defensive a ete par
la suite reprise par le domaine nucleaire dans le but de proteger les operateurs,
la population et lenvironnement de tout rejet de radioelements. Elle sest
dabord appuyee sur la structuration de trois barrieres physiques organisees
selon trois niveaux de protection. Puis, au fur et a mesure des travaux en surete
nucleaire, cette strategie a integre des aspects organisationnels. Aujourdhui, le
concept de defense en profondeur repose sur lorganisation de moyens de pre-
vention des risques, de protection de leurs consequences et de sauvegarde a la
fois techniques, structurels et organisationnels agences selon cinq niveaux de
protection. Lobjectif de cet article est donc de comprendre, dans un premier
temps, comment la defense en profondeur est definie dans le nucleaire, sur
quels principes repose-t-elle et quel est son mode dapplication. Dans un
second temps, la transposition de ce concept et son interet pour la matrise
des risques industriels sont etudies, notamment a laide de deux exemples.
Cependant, cette circulaire a ete abrogee par celle du 28 decem-

1. Motivations pour la bre 2006 et celle du 10 mai 2010 et, des lors, le concept nest plus
transposition du concept apparu dans ces dernieres. Il sagit donc dune premiere tentative
dintegration du concept de defense en profondeur dans la regle-
de defense en profondeur mentation des ICPE, mais cette derniere na pas ete suivie par la
suite. Malgre ce constat, leffort de transposition de ce concept
dans lindustrie dans lindustrie semble toujours justifie en raison de la rigueur
quimpose levaluation de la gestion des risques des ICPE. Mais
avant devaluer linteret de cette transposition, il convient dappro-
Laccident dAZF, survenu le 21 septembre 2001 a Toulouse, a ete
fondir la definition de ce concept.
le moteur de changements importants au niveau des pratiques et
de la reglementation francaise pour la prevention et la gestion des
risques lies aux activites industrielles.
La Commission denquete parlementaire dirigee par Francois
Loos et Jean-Yves Le Deaut a la suite de cet accident a publie un
2. Formalisation du concept
rapport dans lequel apparaissent 90 recommandations pour ame-
liorer la securite des activites industrielles et technologiques en
de defense en profondeur
France [1]. Parmi ces recommandations, la treizieme preconise la
multiplication des precautions pour la surete industrielle en vue de
dans le nucleaire
la mise en uvre generalisee du concept de defense en profon-
deur . Des lors, ce concept a ete repris dans diverses etudes et
rapports de groupes de reflexion associant industriels, chercheurs, Dabord utilise dans le domaine militaire pour assurer la protec-
autorites publiques, etc. tion du territoire et des places fortes, le concept de defense en pro-
fondeur a ensuite ete applique dans le nucleaire civil des les
A la suite de ces travaux, une circulaire a ete publiee le 25 juin annees 1960, dans le but de formaliser la politique de surete des
2003 concernant les principes generaux des etudes de dangers centrales aux Etats-Unis, puis dans les autres pays nuclearises.
des installations classees, dans laquelle lutilisation du concept de Lobjectif de ce concept est dassurer la protection du personnel,
defense en profondeur est proposee. Il sagit, a notre connaissance, de la population et de lenvironnement contre lemission de matie-
du seul texte sur les ICPE (installations classees pour la protection
res radioactives hors du reacteur ou de la centrale. Comme le sou-
de lenvironnement) ou ce concept fut clairement defini et ou son
ligne Jacques Libmann [3], le concept de defense en profondeur
application fut demandee. En effet, le paragraphe 9 de cette circu-
nest pas un guide dexamen dune installation associee a une solu-
laire, qui traite des points importants relatifs a la demarche dana-
tion technique particuliere comme un echelonnement de barrieres
lyse et de hierarchisation des risques , precise que lanalyse des
risques represente le point central de letude de danger. Dans particulieres, mais une methode de raisonnement et un cadre gene-
cette optique il convient de recenser et decrire, pour chacun des ral permettant dexaminer plus completement lensemble dune
scenarios daccident majeur au sens de larrete ministeriel du installation, tant pour la concevoir que pour lanalyser .
10 mai 2000 identifie, les elements de matrise des risques permet- Ainsi, les principales methodes employees dans lindustrie
tant une defense en profondeur a savoir : nucleaire pour letude des risques engendres par ce type dactivite
les mesures de prevention adoptees a la conception et lors des ont pour objectif devaluer la surete dune installation. Cette evalua-
modifications pour en reduire la probabilite doccurrence ; tion procede par letude des conditions de fonctionnement de la
les dispositions de surveillance et de conduite appliquees pour centrale selon une echelle croissante de criticite des evenements,
lexploitation afin danticiper les accidents ; depuis les situations normales jusquaux situations accidentelles
les mesures de protection et dintervention prevues pour en graves. Elles permettent alors devaluer la defense en profondeur
limiter la gravite des consequences sur les populations et sur dune installation en mesurant la performance des moyens de pre-
lenvironnement ou pour en ralentir la cinetique . vention, de protection et de gestion de crise mis en uvre.

CONCEPT DE DEFENSE EN PROFONDEUR : CONTRIBUTION A LA SECURITE DES ICPE
2.1 Du technique a lorganisationnel explicitement a la mise en place de systemes physiques de protec-

tion de la centrale, du personnel, de lenvironnement et des popu-
Initialement, la defense en profondeur etait focalisee sur la partie lations externes (gaine du combustible, cuve du reacteur etc.) ;
materielle de la centrale, celle mettant en jeu la prevention des la notion de ligne de defense sadresse aux moyens
defaillances techniques, ce qui rejoint le domaine de la surete de humains, organisationnels et structurels (consignes de securite,
conception et de construction. Elle sarticule encore aujourdhui procedures, systemes de detection, systemes de protection actifs,
autour de trois barrieres physiques independantes (figure 1) com- ergonomie des interfaces homme/machine, etc.) de surete de la
prenant la gaine du combustible nucleaire, la cuve du reacteur et centrale ;
lenceinte de confinement [2] a [5]. la notion de niveau de protection correspond a lagencement
Mais apres laccident de Three Mile Island (TMI) survenu le des barrieres et des lignes de defense selon cinq objectifs structures
28 mars 1979 aux USA, la prise en compte des facteurs humains suivant la gravite de lalea et de latteinte a lintegrite de linstalla-
et organisationnels comme elements de surete sest imposee. En tion. Ces niveaux de protection doivent necessairement etre aussi
effet, lune des conclusions majeures de la Commission presiden- independants que possible entre eux pour eviter leur defaillance
tielle sur laccident de Three Mile Island [6] rapporte que pour simultanee en cas daccident : ils sont parfois definis differemment
prevenir des accidents nucleaires aussi graves que celui de Three selon les pays et les exploitants, mais ils recouvrent en general les
Mile Island, des changements fondamentaux seront necessaires memes objectifs. Le deploiement des barrieres et des lignes de
au niveau de lorganisation, des procedures, et des pratiques . defense dans ces niveaux de protection est aussi fonde sur les prin-
La defense en profondeur dut ainsi etendre le champ de son cipes de redondance, dindependance et de complementarite.
influence, en prenant en compte les erreurs humaines et les defail- Ces notions permettent ainsi dinventorier les moyens de surete
lances organisationnelles et materielles de tout type. de la centrale et de les organiser pour assurer la defense en profon-
En 1988, deux ans apres laccident de Tchernobyl, lINSAG (Interna- deur de linstallation. Ces notions representent le cadre conceptuel
tional Nuclear Safety Advisory Group), groupe de travail constitue permettant lapplication de la defense en profondeur dans la
aupres de lIAEA (International Atomic Energy Agency), publia un mesure ou des prerequis en matiere de surete ont ete etablis.
numero special intitule Defence in depth in nuclear safety [4].
Dans cet ouvrage de reference qui fut reedite en 1996, la defense en
profondeur est definie et peut etre traduite comme suit : Toutes les
2.2 Prerequis et cadre dimplementation
activites de securite, tant organisationnelles que comportementales, dune defense en profondeur
ou celles liees a lequipement, sont sujettes a des couches superpo-
Ces prerequis sont determinants car sans eux, il nest pas possible
sees de mesures, de sorte que si une defaillance se produit, elle doit
de pretendre mettre en place une strategie de defense en profondeur
etre compensee ou corrigee sans causer de dommages aux individus
dune installation. Ces prerequis concernent notamment la definition
ou au public dans son ensemble. Cette idee de multiples niveaux de
dune politique de surete par lexploitant sur les bases du conserva-
protection est le point central de la defense en profondeur .
tisme (premier niveau de defense : conception, construction, defi-
LINSAG precise aussi que les niveaux hierarchises de protection nition des operations normales, etc.), la conduite dune demarche
ont pour objectif de maintenir lefficacite des barrieres physiques d assurance qualite (a chaque niveau de defense), et la mise en
placees entre le materiel radioactif et le personnel, la population uvre de moyens pour construire une culture de surete instau-
et lenvironnement. Ainsi, trois notions fondamentales sont ratta- ree au niveau des responsables, des unites et des individus.
chees au concept de defense en profondeur :
La demarche de surete des INB (installations nucleaires de base)
la notion de barriere est la notion la plus frequemment commence par lidentification des risques et levaluation de leur
associee dans les propos relatifs a la defense en profondeur. Dans importance. Levaluation des risques concerne letude des condi-
le cadre de lindustrie du nucleaire, le terme de barriere correspond tions de fonctionnement de la centrale selon une echelle croissante
de criticite des evenements, depuis les situations normales jus-
quaux situations accidentelles graves. En France, lapproche deter-
ministe et lapproche probabiliste sont utilisees parallelement.
Lapproche deterministe suppose que lincident ou laccident se
produit et quil faut ramener linstallation a un niveau acceptable
de risque. Il convient alors devaluer si les actions, les equipements
Enceinte de confinement
ou les procedures caracterisant la defense en profondeur de lins-
tallation remplissent bien leurs objectifs de preservation des
niveaux de protection. Letude probabiliste de surete (EPS) consiste,
a partir de donnees de fiabilites fournies par des bases de donnees
de constructeurs et de retour dexperience dexploitation, a quanti-
Cuve
du racteur
fier la probabilite doccurrence dun evenement redoute selon des
elements du systeme. La prise en compte du facteur humain est
etablie a la fois pour des actions positives et pejoratives de la
surete. Sa quantification repose sur les travaux internationaux de
modelisation du comportement humain face a des situations diver-
Gaine du ses via le retour dexperience en exploitation ou en simulation.
combustible
En complement des analyses de risques, il est demande par les
autorites que lexploitant procede a levaluation des justifications
de surete pour demontrer que les mesures quil a mises en uvre
permettent datteindre les objectifs de surete et quelles sont
conformes a la reglementation. Par ailleurs, le suivi de la surete
de la centrale est aussi effectue par lexploitant qui, grace a lapport
des etudes de surete, definit des regles generales dexploitation qui
integrent les differents niveaux de la defense en profondeur. Parmi
ces regles sont definis les programmes de controle de la centrale et
les essais periodiques permettant de valider la surete dexploitation
Figure 1 Les trois principales barrieres physiques relatives de la centrale. Ces essais contribuent a verifier labsence devolu-
a la defense en profondeur dune centrale nucleaire tion defavorable des caracteristiques des systemes et des materiels

Mthodes danalyse
de la vulnrabilit des sites
industriels
par Samantha LIM THIEBOT

Chef de projets, risques industriels et scurit globale
INERIS, Verneuil-en-Halatte, France
1. Mthodes danalyse de la vulnrabilit dans le domaine du

nuclaire et du transport de marchandises dangereuses .......... SE 1 212 - 2
1.1 Mthodes danalyse de la vulnrabilit dveloppes
dans le nuclaire ....................................................................................... 2
1.2 Mthodes danalyse de la vulnrabilit dveloppes
dans le transport des marchandises dangereuses................................. 3
1.3 Commentaires sur ces mthodes ............................................................ 5
2. Analyses de la vulnrabilit des sites industriels issues
de la mthode du CCPS....................................................................... 6
2.1 Prsentation de mthodes amricaines.................................................. 6
2.2 Approches par scnarios dveloppes en France et en Europe ........... 9
2.3 Commentaires sur ces mthodes ............................................................ 10
3. Autres approches pour lanalyse de la vulnrabilit
des sites industriels.............................................................................. 10
3.1 RAMCAP .................................................................................................... 10
3.2 Guide du NIJ et de Sandia National Laboratoires.................................. 12
3.3 Guide de lAmerican Chemistry Council ................................................. 12
4. Conclusion............................................................................................... 13
5. Glossaire .................................................................................................. 13
es attaques sur les tours jumelles du World Trade Center New York aux
L tats-Unis le 11 septembre 2001 ont marqu un changement de dimension
dans les modes dactions terroristes. Elles ont notamment mis en lumire les
menaces potentielles pouvant peser sur les activits conomiques.
Les attaques terroristes qui se sont succdes par la suite ont port sur les
transports en commun (Madrid en 2004, Londres en 2005), le domaine mari-
time (USS Cole et le Limburg au Ymen en 2000 et 2002) ou le domaine
industriel avec la tentative dattentat suicide sur la raffinerie de Baqiq en Irak
en 2006.
Outre les menaces terroristes, des actes de malveillance dans le domaine
industriel ont montr galement leur potentiel de menace. En France, des
conflits sociaux durs avec occupation de site par des salaris et menaces
datteinte lenvironnement ont t particulirement mdiatiss : Cellatex en
2000 (menace de dversement de produits toxiques dans lenvironnement),
Daewoo en 2003, Sublistatic en 2007 ou New Fabris en 2009. Ainsi, loin dtre
isols, les actes de malveillance reprsentent plus de 10 % des incidents
technologiques.
Au lendemain de ces attaques, des guides danalyse de la vulnrabilit ont
t publis aux tats-Unis dans diffrents secteurs, notamment dans le
domaine de lindustrie chimique en raison du potentiel de danger inhrent
MTHODES DANALYSE DE LA VULNRABILIT DES SITES INDUSTRIELS ______________________________________________________________________
son activit de stockage, de production ou de manipulation. En effet, une

attaque sur un site chimique, telle que la France a connu sur son territoire en
2015 (Air Liquide, St Quentin Fallavier le 26 juin et LyondellBasell, Berre lEtang
le 14 juillet, mme si ces attaques nont pas eu lampleur escompte), pourrait
porter atteinte la population environnante et gnrer une perturbation de
lconomie locale, voire nationale. Les sites chimiques doivent galement se
prmunir dactes de vol puisquils peuvent constituer une source dapprovi-
sionnement non ngligeable en prcurseurs dexplosifs et darmes chimiques.
Le prsent article a pour objectif de prsenter diffrentes mthodes danalyse
de la vulnrabilit pour les sites industriels sans prtendre toutefois
lexhaustivit.
Nous allons donc tout dabord nous intresser au domaine du nuclaire et
des transports de matires dangereuses o lanalyse de la vulnrabilit est
davantage prescriptive au regard de lhomognit des installations chez lune
et de lhomognit du mode de transport chez lautre.
Puis, nous prsenterons des mthodes danalyse de la vulnrabilit essen-
tiellement dveloppes aux tats-Unis, dont la mthode dveloppe par le
CCPS qui a inspir plusieurs mthodes et qui a t adapte au contexte fran-
ais et europen.
Enfin, nous dcrirons des mthodes parallles celles du CCPS labores
aux tats-Unis galement suite aux attentats du 11 septembre 2001 aux
tats-Unis.
Le lecteur trouvera en fin darticle un glossaire des termes et expressions importants de

larticle, ainsi quun tableau des sigles, notations et symboles utiliss tout au long de larticle.
1. Mthodes danalyse 1.1.1.1 Contexte et champ du document

Le document Recommandations de scurit nuclaire sur la pro-
de la vulnrabilit dans tection physique des matires nuclaires et des installations
nuclaires (INFCIRC/225/Rvision 5) [1] est un document manant
le domaine du nuclaire de lAgence internationale de lnergie atomique (AEIA) dit en
novembre 2011.
et du transport de Ces recommandations publies pour la premire fois en 1975
marchandises dangereuses ont t depuis rgulirement rvises. Le document vise aider
les tats membres mettre en place un rgime de protection phy-
sique complet [...] relatif la protection physique des matires
1.1 Mthodes danalyse nuclaires et des installations nuclaires .
de la vulnrabilit dveloppes Les trois vnements redouts pour les matires nuclaires
considrer sont :
dans le nuclaire
le risque denlvement non autoris dans lintention de fabri-
quer un dispositif nuclaire explosif ;
Dans le domaine du nuclaire, le terme de scurit le risque denlvement non autoris pouvant entraner ultrieu-
nuclaire renvoie aux dispositions visant lutter contre lutili- rement une dispersion ;
sation malveillante de substances nuclaires, tandis que le le risque de sabotage.
terme de sret nuclaire renvoie aux dispositions visant
se prmunir daccidents technologiques. 1.1.1.2 Prsentation de la dmarche
Dans les autres domaines industriels, les termes de La dmarche de gestion du risque vise atteindre les objectifs
sret et de scurit ont un sens oppos, savoir que la suivants :
scurit (safety ) est associe la lutte contre les accidents
technologiques non intentionnels et la sret (security ) la prvention dun acte malveillant par la dissuasion et la protec-
lutte contre les actes intentionnels malveillants. tion des informations sensibles ;
lutte contre une tentative dacte malveillant ou un acte malveil-
lant grce un systme intgr de dtection, de retardement et
1.1.1 Prsentation des recommandations dintervention ;
attnuation des consquences dun acte malveillant.
de lAIEA
Le concept dapproche gradue est prconis dans la dfinition
Dans cette section consacre au nuclaire, nous conserverons des prescriptions de protection physique tenant compte de
les termes de scurit et de sret tels quils sont dfinis lvaluation actuelle de la menace, de lattractivit relative, de la
pour ce domaine particulier, mais userons des dfinitions plus nature des matires nuclaires et des consquences potentielles
usuelles dans la suite de la publication. en cas denlvement non autoris ou de sabotage.
_______________________________________________________________________ MTHODES DANALYSE DE LA VULNRABILIT DES SITES INDUSTRIELS
Le principe de dfense en profondeur, dfini comme la combi- PI probabilit dinterruption de lagresseur (dont la
naison de plusieurs niveaux de systmes et de mesures tech- dtection),
niques ou organisationnelles qui doivent tre surmonts ou
PN probabilit de neutralisation de lagresseur.
contourns avant que la protection physique soit compromise, est
retenu pour le choix des prescriptions en matire de protection La gravit de lvnement nest pas cote car on doit considrer
physique. que lon ne peut pas agir sur cette composante. Linterface entre
Des prescriptions sont apportes pour chacun de ces types de scurit et sret est galement aborde. En effet, lajout dun l-
risque selon la catgorie de matires nuclaire concerne, et cela ment de scurit peut avoir un effet sur la sret dun racteur, et
de manire proportionne. inversement.
Il sagit dune mthode probabiliste et itrative base sur les sc-
1.1.2 Prsentation du guide de lUS NRC narios, sur le temps de rponse et les itinraires (pathway ) pos-
sibles face un acte malveillant par rapport au systme de
1.1.2.1 Contexte et champ du document protection physique mis en place selon le principe
deter/detect/respond (dissuader/dtecter/intervenir).
LUnited States Nuclear Regulatory Commission (US NRC) a
dvelopp en 2007 un guide dvaluation de la scurit nuclaire,
au sens security qui a t remis jour en 2013. Le Nuclear
Power Plant Security Assessment Guide, NUREG/CR-7145 [2] a
1.2 Mthodes danalyse
pour objectif de fournir le plan et le contenu dune valuation de la de la vulnrabilit dveloppes
scurit. Il sapplique sur la base du volontariat et en lien avec le dans le transport des marchandises
Nuclear Power Plant Security Assessment Technical Manual [3]. dangereuses
Bien que dvelopp pour la certification de la conception de
nouvelles centrales nuclaires, ce guide sapplique galement aux
centrales existantes voulant amliorer ou modifier leurs systmes 1.2.1 Prsentation du chapitre 1.10
de protection physique face aux menaces contre la conception de lADR/RID/ADNR
(design-basis threat DBT) fournies par la US NRC [4]. Ce guide :
dcrit les six tapes de lvaluation de la scurit ; 1.2.1.1 Contexte et champ du document
propose un plan pour ltude de scurit valider par les Afin de prvenir les actes de terrorisme, la rglementation inter-
agents de lUS NRC ; nationale des transports terrestres de matires dangereuses (ADR
en annexes, dcrit succinctement des mthodes de modlisa- pour la route, RID pour le fer, ADNR pour la voie deau) comprend
tion dvaluation de la sret. depuis le 1er janvier 2005 un chapitre nouveau, le chapitre 1.10 sur
la sret [5]. Ces dispositions sont obligatoires depuis le 1er juillet
1.1.2.2 Prsentation de la dmarche 2005. Depuis, quelques amendements ont t adopts et incorpo-
Les tapes de lvaluation de scurit sont prsentes dans la rs. Dans lADR de 2013, les exigences pour les marchandises
figure 1. radioactives haut risque ont t spares de celles des autres
marchandises haut risque.
La mthode dvaluation, en six tapes, vise sassurer de leffi-
cacit de la conception du systme de protection physique (qui- Cette rglementation ne sapplique ni lorsque les quantits
pements, processus supports, procdures, etc.) et de la dfense en transportes sont infrieures certains seuils, ni aux marchandises
profondeur de ce systme en utilisant une mthodologie accep- emballes en quantits limites. Elle nest pas exclusive des rgle-
table, plusieurs dentre elles tant prsentes en annexe C du mentations spcifiques applicables aux explosifs et aux matires
guide. Celle-ci est value selon lquation : nuclaires.
La sret est dfinie comme les mesures ou les prcau-
tions prendre pour minimiser le vol ou lutilisation impropre de
avec PE probabilit defficacit ou defficacit globale du marchandises dangereuses pouvant mettre en danger des per-
systme, sonnes, des biens ou lenvironnement .
Conception
termine
OUI
tape 2 tape 3 Objectif

tape 1 tape 4
Etablir Concevoir de haute
Dterminer Conduire
la conception le systme de assurance
les objectifs lvaluation
du site protection physique atteint ?
NON
Reconcevoir
le systme
de scurit
physique
Figure 1 Processus dvaluation de sret de lUS NRC

GAGNEZ DU TEMPS ET SCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISE ET FIABLE
Techniques de lIngnieur propose la plus importante

collection documentaire technique et scientifique
en franais !
Grce vos droits daccs, retrouvez lensemble
des articles et fiches pratiques de votre offre,
leurs complments et mises jour,
et bnficiez des services inclus.

RDIGE ET VALIDE MISE JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMRIQUES
+ de 350 000 utilisateurs

+ de 10 000 articles de rfrence
+ de 80 offres
15 domaines dexpertise
Automatique - Robotique Innovation
Biomdical - Pharma Matriaux
Construction et travaux publics Mcanique
lectronique - Photonique Mesures - Analyses
nergies Procds chimie - Bio - Agro
Environnement - Scurit Sciences fondamentales
Gnie industriel Technologies de linformation
Ingnierie des transports
Pour des offres toujours plus adaptes votre mtier,

dcouvrez les offres ddies votre secteur dactivit
Depuis plus de 70 ans, Techniques de lIngnieur est la source

dinformations de rfrence des bureaux dtudes,
de la R&D et de linnovation.
CONTACT : Tl. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de lIngnieur

ACCS
Accs illimit Tlchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numriques
Enrichis et mis jour pendant Pour un usage en toute libert Des contenus optimiss
toute la dure de la souscription pour ordinateurs, tablettes et mobiles

SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Dcouverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilit de consulter des articles 45 000 termes en franais, anglais,
et scientifiques vous rpondent en dehors de votre offre espagnol et allemand

Archives Impression la demande Alertes actualisations
Technologies anciennes et versions Commandez les ditions papier Recevez par email toutes les nouveauts
antrieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service rserv aux entreprises, non propos dans les offres coles, universits ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
CONTACT : Tl. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Méthodes D'analyse Des Risques

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Méthodes D'analyse Des Risques

Transféré par

Droits d'auteur :

Formats disponibles

ENVIRONNEMENT - SCURIT

Ti112 - Scurit et gestion des risques

Mthodes d'analyse des risques

Rf. Internet: 42155 | 3e dition

Actualisation permanente sur

Une information fiable, claire et actualise

Les meilleurs experts techniques et scientifiques

Une collection 100 % en ligne

Des services associs

Des services associs

Management de la scurit Rf. Internet: 42154

Mthodes d'analyse des risques Rf. Internet: 42155

Risques chimiques - Toxicologie et cotoxicologie Rf. Internet: 42156

Risques chimiques - Pesticides et produits phytosanitaires Rf. Internet: 42568

Encadrer le risque chimique et connatre ses obligations Rf. Internet: 22742

Matriser le risque chimique - management, sant et scurit Rf. Internet: 22743

Risques d'explosion Rf. Internet: 42157

Risques d'incendie Rf. Internet: 42583

Risques lectriques Rf. Internet: 42496

Scurit par secteur d'activit et par technologie Rf. Internet: 42159

Scurit des systmes industriels Rf. Internet: 42830

Sant et scurit au travail Rf. Internet: 42158

Menaces et vulnrabilits: protection des sites industriels Rf. Internet: 42648

Risques naturels et impacts industriels Rf. Internet: 42828

dont les exper ts scientifiques sont:

Jean-Pierre DAL PONT

Alain DESROCHES Pierre PERILHON

Michel FEDERIGHI Michel ROYER

Analyse prliminaire de risques SE4010 9

Analyse globale des risques (AGR) SE4015 11

HAZOP: une mthode d'analyse des risques. Prsentation et contexte SE4030 17

HAZOP: une mthode d'analyse des risques. Principe SE4031 21

HAZOP: une mthode d'analyse des risques. Mise en oeuvre SE4032 27

AMDE (C) SE4040 29

Arbres de dfaillance, des causes et d'vnement SE4050 33

Le noeud papillon: une mthode de quantiication du risque SE4055 39

MOSAR. Prsentation de la mthode SE4060 45

MOSAR. Cas industriel SE4061 49

Analyse des risques des systmes dynamiques: prliminaires SE4070 55

Mthode MADS-MOSAR. Pour en favoriser la mise en oeuvre SE4062 57

Analyse des risques des systmes dynamiques: approche markovienne SE4071 61

Mthode PDS SE4077 83

Mthode HACCP- Approche pragmatique SL6210 87

La sret de fonctionnement: mthodes pour matriser les risques AG4670 91

Mthodes d'valuation de la criticit des quipements. Mtriques et indicateurs de SE4006 123

La mthode B pour la spciication et la ralisation de logiciels et de systmes critiques SE2525 135

Mthodes d'analyse de la vulnrabilit des sites industriels SE1212 145

Analyse prliminaire de risques

par Yves MORTUREUX

1. Objectifs de la dmarche APR.............................................................. SE 4 010 - 2

analyse prliminaire de risques (APR) est une dmarche, un processus dont

ANALYSE PRLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

Lanalyse prliminaire de risques est essentielle et trs structurante, surtout

Le lecteur se reportera utilement aux articles du mme trait :

Analyse globale des risques (AGR)

1. Concepts prliminaires....................................................................... SE 4 015 - 2

De plus, lAGR prend en compte la gestion financire du traitement des

Copyright Techniques de lIngnieur Tous droits rservs SE 4 015 1

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

1. Concepts prliminaires cre lexposition du systme S au danger D (repre 1) et donc la

Figure 1 Arborescence dun scnario daccident

SE 4 015 2 Copyright Techniques de lIngnieur Tous droits rservs

_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)