Académique Documents
Professionnel Documents
Culture Documents
III
Cet ouvrage fait par tie de
Scurit et gestion des risques
(Rf.Internetti112)
compos de:
dans lentreprise
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
IV
Cet ouvrage fait par tie de
Scurit et gestion des risques
(Rf.Internetti112)
Franois FONTAINE
Responsable Scurit Globale et Scurit Globale et terrorisme , INERIS
Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN
Expert en scurit des procds Rhodia Recherches et Technologies
Andr LAURENT
Professeur mrite, Nancy Universit, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX
Expert en matrise des risques la Direction de la scurit de la SNCF
Jean-Paul PERES
Ancien Directeur Responsable Care de Rhodia
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
V
Les auteurs ayant contribu cet ouvrage sont :
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
VI
Mthodes d'analyse des risques
(Rf. Internet 42155)
SOMMAIRE
Rf. Internet page
Analyse des risques des systmes dynamiques: rseaux de Petri. Principes SE4072 67
Analyse des risques des systmes dynamiques: rseaux de Petri. Exemples de SE4073 71
modlisation
La mthode LOPA: principe et exemple d'application SE4075 75
Mesures de matrise des risques instrumentes (MMRI). tat zro et iche de vie SE2090 95
Pondration des frquences de fuite dans le cadre des analyses de risques industriels SE5080 101
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
VII
valuation de la criticit des quipements. Mthodes d'exploitation des jugements SE4004 109
d'experts
valuation de la criticit des quipements. Mthodes analytiques SE4005 115
Sur www.techniques-ingenieur.fr
Saisissez la rfrence Internet pour accder directement aux contenus en ligne
Retrouvez la liste complte des ressources documentaires
Cette dmarche peut prendre des formes trs diffrentes dans sa mise en
uvre suivant le domaine technique ou la lire industrielle considrs. Dans
bien des cas une analyse prliminaire de risques met en uvre des mthodes
plus connues dans les phases ultrieures de lanalyse de risques comme larbre
de dfaillance (cf. article [SE 4 050]), lAMDE(C) (analyse des modes de
dfaillance, de leurs effets et de leurs criticits, cf. article La sret de
fonctionnement : mthodes pour matriser les risques [AG 4 670] dans le trait
Lentreprise industrielle) ou des blocs-diagrammes de abilit, etc. Mais une
mthode particulire a aussi t dveloppe pour cette phase initiale danalyse
prliminaire de risques. On parle alors de mthode APR. La confusion des
termes est totale, la confusion des notions est viter : disons quune dmarche
APR ne se fait pas forcment avec la mthode APR.
La premire partie de larticle ( 1, 2, 3, 4) sera consacre la dmarche : les
objectifs, le processus, la pertinence de lanalyse prliminaire de risques. La
seconde partie ( 5) sera consacre la mthode : la mthode APR, particuli-
rement adapte la conduite dune dmarche danalyse prliminaire de risques.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, CD-Rom Scurit et gestion des risques SE 4 010 1
1. Objectifs de la dmarche APR divers sous-projets susciteront des dmarches APR partielles dont
les dmarrages peuvent tre postrieurs non seulement celui de
lAPR globale mais mme des analyses dtailles entreprises
dans dautres sous-projets plus avancs du mme projet.
La dmarche APR peut prendre des formes extrmement
diverses. Nanmoins, sous des apparences varies, on retrouve
systmatiquement trois phases qui sont aussi trois objectifs :
identification des dangers, des vnements redouts 1.1 Identification des vnements redouts
prendre en compte ( 1.1) ;
valuation et classement des risques associs ; Cette premire phase de la dmarche APR consiste identier
propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici lexhaustivit est un objectif essentiel. La valeur dune dmar-
che APR dpend directement de la conance que lon peut placer
Globalement, on peut dire que lobjectif gnral dune dmarche dans le fait de navoir oubli aucun scnario daccident. Par
APR est dvaluer les problmes rsoudre en matire de matrise contre, ce stade, il est normal de ne pas pouvoir tre trs prcis
des risques. Une APR doit permettre : sur ces scnarios et de ne pas pouvoir distinguer des scnarios
de se rendre compte si le projet pourrait devoir tre aban- vraisemblables, dautres, thoriquement possibles, mais qui se
donn parce que certains risques inacceptables se rvleraient rvleront ensuite invraisemblables.
irrductibles ; En effet, le but est didentier les vnements redouts pren-
de dimensionner a priori les efforts dtudes et de rduction dre en considration. Toutes les informations disponibles (connais-
de risques ; sance a priori dvnements redouts mais aussi modes de
de localiser les domaines du systme qui demanderont le plus dfaillance des composants du systme, potentiel dnergie des
defforts et donc, les comptences requises en matire de matrise composants du systme, etc.) doivent tre exploites. partir de
des risques. ces informations on se pose la question des scnarios qui peuvent
Inversement la dmarche APR permet danticiper sur la nature se dvelopper partir des phnomnes voqus et on recense
des faiblesses en sret de fonctionnement et les limites des per- donc les vnements (redouts) sur lesquels ces scnarios pour-
formances sret de fonctionnement quil est raisonnable de vou- raient dboucher.
loir atteindre. Rappel : le risque est un triplet (vnement redout, frquence, gravit). Identier, recen-
ser des risques, cest donc identier des vnements redouts ; valuer les risques consiste
En poursuivant lobjectif essentiel de reprer les difcults et les leur associer frquence et gravit (ou criticit) (cf. [AG 4670]). On peut connatre a priori
efforts les plus importants de rduction de risque et de dmons- les vnements redouts envisager mais il est aussi courant que lon connaisse mieux les
sources de danger et que lon doive en dduire les scnarios puis les accidents craindre.
tration de la sret de fonctionnement, une dmarche APR bien
mene contribue de faon dcisive la matrise des risques Cette recherche sappuie naturellement avant tout sur les spci-
projet , cest--dire la matrise des cots, des dlais du projet cations fonctionnelles, car au stade initial les solutions ne sont
en lien avec latteinte des objectifs de performance du produit ou pas encore choisies. La dmarche peut tre mene de faon
du service. En particulier, la dmarche APR doit permettre trs tt systmatique sur les fonctions du systme. Nanmoins, en matire
de construire une vision commune et un accord entre les parties de scurit, il faut prendre en compte les dangers crs par les
concernes par le projet sur les mesures prendre pour assurer la techniques choisies indpendamment des exigences fonctionnel-
sret de fonctionnement requise et les rles de chacun dans ces les (notamment en chimie) dans le cadre de la mthode HAZOP).
efforts. Pour raliser une mme fonction, une solution lectrique amne se
Si la dmarche APR est unique par son esprit, chacun la conduit poser la question du risque dlectrocution, une solution pneumatique
son niveau en fonction des risques qui le concernent. Si une celle du risque dexplosion par surpression, tout cela indpendamment
dmarche APR globale peut dmarrer ds les origines dun projet, des risques lis lchec total ou partiel de la fonction.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 010 2 Techniques de lIngnieur, CD-Rom Scurit et gestion des risques
et article traite de lanalyse globale des risques (AGR) qui couvre lidenti-
C fication, lvaluation et la gestion des risques structurels, des risques
fonctionnels et des risques conjoncturels pendant tout le cycle de vie du
systme tudi, depuis le dbut de sa conception jusqu la fin de son
dmantlement.
Elle existe en version semi qualitative (note AGR), prsente dans cet
article, et en version quantitative ou probabiliste (note AGRq) [3].
LAGR est applicable lanalyse des risques de projet, des risques dentre-
prise ou des risques produits.
Les quatre catgories de dangers gnriques prises en compte sont :
les dangers extrieurs au systme ;
les dangers lis la gouvernance du systme ;
les dangers lis aux moyens techniques du systme ;
les dangers lis aux tudes et production du systme.
Le but de lAGR est :
didentifier les principaux risques pendant lactivit du systme partir
des dangers, des situations dangereuses, des vnements redouts ou acci-
dents conscutifs et de leurs consquences ;
de caractriser les scnarios daccident partir des trois facteurs de
risques : facteur dexposition, facteur dclenchant et facteur aggravant ;
dlaborer les cartographies des risques ;
didentifier les risques majeurs ;
dvaluer les bilans efforts/pertes en termes financiers ;
dlaborer le plan dactions en rduction des risques ;
dlaborer le catalogue des paramtres de scurit correspondant aux acti-
vits de scurisation ultrieures.
Systme
(S)
1 3
Danger Situation 5
(D) dangereuse
(SD)
vnement redout ou
accident
(A)
7
2
Cause contact
Consquence
ou
4 (K)
facteur dexposition (FE)
Cause amorce
ou
Cause circonstancielle 6
facteur dclenchant (FO)
ou
facteur aggravant (FA)
C2 Tolrable sous contrle On doit organiser un suivi en termes de gestion du risque tel que contrle ou transfert
Inacceptable On doit refuser la situation et prendre des mesures de rduction des risques
C3
Sinon... on doit refuser toute ou partie de lactivit
Probabilit Probabilit
Pr (G > g) < p
V5 V5
p4 p4
Pr Protection
(G
V4 > V4
p3 g) p3
<
p Prvention
V3 V3
p2 p2
V2 Pr (G > g) < p V2
p1 p1
V1 V1
g1 g2 g3 g4 Gravit g1 g2 g3 g4 Gravit
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5
tion ou de contrle. Ce qui sexprime en posant C = fD (G, V ). Le management des risques repose dune part sur lassigna-
L ensemble de dfinition de fD est lensemble des couples (G, tion dobjectifs de risques acceptables ou tolrables dfinis par le
V). L ensemble des valeurs de fD correspond lensemble des rfrentiel dacceptabilit des risques et dautre part par la mise en
criticits, appel chelle de criticit (figure 2), rparti en trois place de ressources ou moyens de traitement pour permettre
classes suivant le principe ALARA (As Low As Reasonably Achie- datteindre les objectifs (par la rduction des risques initiaux) et
vable). dassurer leur maintien (par le contrle des risques rsiduels).
Nota : la criticit du risque ne doit pas tre confondue avec le risque moyen qui est Autrement dit, le plan de rduction des risques comme le cata-
le produit de la probabilit par la gravit du risque et nest quun paramtre dvaluation logue des paramtres de scurit nont de ralit que dans la
et non de dcision. mesure o un plan de financement des actions, appel finance-
ment du risque a t prvu et consolid. Ce dernier doit tre
Cette classification de lensemble des risques de lactivit en orient par la contrainte effort/perte 1 qui exprime que
trois classes doit tre valide par la gouvernance du risque qui leffort correspondant au cot de traitement (des consquences) du
dispose des ressources associes aux dcisions rattaches risque doit rester infrieur la perte correspondant au cot (des
chaque classe. consquences) du risque en labsence de traitement.
Les trois classes sont visualises par zone respectivement en Le principe du financement du risque est dfini ainsi : Toute
vert, jaune et rouge sur le premier diagramme de la figure 3 action de rduction ou de contrle pour matriser un risque gn-
appel rfrentiel dacceptabilit des risques ou diagramme rant une perte est un effort qui a un cot .
ou tableau de criticit. Le second diagramme visualise les
actions de matrise des risques. Nota : effort de traitement du risque, que ce soit en termes de financement de llimi-
nation du risque, de sa rduction (prvention ou protection) ou de sa gestion telle que la
Des exemples de diagrammes qualitatif et probabiliste sont don- prise dune assurance ou encore de son contrle.
ns sur la figure 4.
Il est naturel de considrer le rapport : K = effort/perte, o :
Le regroupement structur des actions de prvention et de pro- perte est le cot du risque correspondant au montant (ou
tection est appel plan de rduction des risques. quivalent) de la perte financire brute en labsence de traitement
Les actions de contrle permettent dassurer la traabilit des de matrise du risque ;
actions prcdentes et de garantir dans le temps le maintien du effort est le cot investi dans le traitement du risque,
niveau de risque acceptable ou tolrable atteint. Ces actions sont cest--dire au montant (ou quivalent) financier des actions de
regroupes dans le catalogue des paramtres de scurit. rduction, et plus globalement de matrise des risques.
Gravit
G1 G2 G3 G4 G5
V5
V4
Vraisemblance
V3
V2
V1
G1 G2 G3 G4 G5
1 10 0 1 100
Probabilit (p)
1 101 1 101
5,0 102
1 102 1 102
1,0 102
Probabilit
1 103 1 103
5,0 104
5,0 104
1 104 1 104
5,0 105
1 105 1 105
1 106
1 106
5,0 107
1 107
1 107 10 100 1 000 10 000 100 000
1,0 107 1,0 107
C1 C2 C3 Gravit (g)
1
AGR SYSTME
Modlisation du systme et laboration de la cartographie des dangers
2
AGR SCNARIOS
3
Gestion des actions
Fonction 12
Fonction 13
Fonction 14
Fonction 21
Fonction 22
Fonction 23
Fonction 24
Fonction 25
Fonction 26
Fonction 31
Fonction 32
Fonction 33
Fonction 34
Ressource 111
Ressource 121
Ressource 131
Ressource 132
Ressource 141
Ressource 142
Ressource 211
Ressource 221
Ressource 231
Ressource 241
Ressource 251
Ressource 261
Ressource 311
Ressource 312
Ressource 321
Ressource 322
Ressource 331
Ressource 341
Ressource 342
La cartographie des situations dangereuses est dfinie par
Tableau 2 Exemple de format de la cartographie lensemble des lments du rfrentiel systme/danger. Chaque
des dangers lment correspond une case qui repre une interaction poten-
Dangers Dangers vnements tielle dun vnement dangereux sur un lment systme
gnriques spcifiques ou lments dangereux laquelle doit alors tre affect un index de priorit. La figure 9
visualise un exemple de cartographie des situations dangereuses.
DS1 ED111
Nota : une situation dangereuse peut tre dfinie sur une ou plusieurs cases qui appa-
DS2 ED121 raissent fusionnes. Ainsi, si un danger impacte plusieurs lments contigus du systme,
DG1 alors la fusion sera horizontale. Si plusieurs lments dangereux contigus impactent un
lment systme, alors la fusion sera verticale. La combinaison des deux est aussi
DS3 ED131 possible.
DS4 ED141
ED211 2.3 AGR Scnarios
ED212
DS1
ED213 2.3.1 lments dvaluation et de dcision
1. Prsentation............................................................................................... SE 4 030 - 2
2. Dfinition, objectifs et domaines dapplications ............................ 2
2.1 Dfinition et objectifs ................................................................................... 2
2.2 Notions de base ........................................................................................... 3
2.2.1 Dfinition du danger et de corollaires ............................................... 3
2.2.2 Dfinition de laccident et de ses corollaires .................................... 4
2.2.3 Dfinition du risq ue et de ses corollaires.......................................... 4
2.3 Domaines dapplication de la mthode ..................................................... 7
2.3.1 Secteurs dactivit............................................................................... 7
2.3.2 Comparaison avec les autres mthodes danalyse de risque ......... 8
2.4 Limites de la mthode ................................................................................. 8
2.4.1 Consommatrice de temps .................................................................. 8
2.4.2 Qualitative ou non............................................................................... 10
2.4.3 Exigeante ............................................................................................. 10
2.5 Points forts.................................................................................................... 10
2.5.1 Principe simple.................................................................................... 10
2.5.2 Mthode systmatique ....................................................................... 10
2.5.3 Mthode pluridisciplinaire ................................................................. 10
2.5.4 Large domaine applicatif .................................................................... 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033
utilis et dvelopp depuis q uarante ans pour analyser les risques poten-
tiels associs lexploitation dune installation industrielle.
Invente en 1965 en Grande-Bretagne par la socit ICI (I mperial chemical
industries), elle tait conue comme une technique et sadressait particuli-
rement la phase dingnierie de dtail de nouvelles installations chimiques
ou ptrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues scurit sur schmas employes lpoque par les
socits dingnierie, toutes bases sur lanalyse dvnements passs. Son
originalit rsidait dans son approche a priori des dangers et des dysfonction-
nements dune installation par ltude systmatique des dviations des
paramtres gouvernant le procd analyser.
Cette technique sest dveloppe hors des limites de la socit ICI, au sein de
lindustrie chimique et ptrochimique aprs lexplosion catastrophique, en 1974,
dun nuage de 40 tonnes de cyclohexane Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blesss. De simple technique, la mthode HAZOP est devenue
une pratique didentification des dangers et des problmes dexploitabilit,
adopte par de nombreuses industries risques , en particulier, lindustrie
Objectifs Dommage
Lobjectif de la mthode HAZOP est, lorigine, didentifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) dfinit les notions de
dysfonctionnements de nature technique et opratoire dont dommage et de danger :
lenchanement peut conduire des vnements non souhaits. Il dommage : blessure physique ou atteinte la sant des
sagit donc de dterminer, pour chaque sous-ensemble ou lment personnes, aux biens ou lenvironnement ;
dun systme bien dfini, les consquences dun fonctionnement la notion de danger a fait lobjet dune dfinition plus spci-
hors du domaine dutilisation pour lequel ce systme a t conu. fique, dans la Directive SEVESO II concernant la matrise des dan-
La norme CEI 6 1882 (voir [Doc. SE 4 033]) dfinit les objectifs gers lis aux accidents majeurs impliquant des substances
de la mthode HAZOP originelle, savoir : dangereuses prsentes dans les Installations classes pour la pro-
tection de lenvironnement (ICPE) : danger : ...proprit intrin-
...identification des dangers potentiels dans le systme. Le sque dune substance dangereuse ou dune situation physue,
danger peut se limiter la proximit immdiate du systme ou de pouvoir provoquer des dommages pour la sant humaine et/ou
tendre ses effets bien au-del, comme dans le cas des dangers lenvironnement... .
environnementaux... ;
...identification des problmes potentiels dexploitabilit Exemples : une falaise (situation physique), un fl_on de lessive de
poss par le systme et, en particulier, lidentification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des dviations dans la lhomme (lment vulnrable) car ils peuvent provoquer des
production susceptibles dentraner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, br-
conformes... . lure grave dans le cas dun contact du corps avec la lessive de
soude).
Avec lapparition de la Directive SEVESO II et des nouvelles
exigences du ministre de lcologie et du dveloppement durable Sont rattaches la notion de danger les caractristiques
(MEDD) en matire de prvention des risques industriels, la suivantes :
mthode HAZOP originelle savre insuffisante pour lanalyse des
les proprits inhrentes une substance ou une prparation :
risques majeurs. Il faut lui adjoindre une phase dvaluation du ris-
inflammabilit, toxicit... ;
que. Cest ainsi que, de purement qualitative, la mthode HAZOP
devient semi-quantitative, contribuant ainsi amliorer la lnergie disponible dans le systme : pneumatique, poten-
connaissance du risque et, de ce fait, la scurit des installations. tielle...
Les raisons qui vont conduire engager une tude HAZOP sur On pourra rsumer la notion de danger en indiquant quil est
une installation industrielle peuvent rpondre de multiples objec- une caractristique dun systme, dune machine, dun atelier,
tifs qui sont en fait des exigences : dun procd, dune situation, ayant un certain potentiel cau-
satisfaire aux exigences de la politique Hygine-scurit- ser des atteintes aux personnes, aux biens, lenvironnement.
environnement (HSE) de lentreprise propritaire de linstal- Nous ajouterons quun danger est vrifiable et quantifiable.
lation ;
satisfaire aux exigences de lAdministration, reprsente, en
particulier, par les Directions rgionales de lIndustrie, de la On observera que de nombreuses substances ou prparations
recherche et de lenvironnement (DRIRE) : assurer la conformit non dangereuses peuvent le devenir lorsquelles se trouvent dans
avec la rglementation des Installations classes pour la protection dautres conditions.
de lenvironnement (ICPE), les codes du travail et de lenviron-
Exemple : leau la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, porte ds 6 0oC, elle le dev
ient.
tablir les plans durgence : Plan dopration interne (POI) pour
les installations industrielles, Plan durgence interne (PUI) pour les cette notion de danger peuvent tre associes les notions de :
installations nuclaires, tous deux tablis sous la responsabilit de potentiel de danger, phnomne dangereux, et situation de dan-
lexploitant, et le Plan particulier dintervention (PPI) et le Plan de ger.
prvention des risques technologiques (PPRT) tablis sous lauto-
rit du Prfet ; Potentiel de danger
renforcer la confiance des parties prenantes (stakeholders ) : La dfinition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; ...systme (naturel ou cr par lhomme) ou disposition adopte
satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) . Dans le domaine des
financirement le risque rsiduel. risques technologiques, un potentiel de danger correspond
un ensemble technique ncessaire au fonctionnement du proces-
sus envisag. Il est aussi appel source de danger ou lment
2.2 Notions de base porteur de danger ou lment dangereux... .
Exemple : un flacon contenant de la lessive de soude (systme)
2.2.1 Dfinition du danger et de ses corollaires constitue un potentiel de danger li la corrosivit de la substance
pour le corps humain.
Danger
Il existe plusieurs dfinitions de la notion de danger (hazard). La Phnomne dangereux
plus rcente mane du MEDD qui a publi, en octobre 2005, un La dfinition du phnomne dangereux retenue par le MEDD
Glossaire technique des risques technologiques [11] avec les est : ...libration dnergie ou de substance produisant des effets
termes suivants : au sens de larrt du 29 septembre 2005 susceptible dinfliger un
danger : proprit intrinsque une substance (lment ou dommage des cibles vivantes ou matrielles sans prjuger lexis-
compos chimique), un systme technique (mise sous pression tence de ces dernires... .
dun gaz), une disposition (lvation dune charge...), un orga-
nisme (microbes), etc., de nature entraner un dommage sur un Situation de danger
lment vulnrable ; La dfinition dune situation retenue par lINERIS est :
lment vulnrable : personne, bien et environnement. Un l- ...situation, si elle nest pas matrise, peut conduire lexpo-
ment vulnrable est aussi appel cible . sition de cibles un ou plusieurs phnomnes dangereux... .
La scurit des processus industriels dpend de linteraction, La modlisation dune installation industrielle peut requrir plu-
du contrle et de la matrise permanente de trois variables sieurs dizaines de PID. partir dun PID, il convient alors de le frac-
essentielles : le produit, le procd et le facteur humain. tionner en nuds dont on donnera la dfinition suivante pour
une installation : sous ensemble ou lment spcifique ralisant
une fonction dans le procd.
1.2 Dfinition du systme Exemple : un quipement (racteur, rservoir ou pompe) avec ses
connexions (tuyauteries) et son instrumentation ralise une fonction
1.2.1 Notion de systme (raction, stockage ou transfert).
La notion de systme fait lobjet de la dfinition suivante [1] : Le tableau 1 prsente une liste de seize quipements issus du
...ensemble de matriels, de logiciels, dhommes, organis pour projet europen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions donnes dans des conditions donnes... . nuds.
Le systme est constitu de lensemble du processus industriel, Dans un nud, le comportement fonctionnel du procd doit
de lacheminement des produits leur transformation, en passant tre clairement dfini, ce que la mthode HAZOP qualifie
par les conditions de stockage. d intention du procd et qui peut se dfinir simplement ainsi :
...description de la faon dont le procd doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nud... .
industriel), un quipement, sont parmi les systmes le plus souvent
considrs pour les tudes HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une dfini-
tion plus prcise en se rfrant au concepteur de linstallation :
...faon dont les lments et les caractristues doivent se
1.2.2 Primtre du systme comporter pour tre conformes aux dsirs du concepteur ou une
plage spcifie... .
La premire des actions engager dans une tude HAZOP est
de fixer le primtre du systme tudier. Les enjeux et les
moyens humains mettre en uvre sont diffrents selon que lon
sadresse un site, une installation, ou un quipement. Tableau 1 C lasses dquipements
selon le projet europen ARAMIS (daprs [18])
1.2.3 Modlisation du systme Classes
quipements
nuds
La deuxime action consiste modliser le systme. Une instal-
lation industrielle peut tre modlise comme un ensemble EQ1 Silo de stockage de solides
compos essentiellement de matriels (M1, M2...) et doprateurs
(O1, O2...) en interaction entre eux et avec lenvironnement comme EQ2 Stockage de solides en petits emballages
le prsente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matriels et oprateurs les lments suivants : EQ4 Rservoir sous pression
matriels : btiments, stockages, machines, appareils, quipe- EQ5 Rservoir de liquide stock une pression
ments ; suprieure la pression de saturation
oprateurs : tous les acteurs de linstallation, de la direction par inertage
aux excutants.
EQ6 Rservoir atmosphrique
EQ7 Rservoir cryognique
EQ8 quipement de transport sous pression
EQ9 quipement de transport atmosphrique
EQ10 Tuyauterie
EQ11 Rservoir intermdiaire intgr dans un procd
EQ12 quipement impliquant des ractions chimiques
EQ13 quipement ddi aux sparations physiques
et chimiques des substances
EQ14 quipement de production et de fourniture
dnergie
EQ15 quipement pour emballage
Figure 1 Exemple de modlisation dune installation industrielle EQ16 Autres quipements
La norme entend par caractristique une proprit quantitative Depuis, se sont ajouts quatre mots-cls relatifs aux notions de
ou qualitative dun lment . temps et de squence :
Lintention concerne aussi bien le design (quipement) que la plus tt que (earlier than) ;
conduite (exploitation) de linstallation. plus tard que (later than) ;
Lintention du procd peut tre une grandeur physique (T, P, avant (before) ;
dbit), ou une activit (phases de chargement dun ractif, distilla- aprs (later).
tion dun produit). Soit un total aujourdhui de onze mots-cls. La recherche
Le premier cas concerne plus particulirement les procds dautres mots-cls est ouverte limagination.
continus en fonctionnement normal o les paramtres sont fixs
par le procd et le second cas les procds discontinus ou 2.3 Dviations
semi-continus o les paramtres varient avec le temps et la
squence. On intgrera dans ce dernier cas ltude des phases 2.3.1 Dfinition
transitoires de dmarrages et darrts rencontres dans les proc-
ds continus. La combinaison de mots-cls et de paramtres va constituer une
drive, ou dviation, de ce paramtre :
Directeur de projet
1.1.2 Documents relatifs au procd Reprsentant du
Matre d'ouvrage
Le tableau 2 dtaille les thmes documenter, ainsi que la
Chef de projet
nature des documents collecter. Exploitant
(matre d'oeuvre)
- socit d'ingnierie Site d'accueil
- entrepreneurs Oprateurs
1.1.3 Documents relatifs aux oprations - spcialistes
Le tableau 3 dtaille les thmes documenter, ainsi que la Figure 1 Schma de lorganisation mettre en place pour mener
nature des documents collecter. un projet dindustrialisation
Tableau 1 Liste des documents collecter relatifs aux produits pour une tude HAZOP
Thmes documenter Documents collecter
Fiches produits* : proprits physiques, chimiques
Matires premires, intermdiaires, thermodynamiques, inflammabilit, ractivit, instabilit,
Caractristiques produits finis, sous-produits, impurets, toxicit, cotoxicit, modes de stockage, indices Dow et
des produits et utilits auxiliaires (solvants, catalyseurs), utilits, CHETAH, PEM, critres NFPA, traitement et destruction
dchets, rejets liquides et gazeux des produits, rglementation (ICPE, transport.).
Document unique
Caractristiques
Rejets, dchets chroniques et accidentels tudes dchets
des dchets
Fiches ractions : quations chimiques, chaleurs de raction
(exo ou endo-thermie), oprations (continues, discontinues,
semi-continues...), modes opratoires (tat physique, quantits,
flux, T, P, compositions...), cintique, risques associs
Caractristiques Ractions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des ractions parasites
matrise des ractions, mesures de prvention des pannes et
fausses manuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans lenvironnement
Fiches oprations : nature (distillation, filtration...), conditions
opratoires (tat physique, quantits, flux, T, P, compositions,
phases...), risques associs (explosion physique, rejet de
Caractristiques
Oprations de gnie chimique produit toxique...), mesures de prvention des pannes et des
des sparations physiques
fausses manuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans lenvironnement
Incompatibilits Matrice dincompatibilit : risques associs raction,
Produit-produit, produit-matriau,
des produits, utilits et explosion, incendie, polymrisation, corrosion, chauffement,
produit-utilit, produit-auxiliaire
matriaux dcomposition, prcipitation...
Bilan matires : flux par flux, prvisionnel et cohrent
Flux matires et flux Bilan matires
(par analyse de chacun des flux), bilan thermique par nud ou
thermiques Rejets dans lenvironnement
opration
* On se procurera auprs des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de donnes de scurit (ou FDS (MSDS))
jour et, auprs de lINRS, les fiches toxicologiques des produits (quand elles existent).
AMDE (C)
1. Introduction............................................................................................... SE 4 040 2
2. Sens et pertinence de lAMDE(C)......................................................... 2
2.1 Principe de lAMDE(C) ................................................................................. 2
2.2 Utilit de lAMDE(C) ..................................................................................... 2
2.3 Conditions de russite de lAMDE(C) ......................................................... 3
2.4 Place de lAMDE(C) dans une dmarche de matrise des risques ........... 3
3. Ralisation dune AMDE(C) ................................................................... 4
3.1 Prparation lAMDE(C).............................................................................. 4
3.2 Conduite de la mthode.............................................................................. 5
3.2.1 Premire tape : dcomposition et modes de dfaillance .............. 5
3.2.2 Deuxime tape : effets et criticit .................................................... 6
3.2.3 Le tableau AMDE(C) ........................................................................... 6
3.2.4 Troisime tape : synthse ................................................................ 7
4. Exploitations de lAMDE(C) ................................................................... 7
4.1 Produits directs dune AMDE(C)................................................................. 7
4.1.1 valuation des dfaillances................................................................ 7
4.1.2 Actions correctives ............................................................................. 7
4.1.3 Suivi des corrections .......................................................................... 8
4.1.4 Constitution dun dossier. Documents complmentaires du
tableau ................................................................................................. 8
4.2 Impacts de lAMDE(C).................................................................................. 8
4.2.1 Consquences tirer des rsultats dune AMDE(C) ........................ 8
4.2.2 Impacts sur la conception.................................................................. 9
4.2.3 Validation de la conception ............................................................... 9
4.2.4 Prescriptions dexploitation ............................................................... 9
4.2.5 Organisation de la maintenance ....................................................... 9
4.2.6 Exploitation, maintenance et retour dexprience........................... 9
4.2.7 Communication .................................................................................. 9
5. Recommandations sur le processus ................................................... 10
5.1 changes entre lanalyste, le commanditaire et les experts .................... 10
5.2 Lanimation du groupe de travail................................................................ 10
5.3 Pousser les limites de la mthode ............................................................. 11
5.4 Soigner la synthse ..................................................................................... 11
6. Limites de lAMDE(C) .............................................................................. 11
6.1 Rputation dexhaustivit de lAMDE ........................................................ 11
6.2 Domaines dapplication .............................................................................. 11
7. Conclusion ................................................................................................. 12
Pour en savoir plus........................................................................................... Doc. SE 4 040
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur SE 4 040 1
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 040 2 Techniques de lIngnieur
dvaluer globalement les risques auxquels les dfaillances produit , AMDEC processus ou AMDEC moyen et bien
des composants exposent ; dautres encore. Il importe surtout de bien simprgner de lesprit de
didentifier et de hirarchiser les faiblesses du systme ; la dmarche qui est exactement le mme.
de prvoir la maintenance corrective ncessaire ;
dvaluer lintrt de modifications de la conception ou de
maintenance prventive pour rduire ces risques ;
de prvoir des mesures dexploitation adaptes aux situations
2.3 Conditions de russite de lAMDE(C)
venir ;
de hirarchiser limportance des rgles dexploitation et de
LAMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont runies :
dintgrer dans une vision globale du systme les comptences
des diverses sciences et techniques sollicites par le systme en fai- il faut savoir dcomposer lensemble du systme tudi en
sant dialoguer les spcialistes de celles-ci. composants dun niveau de finesse tel que chaque composant on
sache associer tous les modes de dfaillance qui peuvent laffecter ;
LAMDE, applique un produit destin au grand public, incluant
comme composant lutilisateur et lui associant comme modes il faut connatre les fonctionnements du systme pour pouvoir
de dfaillance les mauvais usages, erreurs ou manques de soin dcrire ce qui se passe quand apparat un mode de dfaillance dun
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chane de la cause vers les consquences.
dimaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, lAMDE(C) va se drouler au mieux et pro-
il sexpose du fait des dfaillances, intrinsques ou induites par son duire les rsultats attendus !
action, de lappareil. Sur cette base, lentreprise, qui commercialise
le produit, peut ajouter une dimension criticit ces vnements Il faut combattre avec fermet lillusion assez rpandue que, en
(responsabilit du constructeur du fait du produit en cas daccident, prsence dun systme mal connu ou qui nous apparat comme une
perte de clientle, perte dimage, cot daprs-vente) et valuer bote noire , une AMDE(C) serait bienvenue pour se couvrir. Une
lintrt de mesures de rduction de risque (avertissements sur la AMDE(C) sur un systme dont on ne connat pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de dtrom- ments est un leurre. Si laura de la mthode donne de lassurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, cest de la tromperie. Comme toute
retrait du march). mthode, lAMDE(C) exploite de linformation, elle nen cre pas
partir de rien.
LAMDEC, applique une chane de production, permet de hi-
rarchiser et de valoriser les consquences des dfaillances des
pices composant la chane et, en consquence, dvaluer lintrt :
des stocks de pices de rechange ; 2.4 Place de lAMDE(C)
de modifications de la chane pour rduire les temps de rem- dans une dmarche de matrise
placement de certaines pices ; des risques
de renforcer ou dallger la maintenance prventive sur telle
ou telle pice ;
de choisir tels ou tels points de contrle pour garantir la qualit Si on fait le bilan des expriences russies ici et l, on trouvera
du produit fini de faon optimale ; lAMDE(C) pratiquement tous les stades du cycle de vie dun
de payer plus cher des pices plus fiables ; systme. Toutefois, on peut souligner le caractre peu prs
de doubler tout ou partie de la chane ; incontournable de lAMDE(C) la fin de la conception, la charnire
de privilgier une srie ou un fournisseur pour telle ou telle avec la ralisation ou lexploitation et la maintenance. En effet,
pice quand le systme est dcrit de faon prcise, les composants choi-
sis, lAMDE(C) sapplique merveille pour complter la
LAMDE applique lalimentation lectrique dun important
connaissance des fonctionnements (fonctionnements souhaits
domaine, a permis didentifier toutes les dfaillances lmentaires
dcrits par la conception) avec les fonctionnements non souhaits,
susceptibles de provoquer des consquences sensibles sur lalimen-
mais invitables du fait quaucun composant nest infaillible. Il faut
tation dun tablissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut rsulter des dfaillances des
cune de ces dfaillances pour sassurer que des prcautions taient
composants choisis. ce stade, les spcialits diverses sollicites
prises pour que une ou deux dfaillances simultanes naient pas de par la conception ont d runir leurs apports et cest une caractris-
consquences dommageables. Le caractre systmatique de tique intressante de lAMDE(C) de runir et faire dialoguer les
lAMDE a permis didentifier quelques cas qui ntaient pas bien cou-
connaissances (modes de dfaillance et comportements des divers
verts et de renforcer les prcautions.
lments du systme) de toutes les spcialits.
Du seul point de vue dun fabricant, lAMDEC sapplique plu-
Exemple : quelle dfaillance peut affecter lalimentation lectrique
sieurs systmes . Elle sapplique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
rsultats vont alors permettre damliorer la conception de ce pro-
fluide qui se traduit comment sur la temprature qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits lectroniques qui produit quel rsultat sur le traitement des
client. Elle sapplique aussi au processus de fabrication du produit.
donnes, etc.
Ses rsultats permettent damliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des ce stade, lAMDE(C) permet de sassurer que les consquences
dlais, conformit de la fabrication) et matriser les risques de la des dfaillances internes au systme sont compatibles avec les
production (rebuts, pertes de production). Enfin lchelle inf- objectifs ou de reprendre la conception pour y remdier.
rieure, elle sapplique chacun des moyens de production. Ses
rsultats vont influer sur les exigences lgard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de rduire les impacts ngatifs (autorisons-nous ce nologisme pour dsigner les quipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description raliste du systme tel
tudes diffrentes, mais dont les enjeux et les rsultats ne sont pas que les concepteurs lont tudi. Non seulement ce quon en attend
totalement indpendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spcifications techniques de
entre les quipes menant ces analyses. On emploie couramment besoins) mais aussi ce quon a accept de ngatif dcrit et valu
des termes diffrents pour dsigner ces analyses comme AMDEC dans lAMDE(C).
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur SE 4 040 3
Toutefois, on pratique aussi souvent lAMDE(C) sur un systme dpendent trs lourdement des dysfonctionnements des moyens de
ancien ou achet sur tagre pour anticiper les pannes et optimiser production ; cest pourquoi lAMDE(C) est trs utilise avec grand
les ractions ces pannes (maintenance mais pas seulement). On bnfice sur les moyens de production.
trouve aussi lAMDE(C) comme un moyen dans une dmarche dAPR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse prliminaire de risques), cf. [SE 4 010] Analyse prliminaire
de risques. LAPR ayant globalement comme objectif didentifier les En prsence dun systme complexe qui passe par diverses
risques ncessitant une dmarche spcifique et de proposer une phases ou diverses configurations lAMDE(C) unique qui couvre
dmarche de maintien de ces risques un niveau acceptable, une tous les cas devient pratiquement trs difficile raliser, encore plus
AMDE(C) sur une partie du systme est la dmarche adquate si les difficile exploiter et le risque dtre gravement incomplte est trs
dfaillances des composants du systme sont susceptibles dtre lev : au moment de lanalyse, il est fort craindre que les diverses
lorigine de risques importants. Ces deux exemples illustrent le fait configurations naient pas t rellement envisages. Il est plus
quon peut trouver utilit lAMDE(C) aussi bien trs en amont que sage de raliser plusieurs AMDE(C) par phase ou par configuration,
trs en aval dun cycle de vie. quitte sinterroger sur la ncessit de les tudier toutes par une
AMDE(C).
Enfin, on doit mme souligner lintrt de dmarrer une AMDE(C)
trs tt dans le dveloppement dun nouveau produit ou service : Le critre de sagesse est dviter que, au moment de rpondre
avant mme de savoir prcisment comment une fonction sera ra- la question quels sont les effets de tel mode de dfaillance ? , la
lise, donc avant de connatre vraiment les composants et leurs rponse pertinente commence par a dpend de .
modes de dfaillance, on peut mettre des hypothses et imaginer
les consquences des dfaillances envisages. Cette dmarche a
trs souvent permis damliorer considrablement la compltude
des spcifications. En effet, sil est naturel dexprimer ce quon
attend dun nouveau systme, il nest ni naturel ni facile dexprimer
3. Ralisation dune AMDE(C)
ce quon ne veut pas quil fasse. Une AMDE(C) fonde sur des hypo-
thses de conception et de dfaillances est trs efficace pour tendre
la compltude des spcifications. 3.1 Prparation lAMDE(C)
Ainsi, en prsence dun systme complexe, lAMDE(C) revient
gnralement plusieurs fois dans le cycle dtude du systme. Cha-
que projet doit dterminer les revues (articulations entre phases du La mthode sinscrit dans un cycle dactivits. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du lAMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait ncessaire. Les normes ayant essay de donner des cri- avoir t ralise. Lanalyse fonctionnelle externe du systme dcrit
tres gnraux identifient trois niveaux de dcomposition pour un ce quon attend de lui. Cette description est essentielle pour donner
systme important et trois sujets dAMDE(C) : du sens lanalyse des dysfonctionnements. Il sagit de savoir si les
fonctionnements identifis sont conformes ces exigences, emp-
le niveau systme ;
chent la ralisation dune fonction exige, dgradent laccomplisse-
le niveau sous-systme ; ment dune fonction ou encore sils produisent un rsultat
le niveau composants ; indiffrent par rapport au cahier des charges, mais dont on devra
lAMDE(C) fonctionnelle ; sassurer quil ne prsente pas un danger.
lAMDE(C) produit ;
Lanalyse fonctionnelle interne dcrit comment les fonctions exi-
lAMDE(C) processus. ges par le cahier des charges pour le client sont ralises travers
Pourquoi plusieurs niveaux : des fonctions dcrites aux spcifications techniques de besoin en
dune part pour pouvoir dcouper en parties matriellement tant que fonctions accomplir, performances associes ces fonc-
ralisables et lisibles lAMDE(C) qui, ralise dun seul morceau tions, conditions dans lesquelles ces fonctions sont rputes exigi-
pour un systme aussi complexe quun avion moderne ou une cen- bles, contraintes respecter. Cette analyse fonctionnelle interne
trale dnergie, serait un monstre. Un monstre trop difficile exploi- dcrit, au niveau fonctionnel, comment le systme fonctionne
ter et un monstre inutile, car les consquences mises en vidence quand il fonctionne bien , elle est donc ncessaire pour valuer
par une analyse la fois globale et exhaustive seront de niveau de les effets des modes de dfaillance identifis.
criticit trs diffrents. Il vaut bien mieux rserver la mthode ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, chaque tape, est de premier ordre, en vaut la peine ; grands projets mens selon les rfrentiels qui les exigent. Dans de
dautre part, pour tirer des conclusions qui peuvent ltre des nombreux cas, elles sont implicites ou incompltes. Il importe pour
stades intermdiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systmes ( un stade o on ne sait peut-tre pas encore tions. Le droulement de lAMDE(C) peut sembler parfait sans tre
quels composants on les devra et si on saura intervenir sur leur pass par cette tape dans la mesure o les participants partagent
propagation) et raliser limportance de leurs consquences permet une vision commune du systme. Le droulement sans heurt de
damliorer larchitecture pour sen protger plutt que se trouver lanalyse peut masquer des divergences de conception sur ce qui
plus tard confront lalternative : soit remettre en cause larchitec- est attendu du systme, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrire, soit tre contraint dliminer les cau- ponsable de lanalyse, faute de rfrence, ne peut sassurer davoir
ses de ces dysfonctionnements ce qui peut se rvler impossible ou bien couvert les exigences du systme et des exigences importantes
trs coteux. (tellement dailleurs quelles sont implicites pour tout le monde)
auront t oublies. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banaliss par les exploitants parce que, en
LAMDE(C) sapplique aussi bien une dcomposition fonction- labsence de malchance, ils permettent quand mme de produire,
nelle ( condition de disposer dune dcomposition en fonctions l- seront traits comme des fonctionnements nominaux au lieu dtre
mentaires dont on connat les checs possibles) qu une traits comme des situations au moins de fragilit. Labsence
dcomposition matrielle. Une bonne AMDE(C) fonctionnelle, dexplicitation des exigences fonctionnelles externes et internes
quand elle est possible, prpare trs utilement et permet de cibler la rend lexploitation de lAMDE(C) trs prilleuse et potentiellement
ou les AMDE(C) matrielles. trompeuse.
LAMDE(C) sapplique aussi bien au produit ou service produire La validation des analyses fonctionnelles existantes ou la ralisa-
quaux moyens de le produire. La production dun produit ou ser- tion danalyses fonctionnelles est une tape dinitialisation nces-
vice conforme aux engagements pris et le cot de cette production saire pour aborder lAMDE(C). Elle devrait impliquer tous les futurs
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 040 4 Techniques de lIngnieur
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques S E 4 0 5 0 1
Il ne faut donc pas prendre ces trois mthodes pour des variantes dune mme
mthode ou pour trois faons de conduire le mme raisonnement mais bien
pour trois mthodes diffrentes.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 050 2 Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques
Larbre des causes part dun vnement qui sest produit et orga- sent pas laccident sont identies, larbre dvnement est
nise lensemble des vnements ou conditions qui se sont combi- recommand pour valuer lefcacit du systme et les progrs les
ns pour le produire. Il repose sur un raisonnement dans le mme plus intressants.
sens que larbre de dfaillance mais ne dcrit quun scnario. Sa Un arbre est souvent un moyen satisfaisant de prsenter
reprsentation est illustre titre dexemple gure 1 b. synthtiquement les rsultats des tudes montrant les relations
On construit un arbre des causes dans une dmarche de retour entre causes et consquences (qualitativement-logiquement mais
dexprience, ou, de faon isole, pour apprendre le maximum dun aussi quantitativement), tudes qui ont pu solliciter bien dautres
accident. Larbre des causes est trs utilis pour dcrire le scnario mthodes (AMDE(C), graphes dtat, simulations de Monte-Carlo...)
dun incident ou accident, pour soutenir la dmarche danalyse de (cf. article [AG 4 670]).
laccident. Des logiciels sont galement disponibles pour guider et En prsence dun systme o de nombreux vnements initia-
raliser la mise en forme dun arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La dmarche de ralisation dun arbre des causes consiste tions humaines importantes donc possibilits derreurs, agressions
rpondre la question : quels faits ont jou un rle dans la surve- environnementales, etc.) mais pour lequel la proccupation porte
nue de cet accident et en se combinant de quelle faon ? sur la survenue ou non, du fait de tous ces incidents dun ou deux
vnements redouts du niveau du systme entier, larbre de
Larbre dvnement part dun vnement et dcrit les diffrentes dfaillance (ou les arbres de dfaillance) simpose(nt).
consquences quil peut avoir en fonction des conditions dans les-
quelles il sest produit et des vnements avec lesquels il se com- En prsence dun systme o la proccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres prcdents : ou trois vnements redouts (panne dun composant critique,
de la cause vers les consquences (do sa reprsentation donne erreur typique...) naient pas de consquences graves malgr la
titre dexemple gure 1 c). Comme larbre de dfaillance, il vise varit des scnarios dans lesquels ils peuvent intervenir, larbre
reprsenter lensemble des possibles, ici, des consquences possi- dvnement (les arbres dvnement) simpose(nt).
bles de lvnement tudi. Bien entendu, ces mthodes peuvent se complter. Les appro-
On construit et on utilise un arbre dvnement dans une dmar- ches inverses de larbre dvnement et de larbre de dfaillance
che dvaluation a priori. Le point de dpart est un incident, une peuvent tre utilises conjointement au mme niveau, ce quon
dfaillance, une erreur, une agression... dont on veut valuer les peut ne pas voir ou ngliger dans lune pouvant apparatre dans
consquences possibles qui dpendent dun certain nombre lautre. Elles peuvent aussi se complter des niveaux diffrents,
dautres facteurs. Si on connat les probabilits associes ces fac- lune servant valuer en entrant dans le dtail ce qui est un l-
teurs on peut calculer en sappuyant sur larbre dvnement la pro- ment de lautre.
babilit associe chacune des consquences possibles de
lincident initial. Exemple : la probabilit de succs dun dispositif utiliser dans un
arbre dvnement peut rsulter dun arbre de dfaillance dvelopp
pour lchec de ce dispositif.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques SE 4 050 3
L objectif quantitatif est dvaluer la vraisemblance de la dnition requiert les mmes prcisions : dfinition de la fonction et
survenue de lvnement tudi partir des combinaisons dvne- des conditions prendre en compte.
ments lmentaires qui peuvent le produire. Si on connat les pro-
babilits de ces vnements on peut en dduire la probabilit de
Le responsable de ltude doit sassurer que :
lvnement tudi et limpact sur celle-ci dune rduction (ou aug-
lvnement tudi est bien celui qui convient eu gard la
mentation) de telle ou telle des probabilits lmentaires.
dmarche dans laquelle sinscrit la construction de larbre ;
les conditions extrieures ou les agressions prendre en
dfaut dune quantication par probabilits, larbre permet
compte (et celles ne pas envisager) sont cohrentes avec les
dapprcier le nombre de scnarios conduisant lvnement tu- objectifs de ltude ;
di, le nombre minimum dvnements ou de conditions sufsant les participants lanalyse et les futurs utilisateurs de
pour quil arrive, etc. larbre ou des conclusions qui en seront tires partagent la
mme dfinition de lvnement tudi.
Il importe donc de dnir lvnement tudi de faon explicite et 2.2.2 vnements intermdiaires
prcise.
Lvnement tudi tant dni, ltape suivante est de le dcrire
Exemple : les vnements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
quivalents : ou plusieurs vnements plus rduits.
collision de deux trains ;
collision impliquant un train ; Exemple : une dfaillance dclairage peut rsulter de la dfaillance
collision impliquant une circulation ferroviaire ; de lampoule ou de la dfaillance de lalimentation ou de la dfaillance
collision impliquant un train due une dfaillance du systme du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparatre des vnements moins globaux que
dommages une circulation ferroviaire ou des passagers ou du lvnement-sommet que lon appellera vnements intermdiaires
personnel de bord ou au chargement, dus une collision... (si ils sont eux-mmes appels tre dcrits en combinaison dv-
On peut croiser de toutes les faons chacune des prcisions ou res- nements plus dtaills) et un connecteur logique qui les relie lv-
trictions qui figurent dans ces exemples (et bien dautres) et chacun nement-sommet.
des vnements produits sera diffrent des autres (certains plus gn-
raux en incluant dautres).
Les consquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou dimprudence de tiers sont ou ne sont pas pris en
compte ; laccident de tiers percut par un train la traverse des voies Les deux connecteurs logiques de base sont ET et OU (gure 2).
(sans dommage au train) est ou nest pas inclus dans cette analyse-l, Toutes les combinaisons logiques sexpriment avec ces deux
etc. connecteurs (et la ngation logique qui exprime le contraire de
lvnement quelle affecte), mais il peut tre pratique dutiliser
Pour bien comprendre les enjeux de cette dnition de lvne- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallle avec les dnitions de la abilit (disponi- Exemple : si un systme tombe en panne si deux sur trois des
bilit, maintenabilit, scurit...) (cf. article [AG 4 670]). Les quipements A, B, C tombent en panne, il est pratique de reprsenter
dnitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur 2/3 , mais cest quivalent
formules comme accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions donnes . Un vnement tudier est gnralement un De mme A OU exclusif B est quivalent [A ET (non B)] OU [(non A)
chec (non accomplissement dune fonction) ou une agression. Sa ET B] (cf. figure 3 b).
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 050 4 Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques
2.2.5 Conditions
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait CD-ROM Scurit et gestion des risques SE 4 050 5
5
Depuis une trentaine dannes, la succession daccidents signifi-
catifs en termes de dommages matriels et humains, majoritaire-
Gravit croissante
ment lis lexpansion de lactivit industrielle, vient mettre en 4
lumire la question primordiale de la scurit.
Risque ALARP
2. Notion dacceptabilit
du risque Risque jug acceptable
Il est noter que le nombre de niveaux de probabilit et de gra- 2.1.2 Matrice de criticit rglementaire en France
vit, constituant une matrice de criticit, na rien duniversel. Nan-
moins les matrices de criticit, dites 5 5, cest--dire composes Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilit et de 5 niveaux de gravit, sont cou- laire du 10 mai 2010), relative aux critres dapprciation de la
ramment utilises. dmarche de matrise des risques daccidents susceptibles de sur-
venir dans les tablissements dits Seveso , viss par larrt du
La figure 1 prsente un exemple de matrice de criticit. Le 10 mai 2000 modifi, il nexistait pas de matrice de criticit rgle-
dcoupage entre les diffrentes catgories de risque est unique- mentaire. Les matrices utilises taient soit celles proposes par
ment donn titre indicatif. les industriels eux-mmes, soit celles ralises par des socits
expertes dans lvaluation des risques. Dans un souci dhomog- (/an). Lunit de temps associe la notion de probabilit confirme
nit, le ministre de lEnvironnement (MEDAD lpoque) a donc que les notions de frquence et de probabilit sont bien souvent
propos une matrice de criticit 5 5 (grille dapprciation des ris- confondues.
ques), telle que prsente en figure 2. Elle se subdivise en La frquence est une grandeur observe issue dune exploitation
25 cases, correspondant des couples probabilit/gravit des con- dun retour dexprience. Elle sexprime gnralement en unit de
squences identiques ceux du modle figurant lannexe V de temps1 ou opration1.
larrt du 10 mai 2000 modifi, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur tude Dans le cas o le temps est le critre dobservation, la frquence
de dangers. Cette matrice dlimite trois zones de risque est dfinie par le quotient entre le nombre dvnements observs
accidentel : sur la priode dobservation et ce temps dobservation. Lorsque la
priode dobservation est exprime en annes, les frquences sont
risque lev, figur par le mot non ; alors donnes en unit an1.
risque intermdiaire, figur par le sigle MMR (mesures de
matrise des risques), dans laquelle une dmarche damlioration La probabilit doccurrence dun accident est assimile sa fr-
continue est particulirement pertinente, en vue datteindre, dans quence doccurrence future estime sur linstallation considre.
des conditions conomiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de ltat des connaissances,
des pratiques et de la vulnrabilit de lenvironnement de En France, les accidents potentiels ou les phnomnes dan-
linstallation ; gereux identifis dans les tudes de dangers sont tudis sur
risque moindre, qui ne comporte ni non ni MMR . un intervalle temporel donn. La priode de temps retenue
La gradation des cases non ou MMR en rangs , corres- dans le cadre rglementaire est celle rappele dans lchelle de
pond un risque croissant, depuis le rang 1 jusquau rang 4 pour probabilit de larrt PCIG, savoir lanne. LINERIS a donc
les cases non , et depuis le rang 1 jusquau rang 2 pour les introduit la notion de probabilit doccurrence annuelle (POA).
cases MMR . Cette gradation correspond la priorit que lon
peut accorder la rduction des risques, en sattachant dabord
rduire les risques les plus importants (rangs les plus levs). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilit et de gravit retenus pour constituer suivante :
cette matrice sont respectivement prsents dans les tableaux 1 frquence doccurrence pour les vnements redouts (ER) ;
et 2. probabilit doccurrence pour les vnements redouts secon-
Concernant lchelle rapporte dans le tableau 1, on peut noter daires (ERS) et pour les phnomnes dangereux (PhD).
quil est fait mention de la notion de probabilit doccurrence et Nanmoins, en toute rigueur, le produit entre une frquence et
que les donnes quantitatives sont exprimes en unit de temps1. une probabilit donne une frquence.
Non partiel
(sites nouveaux : (2))
Dsastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))
Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3
Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2
(1) Probabilit et gravit des consquences sont values conformment larrt ministriel relatif lvaluation et
la prise en compte de la probabilit doccurrence, de la cintique, de lintensit des effets, et de la gravit des
consquences des accidents potentiels dans les tudes de dangers des installations classes soumises autorisation.
(2) Lexploitant doit mettre en uvre des mesures techniques complmentaires permettant de conserver le niveau
de probabilit E en cas de dfaillance de lune des mesures de matrise du risque.
(3) Sil sagit dune demande dautorisation AS , il faut galement vrifier le critre C du 3 de lannexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critres dapprciation de la matrise du risque
accidentel considerer sont ceux de larrt ministriel rglementant ce type dinstallations.
Figure 2 Matrice de criticit rapporte dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)
vnement
vnement possi- improbable : un
ble mais extrme- vnement similaire vnement
vnement trs
Qualitative ment peu dj rencontr dans courant : se produit
improbable : sest
(les dfinitions entre probable : nest pas le secteur dactivit vnement proba- sur le site considr
dj produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site : sest et/ou peut se pro-
secteur dactivit,
valables que si le connaissances dorganisation au produit et/ou peut se duire plusieurs
mais a fait lobjet de
nombre dinstalla- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontr, au niveau que les ventuelles dure de vie des dure de vie des ins-
rduisant significati-
dexprience sont mondial, sur un trs corrections interve- installations tallations, malgr
vement sa probabi-
suffisants) grand nombre nues depuis appor- dventuelles mesu-
lit
dannes dinstalla- tent une garantie de res correctives
tions rduction significa-
tive de sa probabilit
Semi-quantitative Cette chelle est intermdiaire entre les chelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de matrise des risques mises en place
Quantitative
j 105 105 104 104 103 103 102 h 102
(par unit et par an)
Ces dfinitions sont conventionnelles et servent dordre de grandeur la probabilit moyenne doccurrences, observable sur un grand nombre dinstallations
pendant x annes. Elles sont inappropries pour qualifier des vnements trs rares dans des installations peu nombreuses ou faisant lobjet de modifications
techniques ou organisationnelles. En outre, elles ne prjugent pas de lattribution dune classe de probabilit pour un vnement dans une installation particu-
lire, qui dcoule de lanalyse de risque et peut tre diffrent de lordre de grandeur moyen, afin de tenir compte du contexte particulier, de lhistorique des
installations, ou de leur mode de gestion.
Un retour dexprience mesur en nombre dannes x installations est dit suffisant , sil est statistiquement reprsentatif de la frquence
du phnomne (et pas seulement des vnements ayant rellement conduit des dommages) tudi dans le contexte de linstallation
considre, condition que cette dernire soit semblable aux installations composant lchantillon sur lequel ont t observes les don-
nes de retour dexprience. Si le retour dexprience est limit, les dtails (figurant en italique) ne sont, en gnral, pas reprsentatifs de
la probabilit relle. Lvaluation de la probabilit doit tre effectue par dautres moyens (tudes, expertises, essais) que le seul examen
du retour dexprience.
Pouvoir positionner des situations dangereuses dans une de causes, ncessite de recourir des mthodologies qui permet-
matrice de criticit suppose quil soit possible dvaluer la probabi- tent une analyse exhaustive :
lit doccurrence et la gravit dun vnement, de sorte que se des combinaisons de causes pouvant aboutir la ralisation
tromper de zone de risque est exclu. Or, les vnements les plus de tels accidents ;
graves sont aussi gnralement les plus rares, laccidentologie
rvle ainsi que ces accidents sont souvent la consquence de des consquences en cas de survenue de tels accidents.
combinaisons de plusieurs vnements. On parle alors de
squence accidentelle . Cest donc lors de ltape dvaluation de la probabilit doccur-
rence des vnements redouts et de leurs consquences quil est
valuer la probabilit doccurrence daccidents complexes , primordial de disposer dune mthode robuste pour estimer au
cest--dire dont lorigine peut tre de nombreuses combinaisons plus juste ces valeurs.
3. Prsentation de la mthode Le point central du nud papillon est constitu par un vne-
ment redout qui peut tre par exemple une perte de confinement.
La partie en amont de lvnement redout est constitue par un
3.1 Principe arbre de dfaillances qui permet danalyser les combinaisons de
causes, et de valoriser les barrires de prvention mises en place
Le concept du nud papillon a t introduit par la compagnie pour prvenir lapparition de lvnement redout. La partie en
ICI (Imperial Chemical Industries ). Aprs laccident survenu sur la aval est, quant elle, constitue par un arbre dvnements qui
plate-forme ptrolire Piper Alfa, la compagnie Royal Dutch/Shell a permet de diffrencier les consquences en fonction du fonction-
dvelopp cette technique danalyse au dbut des annes 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin damliorer la scurit sur de telles installations. Lutilisation que, prsent en figure 3, prsente la structure dun nud
de la mthode du nud papillon tend aujourdhui se dmocra- papillon. Le tableau 3 dtaille les dfinitions associes chacun
tiser et son application au secteur de lindustrie est de plus en plus des vnements figurant sur le modle du nud papillon de la
rpandue. Le programme de recherche europen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur lvaluation des risques
dans le contexte de lapplication de la directive Seveso II met en En France, diffrents groupes de travail nationaux ont tra-
avant les avantages de cette mthode. Pour rappel, ce programme vaill sur la ralisation de nuds papillons gnriques . Sil
avait pour but : est possible de sen inspirer, il est indispensable de les adapter
au cas tudi en prenant en compte les spcificits du site.
le dveloppement dune mthodologie plus prcise et harmo-
nise danalyse de risque pour les tudes de dangers (ou safety
reports ), dans le contexte de lapplication de la directive En fonction de la nature de lvnement redout, les vne-
Seveso II ; ments de base peuvent tre dits indsirables . Citons, par exem-
ple, un choc mcanique sur une canalisation pouvant aboutir
lidentification et la qualification des principaux phnomnes
lvnement redout : brche sur canalisation , ou bien la
accidentels majeurs (apprciation de la probabilit et de la gravit
combinaison entre un vnement courant et une dfaillance, tel
des effets physiques en utilisant, par exemple, la reprsentation
que le montage dun bras de dpotage et labsence de contrle de
sous forme de nud papillon) ;
bonne tanchit pouvant aboutir lvnement redout
lvaluation de la performance des fonctions et lments de mauvaise tanchit au niveau dun bras de dpotage , en cas
scurit lis la prvention des phnomnes accidentels ; de montage dfectueux.
lidentification de la vulnrabilit de lenvironnement des sites.
Le principal intrt du nud papillon est quil permet de visua-
liser lensemble des chemins conduisant des vnements de base
jusqu lapparition des phnomnes dangereux. Chaque chemin
Le fondement de la mthode du nud papillon est rela-
dcrit un scnario daccident. Un scnario daccident est dfini
tivement simple. Elle propose pour un mme vnement
comme un enchanement dvnements aboutissant un vne-
redout de runir un arbre de dfaillances pour expliciter les ment redout, conduisant lui-mme des consquences lourdes
causes et un arbre dvnements pour expliciter les
ou effets majeurs. Cette notion est prsente dans les articles rela-
consquences.
tifs la mthode MOSAR [SE 4 060] [SE 4 061].
Diffrenciation des
Valorisation des barrires phnomnes dangereux
de mitigation
PhD 1
EB1 ERS 1
EI1
PhD 2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
vnement redout Consquence directe de lvnement Formation dune nappe dhydrocarbure, fuite de gaz
ERS
secondaire redout toxique, sur une dure de 10 min, etc.
MOSAR
Prsentation de la mthode
par Pierre PERILHON
Ingnieur de lcole nationale suprieure des arts et mtiers (ENSAM)
Ancien responsable de scurit-sret au Commissariat lnergie atomique (CEA)
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 060 1
MOSAR ______________________________________________________________________________________________________________________________
Cet article constitue la premire partie dune srie consacre la mthode MOSAR :
MOSAR - Prsentation de la mthode [SE 4 060] ;
MOSAR - Cas industriel [SE 4 061].
Terminologie
Problmatique Une certaine faon de poser un ou des problmes propres une notion
ou un domaine de connaissance.
Mthodologie Rflexion qui a pour objet dexaminer la nature, la valeur et le choix des
matriaux avec lesquels nous pouvons construire notre connaissance
en vue de dterminer quels usages ils sont propres ou impropres.
Mthode Programme rglant davance une suite doprations accomplir et
signalant certains errements viter, en vue datteindre un rsultat
dtermin.
Outils Procds techniques de calcul ou dexprimentation utiliss pour le
dveloppement dune mthode.
Analyse de risques Toute dmarche structure permettant didentifier, valuer, matriser,
manager et grer des risques et notamment les risques industriels.
O4
M2
1.1 Problmatique
O3
Une installation industrielle peut tre modlise comme un sys-
tme ouvert sur son environnement, et compos essentiellement de M3
O2
matriels (M1 , M2 , M3 ...) et doprateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec lenvironnement (figure 1).
Les matriels (machines, stockages, appareils, btiments...)
peuvent :
Figure 1 Modlisation dune installation industrielle
interagir de manire squentielle (squences linaires, paral-
lles ou en rseaux) lorsquils constituent des chanes de fabrica-
tion ; Analyser les risques dune installation va consister essentiel-
ou tre isols. lement identifier les dysfonctionnements de nature technique et
Les oprateurs sont tous les acteurs de linstallation depuis le opratoire (oprationnelle, relationnelle, organisationnelle) dont
responsable jusqu lexcutant. Ils peuvent tre aussi isols ou en lenchanement peut conduire des vnements non souhaits par
relation travers des hirarchies linaires ou parallles, des groupes rapport des cibles (individus, populations, cosystmes, systmes
en rseau ou des structures diverses. matriels ou symboliques).
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 060 2 Techniques de lIngnieur, trait Scurit et gestion des risques
______________________________________________________________________________________________________________________________ MOSAR
Ces dysfonctionnements proviennent des matriels, de leurs de faciliter la communication avec le public ;
liaisons et de leur proximit, ainsi que des oprateurs, de leurs indispensable pour la construction des Plans dIntervention : le
liaisons entre eux et avec les matriels. Plan dOpration Interne (POI) qui gre lorganisation des secours en
Il est possible dimaginer analyser les risques dune installation cas daccident lintrieur du primtre de linstallation, sous la
un instant donn, par exemple t 1 ou t 2 . On dira alors que lon a responsabilit du directeur de cette dernire ; le Plan Particulier
travaill dans une coupe synchronique de linstallation. Mais entre dIntervention (PPI) qui gre lorganisation des secours lextrieur
les instants t 1 et t 2 , linstallation a volu (diachronie). Il est donc du primtre de linstallation, si les consquences de laccident fran-
impossible de faire lanalyse des risques dune installation dans sa chissent ce primtre, sous lautorit du Prfet.
diachronie. Tout au plus pourra-t-on la pratiquer certains moments
discrets de cette dernire, que nous allons identifier, et lon pourra
ventuellement mettre en vidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte dune analyse de risques peut tre dfini par deux
Ces moments de vie dune installation ou phases de vie sont les situations principales :
suivants :
on sintresse un objet technique, par exemple un avion, un
conception (CO). Cest le travail de bureau dtudes qui dfinit vhicule, une machine ;
un cahier des charges, un dossier dappel doffre, un descriptif, un on sintresse un milieu plus complexe, par exemple un
dossier de ralisation. Il est videmment trs intressant danalyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intgrer leur matrise ds le cole, urbaine... Ce milieu comportera bien sr des objets comme des
dpart et cela est moins coteux que de modifier par la suite linstal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de scurit ; de manutention..., mais il y aura beaucoup de relations entre ces
montage (MO). Cest la phase de ralisation qui correspond au objets et avec leur environnement.
chantier avec des risques trs spcifiques notamment de manu-
tention ; Les mthodes et outils mis en uvre pour lanalyse de risques ne
essais (ES) ou recette. Cest la phase qui permet de faire les seront pas les mmes dans chacun des deux cas :
vrifications de conformit par rapport au cahier des charges. Elle dans le premier cas ce sont plutt les outils classiques de la
est souvent lobjet de risques spcifiques car les lments de lins- Sret de fonctionnement qui seront utiliss (consulter ce propos
tallation peuvent tre tests jusqu leurs performances maximales les articles Analyse prliminaire des risques [SE 4 010] et Arbres
voire au-del ; de dfaillance, des causes et dvnement [SE 4 050] et la rf-
exploitation. Cette phase correspond aux priodes de mise en rence [4]) ;
uvre de linstallation. On peut la diviser en : dans le deuxime cas, ces outils seuls ne permettront quune
fonctionnement normal (on la symbolisera par EX) : linstalla- analyse parcellaire, notamment des objets de linstallation, et il
tion fonctionne dans le cadre de ses caractristiques nomina- sera ncessaire de disposer de mthodes, cest--dire de dmar-
les. Elle peut alors gnrer des nuisances et tre la source ches compltes incluant bien sr les outils, mais capables den
daccidents, organiser la mise en uvre.
maintenance qui comprend : Les outils disponibles peuvent tre classs en deux catgories :
lentretien (EN), prventif ou curatif, des outils semi-empiriques comme lAPR (Analyse Prliminaire
le dpannage (DE), des Risques) qui a donn lieu au dveloppement de grilles issues du
arrt (AR). Linstallation peut prsenter des dangers spci- retour dexprience, lAMDE (Analyse des modes de dfaillance et de
fiques larrt ; leurs effets) et lAMDEC (bien que normalis il reste dans cette cat-
transformation. Cette phase concerne les transformations gorie), HAZOP, lAnalyse Fonctionnelle ;
gnrant des risques spcifiques lis aux chantiers ncessaires des outils logiques comme les arbres logiques (arbre de
pour les raliser ou linstallation transforme ; dfaillances, arbres causes consquences ou arbres dvnement) et
dmantlement (DEM) ou dconstruction. Cette phase cor- des outils de type rseaux comme les chanes de Markov (cf. article
respond aussi une phase de chantier trs spcifique. Relations entre probabilits et quations aux drives partielles
[A 565] dans le trait Sciences fondamentales) ou les rseaux de Ptri
Il est donc ncessaire de prciser la phase de vie de linstallation
(cf. articles Rseaux de Petri [R 7 252] dans le trait Mesures et
dans laquelle lanalyse est ralise. Il est aussi possible de se situer
Contrle, Applications des rseaux de Petri [S 7 254] dans le trait
dans une phase et de faire apparatre les risques principaux des
Informatique industrielle et la Sret de fonctionnement : mthodes
autres phases.
pour matriser les risques [AG 4 670] 5.5 dans le trait LEntreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systmique consiste par exemple prvoir et notamment en matire de probabilit.
matriser les risques apparaissant dans les autres phases ds la La mise en uvre de ces outils prsente un certain nombre de dif-
phase de conception. ficults. Ce sont en effet pour la plupart des outils dont lorigine est
lie lanalyse de fiabilit dobjets ou dlments dobjets et
leur adquation lanalyse de risques nest pas totale. Par ailleurs,
leur mise en uvre ncessite de linformation et loutil en lui-mme
1.2 Les besoins danalyse de risques nest pas gnrique de cette dernire.
Nota : le lecteur consultera utilement sur ce sujet larticle Importance de la scurit dans
lentreprise [AG 4 600] dans le trait lEntreprise industrielle. 1.4 Ncessit dune mthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la matrise des risques de lentreprise sont tout dabord un problme On voit donc apparatre une double ncessit :
dthique, ce sont aussi un moyen : essayer de rationaliser les outils caractre empirique. Le modle
daccrotre la confiance du public, du personnel, des investis- MADS (Mthodologie danalyse de dysfonctionnement des systmes)
seurs et de conserver une bonne image de marque ; tente de rpondre ce besoin. Modlisation systmique gnrale du
de satisfaire les contraintes rglementaires multiples : Code du danger, le modle MADS constitue la structure conceptuelle des outils
travail, installations classes pour la protection de lenvironnement, et mthodes empiriques ou semi-empiriques qui se sont dvelopps
circulaire Seveso, rgles des services de prvention des CRAM sur le terrain. MADS permet par exemple de faire apparatre les
(Caisses rgionales dassurance maladie) et des assurances ; concepts de lAMDEC ;
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 060 3
MOSAR ______________________________________________________________________________________________________________________________
construire des mthodes qui assurent la fois une cohrence blir un consensus sur les risques acceptables sous forme dune
dans le droulement de la dmarche analytique, qui facilitent et arti- grille Gravit-Probabilit ;
culent la mise en uvre des outils prcits, et qui participent la une vision microscopique conduisant un module B qui consiste
gense de linformation ncessaire la bonne utilisation de ces der- faire une analyse dtaille et complmentaire des dysfonctionne-
niers. MOSAR essaie de rpondre ces contraintes. Dans MOSAR, ments techniques et opratoires identifis dans le module A. Cest en
MADS permet de faire apparatre la structuration des dangers et fait une approche de type sret de fonctionnement qui vient faire
par consquent de les identifier de manire rationnelle. foisonner lanalyse prcdente. Dans les scnarios tablis dans le
module A, on va dvelopper les dysfonctionnements de nature opra-
toire et ceux de nature technique. Cest ce niveau que lon mettra en
uvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure gnrale module se termine par le rassemblement et lorganisation de linfor-
mation acquise pour la gestion des risques cest--dire des scnarios
de la mthode MOSAR identifis sils surviennent.
2.1 Les deux modules et les dix tapes 3. Modles mis en uvre :
La mthode sarticule autour de deux visions, do les deux MADS
modules qui la composent (figure 2) :
une vision macroscopique conduisant un module A qui
consiste faire une analyse des risques de proximit ou analyse prin- 3.1 Description de MADS
cipale de scurit ou analyse des risques principaux. Cest parce
que les lments qui constituent linstallation (stockages, machines, Le modle MADS (Mthodologie de dysfonctionnement des sys-
chanes de fabrication, oprateurs) sont proximit les uns des autres tmes, figure 3), appel aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces lments sont lement vocation pdagogique qui permet de construire et de
modliss sous forme de systmes ce qui va permettre didentifier en comprendre la problmatique de lanalyse des risques. Il est
quoi ils peuvent tre sources de danger. On recherche ensuite construit sur les bases des principes de la modlisation systmique
comment ils peuvent interfrer entre eux et avec leur environnement dvelopps par Jean-Louis Le Moigne dans La Thorie du Sys-
pour gnrer des scnarios daccidents. Ce travail ncessite la mise tme gnral [1].
en uvre du modle MADS (Mthodologie dAnalyse de Dysfonction- Lunivers du danger est form de deux systmes appels systme
nement des Systmes) [2] [3]. Ce module comporte aussi une phase source de danger et systme cible, en interaction et immergs dans
de ngociation avec les acteurs concerns, qui va permettre dta- un environnement dit actif.
partir
d'une Identifier les Module A : vision macroscopique de l'installation
modlisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation
Identifier les
scnarios de
dangers
valuer les
scnarios de
risques
Identifier les
risques de Ngocier des
fonctionnement objectifs et
hirarchiser
valuer les risques les scnarios
en construisant
des ADD et en Dfinir les
les quantifiant moyens de
prvention et
les qualifier
Ngocier des
objectifs prcis
de prvention
Figure 2 Les deux modules et les dix tapes de MOSAR : le parcours complet du MOSAR
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 060 4 Techniques de lIngnieur, trait Scurit et gestion des risques
MOSAR
Cas industriel
par Pierre PERILHON
Ingnieur de lcole nationale suprieure des arts et mtiers (ENSAM)
Ancien responsable de scurit-sret au Commissariat lnergie atomique (CEA)
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 061 1
MOSAR ______________________________________________________________________________________________________________________________
1. Dfinition de lexemple. tions pour lesquelles une telle dcomposition na pas dintrt,
voire est impossible.
Modlisation Cest le cas dun laboratoire qui comprend une multitude dobjets sans
sous-systmes clairement identifiables.
Nous prendrons comme exemple une installation de dpotage Elle permet cependant de gnrer des scnarios dinterfrence
de propane alimentant des ateliers prsente sur la figure 1. ou de proximit entre les sous-systmes si ces derniers peuvent
Les manires de segmenter le contexte sont multiples mais il tre identifis.
faut remarquer que pour un dcoupage donn dfinissant le sys- Il existe plusieurs manires de dcomposer une installation en
tme analyser, le reste du contexte se trouve dans lenvironne- sous-systmes :
ment du systme. Ainsi, quelle que soit la situation de la frontire dcomposition hirarchique en fonction des relations des
retenue entre le systme et son environnement, la somme des lments de linstallation entre eux ;
deux redonne toujours lensemble du contexte. dcomposition topologique en fonction de la position des
Le systme le plus dangereux dans ce contexte est linstallation lments de linstallation dans lespace ;
de dpotage de propane. Elle sera donc le systme sur lequel va dcomposition fonctionnelle de par la situation des lments
porter lanalyse (figure 2). de linstallation dans la chane de fonctionnement de cette der-
nire.
Nous utiliserons une association des deux dernires en rpon-
1.1 Dcomposition du systme tudi dant trois conditions :
et des systmes environnement les sous-systmes rpondent aux cinq critres dun systme
(structure, fonction, finalit, volution et environnement selon le
et oprateurs en sous-systmes modle canonique de Le Moigne [1]) ;
chacun doit tre homogne ;
La dcomposition du systme tudi (ici, le systme de dpo- leur nombre doit tre le plus limit possible, en tout cas inf-
tage) en sous-systmes nest pas obligatoire. Il existe des installa- rieur ou gal 12.
Lotissement Lotissement
30 m
Voie ferre 45 m
Dpotage
120 m
Ateliers
250 m
Parking
90 m
70 m Btiment administratif
30 m
Route 20 m
10 m
250 m 300 m
Rivire
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 061 2 Techniques de lIngnieur, trait Scurit et gestion des risques
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphre
Oprateur
Wagon Canalisations fixes
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 061 3
MOSAR ______________________________________________________________________________________________________________________________
Systme analys
Route
Parking
CONTEXE
Lotissement
Ateliers
Btiments administratifs
Voie ferre
Rivire
SS7 Sous-systme
environnement
SS : Sous-systme
2.1.2 Identification des processus de danger comme tel. Il nous aide faire apparatre des vnements et leurs
enchanements pouvant avoir des effets non souhaits sur des
Ce travail se fait ligne par ligne en recherchant les vnements cibles qui, ce niveau, ne sont pas encore identifies. Il appartient
qui constituent les processus de danger. On utilise le tableau A lanalyste de se servir des identifications dvnements pour
(figure 4) en commenant par la colonne des vnements initiaux. construire des chanes plus ou moins longues denchanements.
Ces derniers peuvent provenir soit du contenant, cest--dire de
lenveloppe du systme source, soit de son contenu. Exemple : lvnement surpression apparat deux endroits diff-
On recherche ensuite les vnements initiateurs qui peuvent rents dans la recherche des processus de danger lis la pression :
engendrer les vnements initiaux et on les note dans la colonne cest un vnement initiateur interne dune rupture ou dune fis-
correspondante du tableau A. Ces vnements peuvent tre dori- sure de lenveloppe ;
gine interne ou externe au systme source de danger. Dans ce cest un vnement initial interne dont lvnement initiateur
dernier cas ils sont gnrs par les champs. interne est un dysfonctionnement de soupape et lvnement initia-
La chane vnements initiateurs vnements initiaux gnre teur externe un flux thermique. La chane complte devient :
des vnements principaux que lon note dans la dernire colonne
droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture
2.1.3 Remarques
&
Dysfonctionnement de soupape
Cette technique nous donne un outil de gnration dun Dans lidentification des vnements principaux, il faut prendre
ensemble dvnements. Ce nest quun outil quil faut utiliser garde ne pas noter des interfrences avec les autres sous-
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 061 4 Techniques de lIngnieur, trait Scurit et gestion des risques
______________________________________________________________________________________________________________________________ MOSAR
systmes sinon la gnration de scnarios deviendra confuse par 2.2 Identifier les scnarios de danger
la suite.
Ne pas crire explosion dans lvnement principal du processus Dans les installations industrielles, notamment celles prsentant
de danger li la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scnarios dacci-
gnre par la fuite rencontre une source dallumage (dans une cible) dents majeurs sont connus notamment grce au retour dexp-
pour quil y ait explosion. rience. On en retient gnralement six principaux [2] :
De la mme manire, ne pas crire chute de hauteur dans le incendie ;
processus de danger li laccs en hauteur de la sphre car encore explosion ;
faut-il quun oprateur ait accder sur la sphre pour que cela libration de produits toxiques ;
entrane sa chute.
libration de produits inflammables ;
pollution des sols ;
On ne tient pas compte des barrires de prvention et de pro- pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intressant, voire indispensable de pouvoir gnrer des
nement. En effet, si lon veut pouvoir juger de la pertinence des scnarios daccidents possibles [ou plus gnralement des scna-
barrires prvues (projet) ou existantes (diagnostic), il est nces- rios dvnement non souhait (ENS)] et notamment de faire appa-
saire de faire un point zro sans barrires. ratre les principaux. Ceci permet en effet :
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Scurit et gestion des risques SE 4 061 5
Le but de cet article introductif est de discuter rapidement des diffrentes classes de mtho-
des et doutils afin de mettre en lumire leurs rles respectifs ainsi que quelques-uns des pro-
blmes attachs leurs limitations, puis de situer plus prcisment dans cette dmarche
gnrale les mthodes dynamiques qui feront lobjet darticles spcifiques ultrieurs :
processus de Markov (mthode analytique) [SE 4 071] ;
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur SE 4 070 1
Mthode MADS-MOSAR
Pour en favoriser la mise en uvre
2. Modle de rfrence
Force est de constater que les mthodes utilises jusquici ne
sont plus pleinement adaptes. Raliser une HAZOP est faire lana-
lyse de risques dun procd. Son application, de par sa logique,
ne permet pas de prendre en compte systmatiquement les inte-
Afin de bien situer la mthode MADS-MOSAR, il est ncessaire
ractions de ce procd avec son environnement. LHAZOP doit tre
de faire le point sur la problmatique de la matrise des risques.
complte par une approche plus macroscopique. LAMDEC, de
par son formalisme ne permet pas une prise en compte systmati- La matrise des risques est le corps de connaissances transver-
que des effets domino. Cest celui qui utilise cette mthodologie sales qui a pour objectif de traiter (identifier, matriser, grer et
de bien identifier les causes et les consquences des poten- manager) des vnements non souhaits ou indsirs (des dys-
tiels de danger quil a identifis. fonctionnements) issus de la structure, de lactivit, de lvolution,
On constate ds lors que les analyses de risques ralises de la finalit ou de lenvironnement des systmes naturels ou arti-
aujourdhui sont des patchworks de mthodologies diffrentes ficiels.
dans lobjectif de couvrir lensemble des exigences rglementaires. Ces vnements provoquent ou sont susceptibles de provoquer
Il faut dire que la rglementation en la matire a des impacts sur des installations et/ou tres vivants tels que les
considrablement volu, et quaujourdhui, produire une analyse individus, les populations, les cosystmes.
de risques en bonne et due forme ne sinvente pas. Lapplication de cette connaissance au problme des analyses
Cette vision des analyses de risques dans le contexte des instal- de risques ncessite au pralable une rflexion pistmologique
lations classes pour la protection de lenvironnement est cepen- afin de dgager un langage unitaire, des concepts transversaux.
dant trs restrictive. Lapproche systmique propose des principes mthodologiques
Lanalyse de risques est donc devenue omniprsente dans nos dinvestigation des systmes naturels et artificiels pour amliorer
problmatiques actuelles. leur conception, leur fonctionnement et leur gestion.
Dans le monde industriel et les sites de production, il est Sur la base de la systmique et en particulier du concept de sys-
aujourdhui ncessaire de raliser une analyse de risques pour tmes propos par J.L. Lemoigne [3], le groupe MADS (Mthode
produire le document unique n de lvaluation des risques profes- danalyse du dysfonctionnement des systmes) a dvelopp un
sionnels conformment au Code du travail (rglementation remise modle de rfrence appel processus qui sadapte la problma-
au got du jour en novembre 2001). Raliser une tude ATEX tique de la matrise des risques [4] [5].
(atmosphre explosible) ncessite galement de raliser une ana- Pour tablir ce modle, on appelle flux des transactions non
lyse de risques. dsires dun systme avec son environnement et champ, lenvi-
Ces besoins en analyse de risques vont galement au-del des ronnement actif dont les fluctuations produisent des ruptures de
problmatiques hygine, scurit et environnement de tout sys- stabilit du systme.
>i`ii`imi
`>i\>Vi>ii
V}>i`}>i`i> -
{
Vi>iiV>i p
+ii`jw`iL>i p
>i`i>i>>miV>i p {
+iijjiji p x
Vij> p n
`V p n
ii`i}>i`i>`imii p
,j`V`i>>i`i}>i p {
{ *Vi>i p n
{ `V p n
{
iii`imi>i p n
x > p
x />`i>V> p
x }>i`Li`j>i`vwVj`iVV p
V p
,jvjiViLL}>i p
/ii`V>>>`
iiv>X>`i>```iViiViii`i
^/iVi`i}ji -
{ v
>
/i
}i q *ViV>i
i>i>iii}ii>imi]>ij
`i >Vji `jVi `> Vi `i iii `i ii Vi i
`>iVi>iii
i `i jVj`iQ-
{R i V`j> j>i
VVi>>>i`ii`imi`>i`j}>}ii}>`i
}i`ijjiDi`iiViivviViVii`i
>j`iDiiiij>iij`iw>Li ii
`>Viii>>i`Vii`mi
VVij>wj>iii`i`j>>ViV>
iw}i
j`i>>iL>jiiVi`i>]iiim>ji
`> ij i i L `i Vi `i i `i v>i > ji> `i i
`vvjiiV>>Vji
V}>i
`}>i`i> *
`i i `i }ji] jk v`>i> `i
ji -i
>Vi>iii>iV}>iii`i>
ii i i > > jiii Li `i V>i i *>i
v`ii>iVji
* i Vi>] i i i `i iV D iii *
V>iQR QR jij w}i i vj `i `i i * i
* i`ji`>i > i L> `i ji `i j>>i
i i >i > >i>Vi] i * i * }i q
V`i>}i
/ii`V>>>`
iiv>X>`i>```iViiViii`i
-
{ v ^/iVi`i}ji
>ji
i>iVi}i>L``j>
}ij>`jLi`ji`>`iV`
>i
o * o
*
>}V`iV>>Vjiv`>i>i`iVi
`i>}mi`Vi`iLiii
x x
*>i i i > `i > i > V>] >i
* > j>> *
{ `i Vi i>i i i >L`i > `>
* *
Vi`iV>i>ii>>iiLi>Vv>Vi
i i Vi >i }mi * `i mi `i
x
>i `ii] i >v V> >Vi] ii > > `i
i
> ii `i i >i jiii
i> i> `jV i
o o
`j> `> i `i VVi> > `i ji> `i *i
*
V>i
*
>Vi *>i
+ii`jw`iL>i
>ji i >i] `ii jVi>i `i `jw >
i`i>i>ViDiiiii]`>iii] > `>i ] Vi `i >ii ii
V`jii*i>i>j>> jji>i ` `>i `i > ij `i vVii
i
`i>i ki >v>ii Vi >] D ijiVi] i
> VV ` }>i `i > i>v D i mi `jViiLji>>ji>i}ji
ivviVii`ij>iw}i\ ii\
p `ivV>`i`vvjij>iimiiVVi p v>Lj , \ L>Lj `i L vVii
>V`ii> i>i`ii`jQ] Ri`>`iV``ji
p `Lj \ L>Lj `i L vVii D
U i>>i`jj
]
]
i
{ >`ji`>`iV``ji
p VV`}>i`i>ii`\ ji `i Vi `jw i > w>Lj] > i >j>
i ` ii] Vi` D vVii > i
U iji>`iV>V`ij>>ViVi]
i Vi>i j`i > `i w>Lj i `V m i
U iji>`i>iiij>>`iymVi >i `i Lmi j D > jVj] V> ii jii D
VViVi `i > imi >i ii >VV`i `
>i>Li>v>X`imi>i` miVVij
j>i>i
i> V` D `i i >i `i L>i `
ii \ `ij>`i>Vi>v>
]i>ii
V>Li`iVii`iw>Lj\
>`jv>>Vi`i**]`ij>
i>iij>
`i>i>i
{>`jv>>Vi`i*iiDj>
>j> p //\ i i >> > imi `jv>>Vi i>
>`i*]]iw>ii`ij>
{iiiii /i/>
i
>j>>`i*i>i>j>> i D i i] V> jji>i j} > i
iiii `i > `i `jv>>Vi o] i // i > j}>
>w`iViiiVVi]iiiijiVi`}>i Do->vV>m>Vi]Viijjii}jj>>
`j> `ji i Vii ` mi vj `i `i >i > i> ` mi }L>] ki ViV i Vi
i * ijii > i Vi `i > i`iV>j}>`iiiii>i>
>Vj]iiDjViiiiV>ViiV>Vi`i i // i >>mi i ki ij >ii D
Vi>jiiiiji>V`i>i` > `i `ji Liji `> i `i i i
mi
i>iLii>vviV>`i>`i> o DV> `ijiVi ii `V `i v>i i i ii i >j
Vi`ii >iii`iji
>j>ii] o ` i > L>Lj V`ii `i j `i > w>Lj] > `Lj jii D > L>
>i `i
i
ii i ` i `> j>
D Lj i i mi vVi D > `j > i j
>>iV>i]i>`i> V> VVi`iVii>j>>>>
iV>>Vji`V
iVi`i>>`i`jv>>Vi>>`ij>> vVii>kiii
`iV>V>iiV>}ii`j>/ii >`Lj >jkjii]i>i]
`i L>Lj j}i i `i jmi i ViD>>iiiijii
Vi`V`i>iiiiiiiVi `V`i`i>i`jw\
V>ii`jjVi`i>}mi p `Ljiii ] \
i] `> Vi V>] > L>Lj `i >i `i
i
i U ii`i i>iQ ] R]
`ji` i `i > jiVi `>
D > > > `i > U >ii`iLvVii q ]
>mi`i>jiii]i`ii`mii U Vi>}i ` i i `i L vVii
`ji` i `i j> D > >} `V ` Vi Q ] R
/ii`V>>>`
iiv>X>`i>```iViiViii`i
^/iVi`i}ji -
{ v
p `Lji \
/>Li>qLjivV`i
U >ii`i >`i`iw]
U >iii`i i`jiwi] Q ]
qx R ]
q
U >ii`i ] >`i`iw] *>>mi
U >ii`>i`i`i>Vii>] Q x]
q{ R {]
q
U Vi>}i`ii`iLvViii
`jiwi /i >
{
Ljiii`Ljim`i`V`v
vjii ij> v> v>i i i jV>i ]
]
]
]
Vii Vi`> > > ` i `i L vVii
>j > i `Li> V> ii ii `i j>i `i ]
q ]x
q n]xx
qx ]
q
i> >i D > `i `ji Liji `> i { ]
q ]
q ]xn
qx ]
q
`i i " ii > V i i ii i >j
>iii`iji ]n
q ]n{
q ]{
qx ]n
q
i L>Lj Vji>i i 1 `i > w>Lj i n ]nnx
q ]
q ]
qx ]{n
q
`i > `Lj `jji `jw>Lj i ]nn
q ]x
q ]n
qx ]{
q
`Lj \
]nn
q ]
q ]
qx ]n
q
p rq,
p 1 rq { ]nn
q ]
q ]
qx ]
q
]nn
q ]x
q ]
qx ]
q
n ]nn
q ]
q ]n
qx ]
q
>i`i>i
]nn
q ]
q ]
qx ]n{
q
>>miV>i
]nn
q ]
q ]
qx ]
q
,ii > }>i `i > `i > w}i > { ]nn
q ]
q ]
qx ]
q
iVi i ` > >i `i j> iVj > i V>`i
V>i] > imi j>i i `i i j> i `i V>i ">iii>>
x]>iii]}wiy qx
`Vi q >Vi*>i q >w `i ii D Li i
V>V`iw>Lj`Lj`>i
ii`iii``>i]Viij>i >Ljjii
m i\ i j> O
]
]
P Vi`i > L vV
iiij>O
{PD>>i`mi *ii}>i`i>w}iii`j>i>`Lj
` mi] Vi v> i `wi Li `mi
ii>`j>i>w>Lj``mi
Ljjii > ji i i `> > `jw ki `i > w>Lj\
v> >i > Vj ` L vVii ` mi
1i v > `Vi j>ji ii i j> `i >Vi i `i
i>iQ] Ri`VjVi>i`i`wii}>i`i>
>i] i i `i>`i Vi i ii `i V>Vi ivviV
w}i`i>mi>VVi>L>D>i
iii}>i`i>`ijjVj`iiiijij
`ij>`i>Vi
]
D>i>>>j
w}i
> j> `i >i
{ `> i>i Q] R ] Vi ii >
* j`i D Vii i] vw `i i>i i ki]v>iii>VVi>>>j>`i>i
}>i ijii] `i >mi ji] i Vi
{iiii>>i`ij>`i>Vi
]
jiVi`jjiiiimiiiiD>
> `wV> `i i }>i i > m i D j>i
`ij>>`>j>V`i
vw `i i i > `i O
{P i O
]
]
1 i Vi i> > iii
]
]
]
]
{]
]
i
P
v>] i > i ii D i `i
{ i
i
}>i ivii `V `i Vi ii> > mi `i Vi>V`>}>ijij>w}i
>i > j> `i >i
{ `i ii `> j> `i @Vi D Vii >v>] * * * ijii
>Vi
`jV `V i Vii ` mi i >i>>L>Lj`kii>ViD>>>>
ki i >Vi D > `j i >> jj i i ki Lj i >i >>>>] ViD`i > L>Lj `ki
vi>i>>>>>}`Vii``mi ij i L j> `i vVii i > `ji Q] R
`i`Lj >ii`>w>Lj`mij`j
>`Lj `mij`ji`Vj}>iD> ikiijVj`ii]>`V\
L>Lj`iiiD>`>>i`ij>
`i >Vi
]
i `Lj 1 i j}>i D > p * * * * { r
L>Lj`iii`>j>`i>i
{ p , r* * *
p r* {
** rL>Lj`ki`>j>
D>
/ii`V>>>`
iiv>X>`i>```iViiViii`i
-
{ v { ^/iVi`i}ji
Viij`ivw`V`i`iViii>>`ji`i
>`ij`iLi>`Ljii`mii
i
o * o i ki] > i `i/-
>j `> i j> `i >i
* q V iii
{ q V` D j>> `i `Lj
ii`miVVij
x -i}>i`i>w}i]>i`i/-
>j`>i
x -i j>
]
i
Vi` > D i `ji ii `i L
vVii >] V] >} `i > `ji ii `i L
* * vVii > Lii `i `jv>>Vi > j`i Q] R
>>LL>
{
* * ii`iw]Vii`jiiii>iii
V>i//i>/i/> `mij`j
x ii>w]>`jiii>`jv>>Vii
i >i >mi `>ji`i i V>Vi `Lii i
o o `jv>>Vi>j`i`i>>j`i`i}>>i
* ` mi VVij
i i `V ii `> i Vmi `i
* VVi > ki i i > w>Lj] > `Lj i
//
iii`]Vii>LL>]i/-
`ij>
{i`
>ViVi i>i iwi>`jii`iw
}i q >i`i>iV>V`i>w>Lj
+iijjiji
1ivi}>i`i>V]ijVi>i`j>L
/>Li>q>LjivV`i i ii vi ji `i L>i ii> `i j>i
ivviVii i V>V L>Li jj `> i >>
/i >
> }>ijVj`i
{ `mi`j>i]>v`imimi]i
]
]
]
]
>v>ii i `i>}i `i V`i i V>V >i
ii i`jV`VViivi>j>i
x ]n
q ]
q ]x
qx ]n
q
`i>Li Vi`i > i `i > j`i i
n]x
q ]
q n]{nn
qx ]
q iViii>>>}iiiVji
x ]
q ]x
q ]nn
qx ]n
q * i >ii `i mi `i] i V>V
ii ` jVii > i i i `i }Vi `
x ]n{{
q n]
q ]n
qx ]{
q ii Vi> Li i >Vj i V>>Vji]
{ x]{
q ]xn
q x]{
qx {]{{
q Lj i iv>Vi i `ii i
ii] `> Vii >i ji] D `jVi >Vm
x {]{
q x]n
q {]
qx x]
q ii Vi i jij `> i }ViQR i >
]x
q {]
q ]x
qx ]{{
q `jiji>i`i>i>i}>i`>ji
]{
q ]n
q ]
qx ]n
q
]x
q ]{{x
q{ ]
q ]nn
q i`iL>i
x ]n
q{ ]xx
q ]{
qn ]{
q >vi`i`j>`iVi`i>imiD
`jw
i Vi ii D j>L > L>Lj * `
`ki `> j> D > ` i vV `i L>Lj
* `i`vvjij> D>
Lii>ii`jiwiijii i`
ii, iiiii`iw
ii L>Lj i `i i `i >i Vji>i
w}i{\
i >Li> i j `i > L>Lj `i `vvji
>i`>j>iii `
j>`miivV`ii>L>Lj`ij>{
i `> j> D > i i > ii i
`i`iVii>`jw>Lj
`
> `imi >i j> ii i Vji D `i >
/ii`ijVj L>Lj `i `i ] >L v>Vii D > vi
Ljiii// >i\
/ii`V>>>`
iiv>X>`i>```iViiViii`i
^/iVi`i}ji -
{ vx
1. Contexte...................................................................................................... SE 4 072 2
2. Analytique versus Monte-Carlo ............................................................ 2
3. Modles de comportement .................................................................... 3
4. Simulation de Monte-Carlo.................................................................... 4
4.1 Principe ......................................................................................................... 4
4.2 Exemple simple............................................................................................ 4
4.3 Gnration des lois de probabilit ............................................................. 5
4.4 Prcision des rsultats................................................................................. 6
5. Rseaux de Petri ....................................................................................... 7
5.1 Historique ..................................................................................................... 7
5.2 Rseaux de Petri RdP de base ............................................................... 7
5.3 Extensions .................................................................................................... 11
6. RdP versus processus de Markov ........................................................ 13
7. Rseaux de Petri colors ........................................................................ 14
8. Conclusion.................................................................................................. 14
Pour en savoir plus ........................................................................................... Doc. SE 4 073
algr tout son intrt, lapproche analytique par processus de Markov (cf.
M dossier [SE 4 070] Analyse des risques des systmes dynamiques :
prliminaires ) trouve rapidement des limites lorsque la complexit des sys-
tmes industriels tudier ou des paramtres probabilistes valuer augmente.
Un saut qualitatif devient ncessaire qui impose labandon de lapproche ana-
lytique pour lapproche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste tirer des nombres au hasard pour animer un modle repr-
sentant le comportement du systme tudi dont lvolution ainsi simule sur
un grand nombre dhistoires permet dvaluer les informations probabilistes
fiabilit, disponibilit, disponibilit de production, etc. recherches.
Une fois franchi le pas de la simulation, reste slectionner un modle de
comportement efficace sur lequel sexerce cette simulation. Le comportement
des systmes industriels prsentant beaucoup danalogie avec celui des auto-
mates tats finis tats discrets et dnombrables lun dentre eux sest
dtach et a t adopt et adapt ce propos ds la fin des annes soixante-
dix : le rseau de Petri (RdP).
Cest la reprsentation graphique du rseau de Petri qui lui confre ses carac-
tristiques les plus intressantes : construction matrise de grands modles
complexes partir dun nombre trs limit dlments, visualisation synth-
tique du modle obtenu, animation manuelle pas pas pour en vrifier le
comportement, etc.
Aprs avoir jet les bases de la simulation de Monte-Carlo, ce dossier
sattache montrer comment les rseaux de Petri constituent un formidable
support de simulation permettant dapprhender pratiquement tous les pro-
blmes probabilistes rencontrs dans le domaine industriel.
Dans la continuit des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] Analyse des risques des systmes dynamiques : prliminaires et
approche markovienne ), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur lutilisation primitive des rseaux de Petri pour gnrer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposs pour prsenter de manire progressive la faon daborder les
problmes classiques fiabilit et disponibilit les plus lmentaires avant
de se confronter aux situations autrement plus ardues de la disponibilit de
production impliquant une modlisation trs dtaille des procdures de main-
tenance et des niveaux de production du systme tudi.
Au cours du temps, les rseaux de Petri de base ont subi des volutions qui
les ont conduits progressivement aux rseaux de Petri prdicats et asser-
tions que nous utilisons aujourdhui. Grce la grande capacit de cette
approche absorber les amliorations, aucune remise en question drastique
des choix initiaux na jamais t ncessaire. Bien que pourvus maintenant
dune puissance de modlisation incomparable, les rseaux de Petri nont pas
encore dit leur dernier mot. Des possibilits damlioration existent qui sont
abordes succinctement la fin de ce dossier.
Pour un investissement intellectuel somme toute trs minime, les rseaux de
Petri fournissent un outil dune souplesse dutilisation et dune puissance de
modlisation aux possibilits quasi illimites. Ils offrent indubitablement lheure
actuelle le meilleur rapport qualit/prix en cette matire. Mettre le doigt dans
lengrenage des rseaux de Petri, cest prendre le risque de trouver dsormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir sen passer !
Mme si les rseaux de Petri tirent une grande partie de leur puissance
dexpression de leur aspect graphique, la construction matrise de grand
modles implique la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilit et les diagrammes de flux est mis profit dans ce dossier pour
donner la ligne directrice dune modlisation modulaire incontournable pour
qui veut matriser ses modles au cours de leur dveloppement.
Le succs dune simulation de Monte-Carlo rsidant dans la rapidit des cal-
culs, les astuces connatre et les cueils viter sont indiqus au dtour des
exemples servant de support.
Enfin, cet ensemble dexemples vient conforter laffirmation exprime dans
le dossier [SE 4 072] : les rseaux de Petri constituent bien au dbut des annes
2000, dans le domaine de la sret de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modlisation. Attention laddiction guette... !
Concernant les notations et les graphismes utiliss, le lecteur se reportera
utilement au dossier [SE 4 072].
2.2 Disponibilit
Marche
Les tableaux 1 et 2 montrent les rsultats pouvant tre obtenus Fin_R1 19,36
directement partir du rseau de Petri ci-dessus. Pour raliser ces P_2 19,41
Figure 1
calculs, nous avons adopt un classique taux de dfaillances () de
2.103/h pour chacun des composants mais, pour les rparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser linfluence de la dispersion du temps de rpa-
ration autour de cette moyenne en faisant varier le paramtre de P_3 19,37
forme .
Composant 3 St_R3 19,37
Les premiers rsultats standards sont prsents sur le
tableau 1. Ils ont t tablis en ralisant 106 histoires et avec Fin_R3 19,34
= 2. Ils concernent la frquence de tir de chacune des transi-
Panne 3,35
tions. On constate quen moyenne chaque composant subit de Figure 2 Disponibilit
lordre de 19,4 pannes au cours des 10 000 h simules et que Rparation 3,35
cela a conduit 3,35 dfaillances du systme en 2/3. Il en rsulte
que lquipe de maintenance a t mobilise environ 58,2 fois. Figure 6 Fiabilit Dfaillance 0,96
Tableau 2 Temps moyen de sjour dans les places et marquage moyen des places
T = 10 000 h, = 2, Temps moyen cart type Marquage moyen cart type
Nom
106 histoires (h) (h) (%) (%)
finalement un accident.
ISA International Society of Automation THERP Technique for Human Error Rate Prediction
1. Prsentation Nota : pour tre prises en compte dans le calcul de frquence doccurrence rsiduelle
du scnario, il faudra que les barrires de scurit vrifient les critres qui permettent de
de la mthode LOPA
rpondre la dfinition dune couche de protection indpendante (IPL).
Ex : LOPA
Slection du premier
scnario daccident
Dveloppement
du scnario daccident
TAPE 2
TAPE 4
TAPE 6 TAPE 7
valuation de la criticit
NON du scnario daccident
TAPE 8
OUI
NON
NON
Fin de lanalyse
Comme pour toutes les mthodes danalyse de risques, il est et hypothses mises par le groupe de travail lors des 8 tapes dcri-
important : tes au paragraphe 1.7. Le tableau 2 prsente le formalisme de la fiche
que toutes les phases dexploitation de linstallation soient tu- danalyse propos dans louvrage LOPA [1]. Dans cette fiche, les
dies (dmarrage, arrt programm, fonctionnement nominal, etc.) ; cases non coches sont celles qui doivent tre renseignes par le
que toutes les causes pouvant mener un vnement initia- groupe de travail. Dans la pratique, les revues sont gnralement
teur soient identifies et tudies sparment car les barrires et conduites avec des tableaux danalyse qui diffrent (dans la forme)
IPL valorisables ne seront pas ncessairement les mmes. du tableau 2. titre dexemple, le tableau 4 prsente le formalisme
de tableau propos au chapitre 3 de la norme IEC 61511.
1.3.3 Contenu des tableaux dune revue LOPA Afin de guider lutilisateur, le CCPs prcise dans louvrage dcri-
vant la mthode LOPA [1] les attentes vis--vis des diffrents items
Lors dune revue LOPA, des tableaux danalyse sont remplis en qui doivent tre renseigns dans le tableau 2. Ces prcisions sont
temps rel. Ces tableaux ont pour objectif de formaliser les dcisions rsumes dans le tableau 3.
vnement initiateur du scnario Cet item doit tre renseign avec le plus de prcision possible.
Si lvnement initiateur est li au dpassement dun seuil, il est ncessaire que celui-ci
soit clairement indiqu. Par exemple, monte en temprature dans le racteur au-dessus
de T1 (en prcisant la valeur de T1)
Les trois derniers items ne sont pas explicits car il ny a pas dambigut sur leur interprtation.
Conditions de ralisation du scnario Cet item doit tre renseign prcisment dans le but de pouvoir par la suite valuer
la probabilit associer chacune des conditions. Par exemple, si un emballement
de raction ne peut se produire que durant une phase spcifique de la raction,
il est ncessaire de prciser la dure de cette phase par rapport la dure totale
de la raction
Facteurs conditionnels de ralisation Cet item doit prciser la nature et les valeurs associes aux facteurs pris en compte
(si applicables au scnario) dans le calcul de la frquence doccurrence du scnario. En gnral, trois facteurs sont
pris en compte :
la probabilit dinflammation (dans le cas de mise latmosphre de produit inflammable)
la probabilit de prsence du personnel dans la zone deffet
la probabilit de blessure ou de mort dans la zone deffet
Barrires de scurit respectant Cet item permet de lister des barrires de scurit qui sont retenues comme IPL vis--vis
les critres dindpendance explicits du scnario daccident tudi. Les probabilits de dfaillances associes ces IPL doivent tre
dans la mthode LOPA (IPL) et valeur justifies. De mme, la dmonstration de lefficacit des IPL vis--vis du scnario daccident
de PFD associe doit tre documente
Autres barrires de scurit ne respectant Cet item doit prciser les barrires de scurit qui nont pas t retenues comme IPL.
pas les critres dindpendance explicits Lobjectif est dassurer une traabilit du raisonnement en expliquant pourquoi ces barrires
dans la mthode LOPA ne constituent pas des IPL
Total des PFD associes aux barrires Cet item correspond au produit des PFD associes chaque IPL
de scurit indpendantes (IPL)
Frquence du scnario avec les barrires Cet item correspond la frquence doccurrence rsiduelle du scnario daccident,
indpendantes cest--dire en considrant la dfaillance de lensemble des IPL valorises
La frquence cible permettant Cet item permet de statuer sur lacceptabilit du risque. Si la frquence doccurrence
de justifier dun risque acceptable rsiduelle calcule est suprieure la frquence cible, alors le risque nest pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la frquence doccurrence rsiduelle calcule est infrieure la frquence
cible, alors le risque est acceptable
Actions requises pour atteindre le niveau Cet item doit prciser quelles actions sont envisages pour rendre le risque acceptable.
de risque acceptable Dans le cas o une nouvelle barrire est propose, il est ncessaire de la dtailler
et en parallle de dmontrer quelle peut tre considre comme une IPL
Les trois derniers items ne sont pas explicits car il ny a pas dambigut sur leur interprtation.
Tableau 4 Tableau danalyse propos pour la conduite dune revue LOPA daprs le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilit
Probabilit
PFD doccurrence
No EI G CI P(CI) Conception Attnuation Barrire doccurrence Note
(SIF) rsiduelle
gnrale BPCS Alarmes supplmentaire de mitigation intermdiaire
(avec SIF)
du procd accs limit, etc. (non SIF)
Mthode PDS
our prvenir et limiter les risques, les industriels sont amens mettre en
P uvre des barrires de scurit. Il existe diffrents types de barrires de
scurit tels que les fonctions instrumentes de scurit (SIF); ralises par
des systmes instruments de scurit (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
dun SIS ncessite destimer le niveau dintgrit (SIL) des SIF pour justifier
que les risques sont matriss. Lobjectif est de dmontrer que les architectures
proposes pour les SIF permettent bien datteindre les niveaux de SIL requis.
Pour ce faire, il est ncessaire de calculer la probabilit de dfaillance de
chaque SIF (PFDavg pour les systmes en mode sollicitation ou PFH pour les
systmes en mode continu). La mthode PDS, largement utilise dans lindus-
trie offshore (et plus particulirement en Norvge), permet de rpondre ce
besoin.
Cet article prsente les principes de la mthode PDS et met en lumire les
principales diffrences avec lapproche prsente dans lIEC 61508-6. Plus
prcisment:
il retrace les origines de la mthode;
Systme instrument de scurit (SIS): ensemble de mat- Tableau 1 Dfinition des niveaux SIL
riels qui composent le systme de scurit. Il comprend tous pour un systme en mode faible sollicitation
les capteurs, les logiques et les actionneurs. daprs IEC 61511-1
Fonction instrumente de scurit (SIF): automatisme de Niveau
scurit compos par un ou plusieurs capteurs, une logique et Facteur de rduction
dintgrit avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de scurit
de scurit.
SIL 1 102 PFDavg <101 10 <FRR 100
titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 103 PFDavg <102 100 <FRR 1000
quatre niveaux de rduction de risques appels niveaux de SIL.
SIL 3 104 PFDavg <103 1000 <FRR 10000
Les niveaux de SIL sont rattachs :
une probabilit de dfaillance sur sollicitation (note PFDavg) SIL 4 105 PFDavg <104 10000 <FRR 100000
pour les systmes en mode faible sollicitation;
une probabilit de dfaillance par heure (note PFH) pour les
systmes en mode continu ou en mode sollicitation leve. Tableau 2 Dfinition des niveaux SIL
pour un systme en mode continu ou en mode
sollicitation leve daprs IEC 61511-1
Mode faible sollicitation: Mode de fonctionnement dans
Niveau
lequel la SIF nest ralise que sur sollicitation, afin de faire Facteur de rduction
dintgrit PFH
passer le processus dans un tat de scurit spcifi, et o la du risque (FRR)
de scurit
frquence des sollicitations nest pas suprieure une par an.
Dfinition IEC 61511-1. SIL 1 106 PFH <105 10 <FRR 100
Mode sollicitation leve: Mode de fonctionnement dans
SIL 2 107 PFH <106 100 <FRR 1000
lequel la SIF nest ralise que sur sollicitation, afin de faire
passer le processus dans un tat de scurit spcifi, et o la SIL 3 108 PFH <107 1000 <FRR 10000
frquence des sollicitations est suprieure une par an. Dfini-
tion IEC 61511-1. SIL 4 109 PFH <108 10000 <FRR 100000
Proposition Comparaison
Allocation
darchitectures Calcul des probabilits
Identification des niveaux de SIL
pour atteindre des probabilits de dfaillance
des SIF requis pour
les niveaux de dfaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)
La mthode PDS peut tre considre comme raliste car Trois contributeurs la CSU sont dsigns:
elle prend en compte les principaux paramtres qui ont une 1/ Lindisponibilit lie aux dfaillances dangereuses non dtectes
influence sur la disponibilit dun systme, tels que: (DU) qui couvre:
les diffrentes catgories de dfaillances/causes; a)lindisponibilit lie aux dfaillances alatoires de matriels
(DU-RH);
les dfaillances de cause commune;
b)lindisponibilit lie aux dfaillances systmatiques (DU-
les autotests (internes aux quipements dots de cette fonc-
SYST).
tionnalit);
Cette indisponibilit est associe la probabilit de dfaillance
les tests priodiques de bon fonctionnement; sur demande note PFD (Probability of Failure on Demand).
les dfaillances systmatiques; 2/ Lindisponibilit lie aux arrts qui couvre:
les redondances dquipements. a)lindisponibilit lie la rparation dquipements dcels en
panne (maintenance corrective) DTUR;
Comme prsent en figure1, la mthode PDS constitue une
alternative aux formules de calculs proposes dans lannexeB de b)lindisponibilit lie linhibition dquipements afin de rali-
lIEC 61508-6 lors de ltape de calcul de la probabilit de dfail- ser les tests priodiques de bon fonctionnement et la maintenance
lance pour justifier de latteinte du niveau SIL requis. prventive DTUT.
Toutes les approches prcites pour dterminer le niveau de SIL Cette indisponibilit est associe lindisponibilit pour arrts
ncessitent dutiliser des donnes de fiabilit pour caractriser les planifis noteDTU (Down Time Unavailability).
quipements qui permettent de remplir la fonction de scurit 3/ Lindisponibilit lie des dfaillances dangereuses caches qui
(dtecteur, automate, vanne disolement, etc.). Pour faciliter la ne peuvent pas tre dceles pendant les tests priodiques de bon
fonctionnement, mais uniquement lors dune sollicitation relle.
mise en uvre de la mthode PDS, le SINTEF propose en compl-
ment un recueil de donnes de fiabilit (PDS Data Handbook [3]). Cette indisponibilit est associe aux dfaillances caches note
PTIF (Test Independant Failure Probability).
Ces contributeurs lindisponibilit critique de scurit (CSU) Sur la figure3, il est possible dobserver que la PFD et la CSU
sont repris en figure2. atteignent leurs maximums juste avant la priode de test et leurs
La figure3 inspire de [1] illustre la contribution la CSU de la minimums juste aprs. Cependant, la valeur de CSU gnrale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU nest ment retenue correspond la moyenne. Par consquent, il est
pas considre. Lvolution de la PFD(t) est donne pour un qui- possible que la valeur moyenne permette de justifier de latteinte
pement en 1oo1 et est approxime comme suit: de lobjectif vis, mais quil ne le soit plus en considrant la valeur
maximum. Pour cette raison, il peut tre intressant de dterminer
le temps pass dans chaque classe de SIL.
Indisponibilit associe
aux dfaillances dangereuses Indisponibilit associe
PFD : 1a (dfaillances alatoires aux pannes caches (non rvles
de matriel) et 1b (dfaillances systmatiques) par les tests)
PTIF : 3
Indisponibilit critique
de scurit (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF
volution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps
PFD maximum
PFDavg = DU 0,5 T
PTIF
Temps
T 2T 3T 4T
Priode de test
Alimentarius fait rfrence et a fix ce nombre 12. De fait, une faon trs
simple de prsenter globalement la mthode HACCP est dindiquer quil sagit,
dans ses dernires tapes, des sept principes de la mthode, prcdes de
cinq tapes prliminaires destines collecter toutes les informations nces-
saires laccomplissement des fameux sept principes (tableau 1). Ce caractre
global de la mthode en fait un de ses atouts, chacun utilisant le mme drou-
lement de mthode.
Le statut rglementaire de la mthode HACCP a lui aussi volu, en particu-
lier sur le territoire europen. Dabord fortement recommande, puis
obligatoire (aprs transposition dans la loi nationale) pour lapplication de ses
principes dans la clbre directive hygine 93/43 (aujourdhui abroge), la
mthode HACCP est maintenant ancre fortement dans la rglementation
(rglement CE 178/2002 ou food law ) et largement rpandue dans les entre-
prises. Au-del de son caractre obligatoire, la mthode HACCP reprsente
pour celles-ci un vritable outil damlioration continue et, applique de faon
pragmatique dans la logique de ses 12 tapes, constitue le meilleur moyen
pour assurer la scurit de leurs produits finis.
Cet article se propose de dcrire les diffrentes tapes de la mthode en les
accompagnant, des fins didactiques, de commentaires, remarques et autres
retours dexprience de lutilisation de cette mthode.
1. tape 1 : constitution Cest un truisme que de dire que la mise en place dune
dmarche HACCP est un vritable travail dquipe. Cest au moins,
de lquipe HACCP et lvidence, une dmarche pluridisciplinaire ncessitant pour sa
mise en uvre des comptences trs varies. Mais cest gale-
dlimitation du champ ment, et plus particulirement, laffaire dune ou deux personnes.
ce titre, le rle de lanimateur est primordial pour la russite de
de ltude la dmarche et sa comptence reconnue en matire de mthode
HACCP doit le conforter. Il veille en particulier ladquation entre
la composition de lquipe et les besoins de ltude. Dans lidal,
une quipe de 5 6 personnes comptentes, volontaires et moti-
ves doit constituer une structure fonctionnelle non hirarchique
Hygine des aliments : ensemble des conditions et mesures
avec un animateur et un secrtaire technique. Au-del des fonc-
ncessaires pour assurer la scurit et la salubrit des aliments
tions qualit (assurance, contrle) et production incontournables
toutes les tapes de la chane alimentaire :
, les fonctions recherche et dveloppement, entretien et mainte-
scurit des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont prpars lquipe HACCP. Il sagit de constituer une quipe avec un noyau
et/ou consomms conformment lusage auquel ils sont dur qui va accompagner la dmarche du dbut jusqu la fin. De
destins ; fait, la formation la mthode HACCP de tous les membres de
salubrit des aliments : assurance que les aliments lorsquils lquipe est indispensable. Le rfrent HACCP de lquipe peut, par
sont consomms conformment lusage auquel ils sont desti- exemple, sappuyer sur le manuel de formation dit par la FAO
ns, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) Systme de qualit et de
Ainsi, lhygine des aliments nest pas lhygine alimentaire scurit sanitaire des aliments : manuel de formation [2]. Il
(apport raisonn par lalimentation des lments et nutriments insiste en particulier sur les liens, ainsi que la chronologie res-
ncessaires la vie). De mme, la scurit des aliments nest pecter dans leur mise en place respective, entre bonnes pratiques
pas la scurit alimentaire (scurit des approvisionnements, hyginiques et HACCP. Aprs la formation, lquipe HACCP
suffisance alimentaire). saccorde sur une dfinition des points critiques de matrise (CCP)
et autres points dattention (voir tape 7, 7), ainsi que sur un
Les notions de dangers et de risques sont souvent calendrier de ralisation. Un secrtaire technique seconde lanima-
employes de manire inapproprie, laissant penser que cela teur et veille ltablissement des comptes rendus des runions
puisse tre confondu, ce qui ne devrait pas tre le cas. de lquipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, prsent runions.
dans un aliment, ou tat de cet aliment, pouvant entraner un
Il est possible et recommand dadjoindre ce noyau dur, au
effet nfaste sur la sant.
gr des besoins et de la progression de ltude, toute personne
Risque : fonction de la probabilit dun effet nfaste sur la juge collectivement comme indispensable lavance du projet.
sant et de la gravit de cet effet rsultant dun ou de plusieurs Cette personne peut tre extrieure lorganisme (fournisseur,
dangers dans un aliment. consultant, experts divers et varis...). Il est important toutefois de
garder la main sur le sujet et de ne pas dpendre entirement
Ces confusions smantiques sont trs rpandues et de personnes extrieures, et il convient dtre trs prudent
devraient tre bannies, car elles ne participent pas simplifier vis--vis de la promesse dun systme complet cls en main . Il
le dbat et la communication. faut comprendre, assimiler et sapproprier la mthode HACCP pour
La sret de fonctionnement :
mthodes pour matriser les risques
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Lentreprise industrielle A G 4 670 1
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
A G 4 670 2 Techniques de lIngnieur, trait Lentreprise industrielle
Historique
Selon A. Leroy et J.P. Signoret [1], lentre-deux-guerres voit merger les Ces activits, ds leur prime jeunesse, ont d matriser les risques dacci-
concepts de abilit et de taux de dfaillance dans laronautique suite la dents. Elles ont dvelopp des approches dterministes trs pousses et se
comparaison des frquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyes sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre dheures de vol. lanalyse logique pour assurer la scurit. Lapport des approches probabilis-
tes permet de chercher ajuster les mesures de prvention des vnements
partir de la deuxime guerre mondiale, une discipline se dveloppe sous alatoires au lieu de rester abrit derrire des normes de dimensionnement
le nom de thorie de la fiabilit . Les dcennies 1940 et 1950 sont caractri- larges et coteuses.
ses par la dcouverte de lefcacit dune approche probabiliste applique partir de la dcennie 1980, les efforts entrepris dans tant de directions
llectronique dans laronautique, la dfense et le nuclaire. La formulation sapprofondissent, mais aussi tendent se rejoindre pour constituer cette dis-
de ce qui nous parat vident aujourdhui la probabilit de succs dune cipline dapplication trs tendue quest aujourdhui la sret de fonctionne-
chane de composants est le produit des probabilits de succs de chacun des ment. On note les dveloppements suivants :
composants fut lorigine dun dveloppement trs rapide dans les domaines constitution de bases de donnes de fiabilit ;
cits. dbut de normalisation en matire de sret de fonctionnement ;
Cette priode fut aussi celle dun dveloppement rapide de llectronique dveloppement des mthodes danalyse, de modlisation, de reprsen-
qui introduit des composants nombreux dont les dfaillances individuelles tation des systmes complexes ;
sont imprvisibles ce stade des connaissances, mais dont les dfaillances dveloppement de logiciels de calculs ;
collectives prsentent des rgularits statistiques ; sur un lot de composants dveloppement de logiciels de modlisation ;
homogne, on sait prdire avec une bonne conance le nombre de campagnes dessais pour recueillir des donnes de fiabilit ;
dfaillances par unit de temps qui vont se produire alors quon reste totale- utilisation large ou cible de la sret de fonctionnement dans la plupart
ment incapable de prdire quel composant va tomber en panne et quand. des industries ;
utilisation de la sret de fonctionnement pour matriser tout type de
risque industriel (et peu peu des risques juridiques, individuels, financiers,
Les dcennies 1960 et 1970 sont marques par les tentatives de gnraliser etc.) et non seulement la scurit ;
cette approche probabiliste si russie dautres composants : apparition et dveloppement des clauses contractuelles de sret de
mcaniques, hydrauliques, lectriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences lgales et rglementaires de sret de
lextension de lapproche au retour la normale ( la abilit vient sajouter la fonctionnement ;
maintenabilit). En mme temps se dveloppent des mthodes permettant de besoin croissant de connaissances pointues dans les domaines scienti-
matriser les risques de systmes complexes (centrale nuclaire, supersoni- fiques concerns dans les systmes complexes : systmes programms,
que...) et non plus simplement de chanes de composants (mme complexes). sciences humaines et sociales.
Ces dmarches sont conduites par les quipes constitues autour de la A ujourdhui, le terme sret de fonctionnement recouvre lensemble
thorie de la abilit . Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une conance jus-
risques qui a toujours accompagn les activits risque comme le transport. tie dans le succs dun projet, dune activit et son innocuit.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur, trait Lentreprise industrielle AG 4 670 3
Entre une position trs prudente consistant ne pas utiliser ces La sret de fonctionnement est souvent dnie comme :
composants faute de pouvoir viter les pannes, en les remplaant
temps par exemple, et une position trs risque consistant esprer abilit, disponibilit, maintenabilit et scurit ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet science des dfaillances ;
dvaluer statistiquement le risque pris en fonction des choix maintien de la qualit dans le temps.
darchitecture, de politique de maintenance, etc., mais elle ne le per-
met que parce quil y a une information utile qui est, ici, la loi de pro- Toutes ces dnitions sont reconnues divers titres par lInstitut
babilit de dfaillance des composants en fonction du temps ! de Sret de Fonctionnement (ISDF). Chacune de ces dnitions est
porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant rductrice, trop troite.
1.3 Produire de la confiance partageable La dnition fiabilit, maintenabilit, disponibilit et
grce la sret de fonctionnement scurit fait donc rfrence aux dnitions de ces termes ( 2.3
2.6) et met en avant la cohrence de ces approches. Par contre, si
En vertu du principe voqu en premier dans le paragraphe 1.1, la la abilit (ou la maintenabilit, la disponibilit et la scurit) est
sret de fonctionnement tend tout prvoir ( ne pas confon- aussi une performance dun systme, la SdF ne se rduit pas facile-
dre avec empcher tout accident ). En vertu du deuxime prin- ment une performance.
cipe ( 1.2), elle tend prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que La dnition science des dfaillances met laccent sur la
choix et dcisions ont pu tre faits et pris en toute connaissance de prise en compte des dfaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, limportance de la connaissance sur
les dfaillances (causes, effets, mcanismes...) sans laquelle il ny a
Il ny a pas proprement parler de dcisions de SdF. Il y a des pas dapproche SdF. Mais elle est rductrice en ce sens que la SdF
dcisions techniques, politiques, des choix de conception, dorgani- prend en compte et traite plus que des dfaillances.
sation, dexploitation, etc., toutes les dcisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, prive... La En ce qui concerne les vnements naux (les consquences), la
SdF permet de prendre en compte de faon explicite les SdF ne prend pas en compte que les dfaillances dans laccomplis-
dfaillances, les incertitudes, les alas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances quon dtient leur che abilit, maintenabilit, disponibilit ou dependability ), mais
propos. Ce caractre explicite permet de justier, de montrer, de dis- aussi des vnements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la reprsentation des consquences (souhai- tionnel du systme (approche oriente scurit).
tes et non souhaites, mais matrises) des dcisions que lon En ce qui concerne les vnements initiateurs (les causes), la SdF
prend ou que lon veut faire prendre. ne se limite pas aux dfaillances, mais peut permettre de prendre en
compte aussi bien des agressions de lenvironnement, des actions
Utiliser la sret de fonctionnement, cest rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phnom-
exploiter les informations relatives aux vnements non nes alatoires...
voulus : pannes, agressions, alas..., les prendre en compte
pour des dcisions plus nes, plus justes, inspirant plus La dnition maintien de la qualit dans le temps souli-
conance. gne limportance de la dure et limportance de la rfrence des
exigences (explicites ou non). Elle a le dfaut de laisser supposer
Cela souligne aussi le fait quil ny a pas de dmarche sret de quune activit SdF se conduit ncessairement dans le cadre dune
fonctionnement possible sil ny a pas de connaissances. La SdF est dmarche qualit, ce qui est faux. Cest le choix explicable histori-
toujours totalement dpendante de la connaissance du systme tu- quement de certains secteurs industriels o la sret de fonction-
di et de ltat des sciences concernes. La recherche de ces infor- nement est trs dveloppe lintrieur de lorganisation Qualit,
mations, en particulier par le retour dexprience et les essais, est mais nest pas une ncessit ; dautres secteurs ont une forte exp-
donc indissociable de la SdF. rience de la sret de fonctionnement antrieure la Qualit au
sens moderne incarn par les normes ISO 9 000 et bien dautres, en
particulier une exprience de la sret de fonctionnement oriente
vers la scurit.
2. Notions fondamentales Nota : la recherche de termes quivalents dans dautres langues pose de srieux probl-
mes.
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
AG 4 670 4 Techniques de lIngnieur, trait Lentreprise industrielle
scurit (SIS) ainsi que certaines MMR qui couplent des quipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de systme action manuelle de scurit (SAMS), des
conditions quant la nature de laction humaine sont vrifier avant de
pouvoir les considrer comme des MMRI. Le prsent article sattache donner
les cls au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations ncessaires la ralisation des fiches de vie. Les
aspects lis lexploitation et la gestion des comptences ne seront pas
abords dans cet article. Le lecteur pourra se rfrer aux recommandations
prsentes dans la guide mthodologique pour la gestion et la matrise du
vieillissement des MMRI (guide DT 93).
Glossaire 1. Caractrisation
Acronyme Signification dune mesures de matrise
ADR
APS
Analyse dtaille des risques
Automate programmable de scurit
deRs risques
(aussi nomm APidS pour automate instrumentes (MMRI)
programmable ddi la scurit)
AU Arrt durgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrire technique de scurit
Entre 2007 et 2009, les pertes de confinements survenues
EDD tude de dangers Ambs (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI vnement initiateur de-la-Crau (7 aot 2009) avec des consquences environnementales
importantes ont mis en lumire la problmatique du vieillissement
ER vnement redout des installations. Le tableau 1 prsente les causes et les cons-
FCV Flow Control Valve quences associes ces trois pertes de confinement.
GMAO Gestion de la maintenance assiste Au regard des accidents lists dans le tableau 1 et de lge
par ordinateur moyen de loutil industriel en France, le ministre du Dveloppe-
ment a dcid dinitier fin 2008 par sa note du 12 dcembre 2008
ICPE Installations classes pour la protection (note BRTICP 2008-601-CBO) un plan pour la matrise du vieillisse-
de lenvironnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annonc de prvenir la survenue dincidents dont les causes
seraient lies lge des installions.
MMR Mesure de matrise des risques
MMRI Mesure de matrise des risques instrumente Il est demand aux industriels dvaluer si la dfaillance de leurs
installations est susceptible de conduire un risque technologique
MMRI C Mesure de matrise des risques instrumente direct ou indirect. Dans laffirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de matrise des risques instrumente
de scurit Les quipements concerns sont :
NC Niveau de confiance les capacits et tuyauteries ;
PID Piping and Instrumentation Diagram les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour lenvironnement et bacs cryogniques ;
industrielles les canalisations de transport de gaz, dhydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;
Localisation/
Cause Consquence
date
Dversement de fioul
lourd dans lestuaire
de la Loire au cours
dun chargement de lorigine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brche de 16 cm due une corrosion
navire Fuite dcele seulement 5 h aprs
478 t de fioul dverses dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilises
pendant 3 mois et demi pour nettoyer
90 km de berges souilles
Dommages, cots de dpollution et
indemnisations estims environ
50 millions
Source : prsentation faite par le ministre de lEnvironnement sur ltat davancement du plan de modernisation du 13 janvier 2010
Cet arrt dfinit une MMRI comme une mesure de matrise des traitement comprenant une prise dinformation (capteur, dtec-
risques faisant appel de linstrumentation de scurit. Le guide DT teur...), un systme de traitement (automate, calculateur, relais...) et
93 vient prciser cette dfinition : MMR constitue par une chane de une action (actionneur avec ou sans intervention dun oprateur).
1.3 MMRI parmi les MMR Les diffrents types de MMR sont prsents sur le schma de la
figure 1.
Dans son rapport 10 [3], lINERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de dcembre 2008, la terminologie utilise
cation prsente en figure 1 pour caractriser les MMR. Les dfini- est le terme de barrire (remplac ici par MMR).
tions sont les suivantes :
lheure actuelle, la smantique retenue par les inspecteurs
MMR humaine : MMR constitue dune activit humaine qui DREAL dans le cadre des instructions des EDD et PPRT est celle
soppose lenchanement dvnements susceptible daboutir rapporte sur le schma de la figure 1.
un accident ;
MMR technique : MMR constitue dun dispositif de scurit Il est important de bien comprendre que comme reprsent sur
ou dun systme instrument de scurit (SIS) qui soppose la figure 1, les MMRI sont tout dabord des MMR et que de ce fait,
lenchanement dvnements susceptible daboutir un accident ; elles doivent rpondre aux exigences de larticle 4 de larrt du
systme action manuelle de scurit (SAMS) : MMR faisant 29 septembre 2005.
intervenir des lments techniques et humains. Les MMRI peuvent donc tre considres comme un sous-
groupe de MMR. Deux types de MMRI sont diffrencier :
les MMRI qui couplent des dispositifs techniques (capteurs,
En croisant les dfinitions prcdentes celle dune MMRI automate, etc.) et une action humaine (action oprateur). Ces
(cf. arrt du 4 octobre 2010), il apparat que les SIS et certains MMRI sont assimilables des systmes action manuelle de scu-
SAMS peuvent entrer dans la catgorie des MMRI. rit (SAMS) dans lesquels laction humaine est limite ( 1.5.1) ;
MMR
Systmes action
manuelle de scurit
(SAMS)
Dispositif de
scurit Systmes
instruments de
scurit (SIS)
Passif Actif
Figure 1 Caractrisation des mesures de matrise des risques daprs lINERIS [3]
PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Utiliser les frquences de fuite rapportes par lEGIG 6th dans le cadre dune
analyse de risques portant sur une canalisation de transport de gaz ne pose a
priori pas de problme, puisque les valeurs rapportes dans cette banque de
donnes sont spcifiques ce secteur dactivit. En dautres termes, les
valeurs rapportes dans cette banque constituent de bons estimateurs des fr-
quences de fuite. En revanche, lorsque lon souhaite valuer la frquence de
fuite sur une canalisation pour un secteur dactivit qui nest pas couvert par
une banque de donnes spcifique, il se pose la question de la reprsentativit
des valeurs. En effet, comment juger si la valeur rapporte dans la banque est
trop pessimiste, ou au contraire trop optimiste, au regard des diffrentes
causes de fuite et mesures de prvention identifies lors de lanalyse des ris-
ques. Pouvoir scarter la hausse ou la baisse des valeurs rapportes dans
les banques de donnes devient alors ncessaire si lon souhaite mener une
analyse des risques spcifique en prenant en compte les particularits du
systme tudi (nature et intensit des causes pouvant mener la fuite, perfor-
mance des mesures de prvention mises en place par lindustriel, etc.).
Cet article propose de faire un point sur ltat des connaissances actuelles
sur le thme de la pondration des frquences de fuite dans le cadre des ana-
lyses de risques quantifies.
_____________________________________________ PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
1. Introduction 2. Quantification
Les enjeux lis la ralisation danalyses des risques deviennent
des frquences de fuite :
de plus en plus cruciaux pour les industriels. En effet, gravit une ncessit
dans les analyses
constante, un scnario daccident peut, en fonction de sa probabi-
lit, ncessiter des modifications des concepts de scurit, voire
dans le cas de la rglementation franaise, aboutir :
au refus de lautorisation dexploiter (tude de danger ralise
de risques quantifies
dans le cadre de DAE) ;
la fermeture de site industriel dans le cas o lacceptabilit
du site ne pourrait tre dmontre au sens de la circulaire du 2.1 Rappel sur la quantification
29 septembre 2005 ; des risques
lexpropriation de riverains conscutivement la mise en
uvre dun plan de prvention des risques technologiques (PPRT). La quantification des risques implique lvaluation de la probabi-
Lvaluation des probabilits doccurrence des accidents indus- lit et de la gravit des accidents. Cette dernire repose gnrale-
triels ncessite un degr de dtail de plus en plus pouss, et donc ment sur une valuation des distances deffets, puis sur le
le recours lutilisation de mthodologies de plus en plus dcompte des cibles impactes. Lvaluation de la probabilit,
complexes (arbre de dfaillances, arbre dvnements, etc.) pour repose de plus en plus sur la mise en uvre de mthodologies qui
lesquelles lutilisation de banques de donnes est souvent ncessitent le recourt lutilisation de banques de donnes. La
ncessaire. Afin dviter de surestimer ou de sous-estimer les figure 1 prsente de manire simplifie les diffrentes tapes
risques, ou encore de raliser des tudes standard , il parait menes lors dun processus de quantification des risques.
indispensable de scarter la hausse ou la baisse des valeurs Lors de lvaluation des probabilits des accidents, trois princi-
rapportes dans les banques de donnes. Mener une rflexion sur paux facteurs doivent tre valus :
la ncessit de pondrer ces valeurs est aujourdhui essentiel au
regard des enjeux lis aux analyses des risques. Ainsi, dans le 1) la frquence de lvnement redout lorigine de
cadre des projets dingnierie, estimer au plus juste les frquences laccident [SE 4 055] ;
de fuite est impratif, dune part pour dmontrer lacceptabilit des 2) la probabilit de dfaillance des mesures de mitigation
risques, et dautre part pour optimiser les cots lis aux rsultats [SE 4 057] [SE 4 058] ;
des tudes de scurit (implantation des quipements, perfor- 3) la probabilit dinflammation (dans le cas des produits
mances allouer aux chanes de scurit, etc.). inflammables) [SE 4 020].
PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Probabilit de dfaillance
des barrires de scurit
valuation valuation
de la probabilit (P) de la gravit (G)
Probabilit
d'inflammation
Divers (direction
des vents, etc.)
valuation du risque
(P x G)
Critres
d'acceptabilit
NON Barrire(s)
Risque acceptable ? de scurit
supplmentaire(s)
OUI
Fin de l'analyse
Dautres paramtres sont parfois introduits dans le cadre de substances inflammables (12,5 %) ;
lvaluation des probabilits daccident ; on peut citer par exemple substances extrmement inflammables (8,9 %) ;
la rpartition statistique des directions de vent. substances trs toxiques (6 %).
Bien que lobjet de cet article ne soit pas de dtailler les diff- Cette tude permet aussi didentifier le poids des diffrents qui-
rentes mthodologies permettant de quantifier les frquences des pements lorigine de la plupart des pertes de confinement recen-
vnements redouts, il est important de rappeler quil existe deux ses. Cette rpartition est prsente dans le tableau 1.
approches :
1) lapproche dite directe qui consiste allouer lvnement La majorit des incidents se produit lors du fonctionnement nor-
redout une frquence extraite dune banque de donnes ; mal de linstallation ; seuls 15,6 % des incidents se sont produits
2) lapproche dite par calcul qui consiste valuer la fr- durant une opration de maintenance.
quence de lvnement redout partir de la connaissance des fr- Les canalisations (en incluant les brides, les soudures, le corps
quences des vnements initiateurs et des probabilits de et les open end ) sont lorigine de 23,3 % des pertes de
dfaillances des mesures de prvention. confinement ; celles-ci se produisent dans 51 % des cas durant le
ce jour, lapproche directe est gnralement retenue pour les fonctionnement normal de linstallation et 32 % durant une phase
vnements redouts de type perte de confinement sur capacit. de maintenance.
Cette approche est aussi prfre dans le cadre de la ralisation Une analyse plus profonde de la causalit des pertes de
des analyses QRA du fait du trs grand nombre dvnements confinement permet de mettre en vidence une dfaillance du
redouts traits dans ce type dtude. systme de management de la scurit.
Lanalyse dmontre que 81 % des incidents sont le rsultat de
2.2 Perte de confinement sur capacit : plans ou dapplication de procdures inadquats qui incluent :
vnement redout type la conception de linstallation dans 25,6 % des cas ;
dans les analyses de risques la planification dopration dexploitation ou de maintenance
qui reprsentent respectivement 15,6 % et 22,6 % des cas ;
Le rapport de projet men par le Health & Safety laboratory, qui la gestion des modifications dans 5,7 % des cas ;
vise fournir des informations au HID (hazardous installations la gestion du permis feu dans 4,9 % des cas ;
directorate ) [1], apporte des lments qui permettent de mettre en les procdures dinspection dans 3,5 % des cas ;
vidence limportance du poids des pertes de confinement au tra- lvaluation des comptences dans 1,7 % des cas.
vers des incidents et accidents recenss. Cette tude, effectue en
Grande Bretagne sur une dure de onze ans (entre 1991 et 2002)
dmontre que sur 2 500 incidents, 718 impliquent une perte de retenir : ltude du HSL permet de confirmer que la perte
confinement dquipement. de confinement sur quipement constitue lun des vnements
La nature des produits impliqus dans ces incidents sont en redouts rcurrents lors de lanalyse des incidents et accidents
majorit (63,6 %) soumis aux rglementations COMAH (control of recenss dans laccidentologie. Il ressort aussi limportance du
major accidents hazards ) en Grande Bretagne. Ces produits sont systme de management de la scurit dans la prvention des
des : accidents, puisque 81 % des incidents recenss dans cette
tude sont le rsultat de plan ou dapplication de procdures
produits toxiques (15,3 %) ;
liquides trs inflammables (13,2 %) ; inadquats.
_____________________________________________ PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
3 105 3 105
E R E R
3 104 3 104
A B C A B C
_____________________________________________ PONDRATION DES FRQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
n
Fp = FBdD i =1(wi Pdi )
Nota : seules les barrires qui sont supposes ne pas tre dj prises en compte dans
la valeur de frquence issue de la banque de donnes peuvent tre retenues. retenir : lapproche dcrite dans ce paragraphe ne doit pas
tre confondue avec la dmarche de quantification dun arbre
partir de larbre prsent en figure 3, la frquence de lvne- des causes ou de dfaillances. Dans lapproche faisant lobjet
ment redout Rupture guillotine de canalisation se calcule de ce paragraphe, la frquence de lvnement redout F(ER)
comme suit : est value partir dune valeur issue dune banque de don-
nes F(BdD) qui est pondre laide de la rpartition statis-
F(ER) = F(C1) + F(C2) + F(C3) + F(C4) tique des causes et des probabilits de dfaillance alloues aux
F(ER) = F(C1)) (Pd1) + F(C2) (Pd2) + F(C3) (Pd3) + F(C4) (Pd4)) barrires de prvention.
A contrario, la quantification dun arbre des causes permet
avec F(Ci) = F(BdD) wi, dvaluer la frquence de lvnement redout partir des fr-
quences des vnements initiateurs (ou causes) et des probabi-
F(BdD) frquence de fuite issue de la banque de donnes,
lits de dfaillance des barrires de prvention.
wi poids statistique de la cause no i,
Pdi probabilit de dfaillance de la barrire no i. 3.2.2 Principe de lapproche 2
Cette approche, qui parat relativement simple mettre en Contrairement lapproche 1, celle-ci est plus macroscopique.
uvre, implique de dtenir des donnes difficiles trouver. Tout En effet, elle ne se base pas sur une pondration de chacune des
dabord, il est impratif de disposer dune rpartition statistique de causes pouvant mener lvnement redout, mais pondre direc-
causes pouvant amener la ralisation de lvnement redout, tement la frquence issue de la banque de donnes. Cette pond-
afin de pouvoir valuer le poids de chacune des causes. Ensuite, il ration repose gnralement sur une identification au pralable
faut tre en mesure de quantifier leffet des barrires de prven- dune liste de paramtres qui sont supposs avoir une influence
tion mises en place sur la frquence des vnements initiateurs. sur la frquence de fuite. Ces paramtres font gnralement
Pour chacune des deux phases de cette dmarche idale , le intervenir :
tableau 2 liste les difficults de mise en uvre.
la conception des installations (code utilis, prise en compte de
La figure 4 prsente les diffrentes tapes de cette approche. facteur de scurit, etc.) ;
valuation de la criticit
des quipements
Mthodes dexploitation des jugements
dexperts
par Gilles ZWINGELSTEIN
Ingnieur de lcole nationale suprieure dlectrotechnique, dlectronique, dinformatique,
dhydraulique et des tlcommunications de Toulouse (ENSEEIHT)
Docteur-Ingnieur Docteur s sciences
Professeur associ des universits retrait, Universit Paris Est Crteil, France
1. Brainstorming SE 4 004 - 3
1.1 Origine et domaines dapplications ........................................................ 3
1.2 Principes originaux du brainstorming .................................................... 3
1.3 Adaptation de la mthode du brainstorming pour la recherche
de la criticit des quipements ................................................................ 3
1.4 Droulement dune sance de brainstorming........................................ 3
1 .5 Avantages et inconvnients de la mthode du brainstorming............. 4
1.6 Conclusions ............................................................................................... 4
2. Mthode Delphi ....................................................................... 4
2.1 Origine et domaines dapplications ........................................................ 4
2.2 Description de la mthode Delphi initiale............................................... 5
2.3 Variantes de la mthode Delphi .............................................................. 7
2.4 Avantages et inconvnients de la mthode Delphi ............................... 7
2 .5 Conclusions ............................................................................................... 7
3. Mthode de lAbaque de Rgnier ........................................... 8
3.1 Origine et domaines dapplications ........................................................ 8
3.2 Principe original de la mthode............................................................... 8
3.3 Adaptation de la mthode pour la dtermination de la criticit ........... 8
3.4 Variante de la mthode Delphi : mthode de Delphi Rgnier ............ 11
3.5 Avantages et inconvnients de lAbaque de Rgnier .......................... 12
3.6 Conclusions ............................................................................................... 12
4. Mthode de notation Pieu ....................................................... 12
4.1 Origine et domaines dapplications ........................................................ 12
4.2 Principe de la mthode............................................................................. 12
4.3 Variantes de la mthode Pieu .................................................................. 14
4.4 Avantages et inconvnients de la mthode Pieu ................................... 16
4.5 Conclusions ............................................................................................... 17
5. Mthodes fondes de la maintenance base sur la fiabilit (MBF) 17
5.1 Origine et domaines dapplications ........................................................ 17
5.2 Principes de la maintenance base sur la fiabilit ................................. 17
5.3 Mthodes de dtermination de la criticit pour la MBF : RCM ............. 18
5.4 Avantages et inconvnients des mthodes fondes
sur la maintenance base sur la fiabilit ................................................ 22
5.5 Conclusions ............................................................................................... 22
6. Mthode dIshikawa (arbres causes-consquence-5M) .............. 22
6.1 Origine et domaines dapplications ........................................................ 22
6.2 Principe gnral de la construction du diagramme dIshikawa............ 22
6.3 Avantages et inconvnients du diagramme dIshikawa........................ 25
7. tudes comparatives des mthodes dlaboration
de la criticit par jugements dexperts ........................................... 26
8. Conclusion .............................................................................................. 26
1. Brainstorming
Analyse
Brainstorming
fonctionnelle
1.1 Origine et domaines dapplications
Identification
Pour la dtermination de la criticit des quipements dune des dfaillances
installation industrielle et en absence de retour dexprience, il est des quipements
possible dadapter la mthode dite du brainstorming ou
remue-mninges , utilise dans les entreprises pour trouver des
solutions innovantes, en runissant un groupe dexperts des
quipements, pilot par un animateur, pour obtenir un consensus Identification
sur les diffrents attributs associs la criticit des quipements. des consquences
des dfaillances
Pour atteindre cet objectif, il est indispensable de sinspirer de la des quipements
mthode dfinie ci-dessous par son concepteur Alex Osborn [1] et
de faire les adaptations ncessaires.
Classification
1.2 Principes originaux du brainstorming de la criticit
des quipements
On est plus intelligent plusieurs que seul , tel est le principe
de base du brainstorming. Le brainstorming (association des
termes anglais brain [cerveau] et storm [tempte]) est une Figure 1 tapes dune session de brainstorming analyse
technique de crativit en groupe labore en 1940 par le publici- fonctionnelle
taire Alex Osborn. Selon lui, la qualit dune ide ou dune solution
nat de la quantit des propositions dun groupe. Le principal
intrt de la mthode provient du fait que des ides trs nombreu- conception, exploitation, maintenance, scurit et environnement
ses et originales sont produites. Pour cela, les suggestions et dune personne prenant les notes.
absurdes sont admises durant la phase de production dides et de
stimulation mutuelle. En effet, des personnes ayant une certaine 1.4.1 Nomination dun modrateur expriment
rserve peuvent alors tre incites sexprimer, par la dynamique
sur le sujet
de la formule et/ou par les effets volontaires (interventions) de
lanimation. Rsultat : en dpit de la peur premire de formuler La principale tche de lanimateur est de rendre les sances de
une ide absurde, des ides excellentes peuvent se mettre brainstorming aussi productives que possible. Son rle est capital et
surgir. Cest pour amener laccouchement de ces bonnes ides il doit en particulier matriser le comportement des quipements et
en toute quitude que labsence de critique, la suggestion dides les effets de leurs dfaillances. Il nonce le but recherch lors des
sans aucun fondement raliste et le rythme, sont des lments sances de travail, distribue le temps de parole lors dun tour de table
vitaux pour la russite du processus. par exemple, et finalement il ralise les documents de synthse.
Cette tche est complexe car elle implique de faire respecter
1.3 Adaptation de la mthode strictement les rgles de base du brainstorming, de noter les avis
du brainstorming pour la recherche mis et de piloter subtilement le processus de classification de la
criticit des quipements, surtout si les sances de brainstorming
de la criticit des quipements sont des occasions uniques de rassembler les experts en raison de
La mthode du brainstorming a fait lobjet dune adaptation pour la leur faible disponibilit.
dfinition de la criticit des quipements en fonction des
consquences fonctionnelles des dfaillances [2]. Cette adaptation a 1.4.2 Constitution de lquipe de travail
t ralise dans le domaine de la scurit aronautique et combine et planification des runions et prparation
une approche fonctionnelle et la mthode classique du brainstorming. du brainstorming
Dans la phase fonctionnelle prliminaire de dtermination de la
criticit, on procde en trois tapes : Le modrateur slectionne les experts reprsentant les diffrents
ralisation de linventaire des fonctions ; spcialistes des quipements et planifie les runions.
identification des dfaillances du systme (perte ou dgra- Ce sont des acteurs essentiels pour la dtermination des qui-
dation des fonctions) et des quipements qui en sont la cause ; pements critiques.
identification des consquences potentielles des dfaillances Lexprience montre quun groupe de quatre six personnes est
des quipements et de leurs frquences acceptables doccurrence. tout fait adquat pour le brainstorming.
Comme cette premire approche nest que rarement exhaustive,
Comme en gnral les participants sont trs sollicits par leurs
il devient ncessaire de faire appel ltape de brainstorming
responsabilits oprationnelles quotidiennes, le modrateur doit
runissant un animateur et un panel dexperts spcialistes des
sassurer auprs de leurs responsables hirarchiques de leur
diffrents aspects lis lexploitation, la maintenance, la
disponibilit, sinon leur absence entranera obligatoirement des
scurit et aux aspects rglementaires.
retards. Pour une bonne efficacit des sances, il est indispensable
La figure 1 montre les tapes de la mthode. de procder en plusieurs tapes :
slectionner et organiser les participants, en particulier les
1.4 Droulement dune sance experts oprationnels ;
prsenter aux membres du groupe les objectifs ;
de brainstorming rparer lapproche de la mthode du brainstorming ;
Le brainstorming suppose le respect de certaines rgles et un prparer et prciser le contenu de la mthode de dtermi-
droulement en plusieurs tapes pendant les runions de travail. nation des dfaillances des quipements ;
Un groupe optimal pour obtenir la meilleure efficacit des sances prsenter les aspects pratiques de la dtermination de la criti-
de brainstorming est compos dun modrateur, dexperts en cit des quipements.
travers observs pendant des discussions directes en runion par Variance : on appelle variance de la srie statistique
une mthode dfinie avec beaucoup de soins avec une interro- (xk ; nk ) le nombre :
gation personnelle et anonyme de chaque expert laide de
questionnaires conscutifs et individuels sous la responsabilit
dun animateur. Entre chaque nouveau questionnaire, de nouvelles n1 (x1 x ) 2 + n 2 (x 2 x ) 2 + ... + n p (x p x ) 2
V=
informations et de nouvelles justifications sont demandes N
chaque expert jusquau moment o lanimateur aura obtenu un
consensus parmi tous les experts. La procdure est reprsente cart type : lcart type dune srie statistique est dfini
sur la figure 2. Cette procdure appele licitation dexperts
permet dobtenir les avis des diffrents experts qui ne se par : = V .
connaissent pas ; le dpartement de la Dfense amricain dfinit Elle caractrise la dispersion autour de la moyenne.
l licitation (intelligence) comme lacquisition dinformation
auprs dune personne ou dun groupe avec une procdure qui ne Mdiane : la mdiane Me dune srie ordonne par ordre
dvoile pas lutilisation des rponses qui seront fournies. croissant partage cette srie en deux parties telles que la
moiti au moins prend des valeurs infrieures ou gales la
Lobjectif de ces questionnaires successifs est de diminuer mdiane :
lespace interquartile tout en prcisant la mdiane (encadr si le nombre de donnes est pair, N = 2p : la mdiane est
Rappels statistiques ). la moyenne des pime et (p + 1) ime valeurs ;
La mthode Delphi utilise une interrogation personnelle et si le nombre de donnes est impair, N = 2 p + 1 : la
anonyme de chaque expert laide de questionnaires conscutifs mdiane est la (p + 1) ime valeur.
et individuels sous la responsabilit dun animateur. Entre chaque Les quartiles : les valeurs dune srie deffectif N sont
nouveau questionnaire, de nouvelles informations et de nouvelles ranges par ordre croissant :
justifications leur sont demandes jusquau moment o
lanimateur aura obtenu un consensus de tous les experts. Dans le premier quartile Q1 de la srie est la valeur xi dont
cette procdure dlicitation dexperts, lanimateur renvoie de N
nouveaux questionnaires pour demander des justifications lindice i est le plus petit entier suprieur ;
4
dtailles sur leurs rponses. Il rassemble les diffrents avis et les le troisime quartile Q3 de la srie est la valeur xj dont
envoie aux autres experts pour commentaires et critiques, et ven-
tuellement pour obtenir un changement davis. Ainsi, les experts 3N
lindice j est le plus petit entier suprieur .
peuvent rviser leurs jugements initiaux et prendre en compte des 4
faits quils avaient ngligs en les considrant comme non impor- Intervalle interquartile : cest une mesure de dispersion.
tants ou totalement ngligeables.
Lintervalle interquartile est lintervalle [Q1 ; Q3].
Lcart interquartile : lcart interquartile est la diffrence
2.2 Description de la mthode Delphi Q = Q3 Q1.
initiale Le schma ci-dessous permet de visualiser ces caractris-
tiques statistiques.
Dans un premier temps la dmarche dorigine est prsente sachant
que de nombreuses variantes ont t dveloppes par la suite avec
lmergence des nouvelles technologies (Internet, rseaux sociaux) et 75 %
qui feront lobjet de paragraphes spcifiques dans ce chapitre. 25 %
Phase 1 : formulation du problme
Llaboration du questionnaire doit se faire selon certaines Min Q1 Mdiane Q3 Max
rgles : les questions doivent tre prcises, quantifiables (elles
portent par exemple sur les probabilits de ralisation dhypo-
Remarques : le couple (mdiane ; cart interquartile) est
thses et/ou dvnements, le plus souvent sur des dates de rali-
robuste par rapport aux valeurs extrmes, mais sa dtermi-
sation dvnements) et indpendantes (la ralisation suppose
nation (les quartiles) nest pas trs pratique. Plus lcart inter-
dune des questions une date donne na pas dinfluence sur la
quartile est grand, plus la dispersion est importante.
ralisation dune autre question).
Phase 2 : choix des experts explicitement si celle-ci se situe hors de lintervalle (Q1-Q3). Les
Le manque dindpendance des experts peut constituer un experts renvoient les rponses, ventuellement les raisons.
inconvnient ; cest pourquoi, par prcaution, les experts sont iso- Il comporte deux parties principales : dabord, les rsultats et les
ls et leurs avis sont recueillis par voie postale ou par courrier rponses du premier questionnaire sont prsents sous forme de
lectronique et de faon anonyme : on obtient donc lopinion de liste ou de tableau ; ensuite, les experts classent les lments de
chaque expert et non une opinion plus ou moins fausse par un rsultats afin dtablir des priorits et sont autoriss examiner
processus de groupe (pas de leader ). leurs rponses la lumire de lavis dautres experts, ajouter des
commentaires et modifier leurs rponses.
Phase 3 : droulement pratique et exploitation des rsultats
Une fois le processus de slection des experts achev, un Lanimateur traite ces informations et prpare le troisime
questionnaire est distribu chaque membre du panel. Les questionnaire.
membres sont encourags tirer parti de leurs expriences et Le troisime questionnaire et tous les questionnaires suivants
utiliser toutes les donnes historiques ou dautres ressources pour contiennent trois grandes parties. Dabord, ils comprennent les
les aider rpondre aux questions poses. Toutefois, les experts rponses toutes les questions prcdentes, avec quelques
du panel ne doivent pas se consulter entre eux pour viter un biais donnes statistiques permettant aux experts de voir comment
dans les rponses. leurs rponses sont lies celles des autres membres du groupe.
Le premier questionnaire se compose gnralement dune ou de
deux questions. Celles-ci sont destines tre ouvertes sur le Deuximement, ils incluent des commentaires et des raison-
domaine concern. Les experts donnent leur avis et retournent le nements que les experts mettent dans leurs rponses. Troisi-
questionnaire lanimateur. mement, ils donnent loccasion aux experts dexaminer et de rviser
leurs rponses prcdentes. Puis le questionnaire est retourn
Celui-ci examine les rponses et utilise cette information pour lanimateur. Ce troisime questionnaire vise opposer les rponses
laborer des questions plus spcifiques qui seront utilises dans le extrmes en rapprochant leurs arguments. Il est en outre demand
deuxime questionnaire. chaque expert de critiquer les arguments de ceux qui se situent
On notera que selon les versions de la mthode Delphi, on peut en-de de Q1 et au-del de Q3. Comme on le voit, la convergence
utiliser une chelle de cotation comme lchelle de Likert, est force, voire manipule, puisque seuls les extrmes sont oppo-
frquemment utilise dans les questionnaires de psychologie. Elle ss, alors quensemble, ils reprsentent autant de rponses quil y
a t dveloppe par le spcialiste en psychologie organisation- en a dans lintervalle (Q1-Q3). En outre, il nest jamais demand aux
nelle Rensis Likert [5]. Dans la majorit des cas, une chelle cinq extrmes de critiquer les arguments de ceux qui sont dans lespace
ou sept niveaux est utilise. interquartile. La procdure Delphi est reprsente sur la figure 3.
Ce premier questionnaire a pour objectif de reprer la mdiane Ce processus se poursuit jusqu ce quun consensus dfinitif
et lintervalle interquartile (encadr rappels statistiques ). La soit atteint par le groupe (nombre de tours pouvant aller de 3 7).
mdiane (deuxime quartile) est litem au-dessous duquel 50 %
des experts pensent que lvolution sera ngative et au-dessus Un ingrdient cl de ce processus est lanonymat des membres
duquel 50 % des experts pensent quau contraire, elle sera posi- du panel dexperts car il limine de nombreux problmes qui
tive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on dfi- dcoulent de prjugs et de linfluence de ses pairs.
nit aussi respectivement le premier quartile (Q1) et le troisime
quartile (Q3). Lespace interquartile est constitu par lintervalle Cette mthode a t utilise pendant la guerre froide pour
(Q1-Q3). Lanimateur ralise une premire synthse pour laborer connatre par exemple le nombre de bombes sovitiques nces-
le second questionnaire. saires pour dtruire des sites industriels aux tats-Unis. La
consultation de sept experts aprs trois questionnaires successifs
Le second questionnaire est labor et a pour objectif de rduire a permis de rduire de faon significative les premires
les positions contradictoires (cest--dire lintervalle Q1-Q3). Ce estimations comme indiqu sur le tableau 1.
questionnaire est envoy aux experts pour quils rvisent leurs
positions et on demande explicitement aux experts ayant des On peut noter que le rapport initial maximum/minimum qui tait
jugements extrmes de se justifier. Cela signifie quil est demand de 100 a t rduit 360/167 trs proche de 2 do lefficacit
chaque expert de fournir une nouvelle rponse et de se justifier remarquable de la mthode Delphi.
Coordinateur
Groupe questionnaires Rapport
dexperts dpouillements final
analyse
synthse
statistiques
valuation de la criticit
des quipements.
Mthodes analytiques
Le 9 novembre 1949, larme amricaine a publi la norme 1988 : Alain Villemeur [2] prsente dans son ouvrage neuf
MIL-P-1629 [1] qui a dfini lun des tous premiers outils mthodes danalyse en sret de fonctionnement ;
analytiques de la sret de fonctionnement : lAMDEC (analyse des 2002 : Jrme Tixier et al. [3] ont tabli un inventaire de 62
modes de dfaillances, de leurs effets et de leur criticit). mthodes pour lanalyse des risques pour les installations indus-
Initialement conu pour les systmes darmement, cette norme trielles. Il classe les mthodes en deux groupes : qualitatifs et
avait pour objectifs de dterminer les effets des dfaillances des quantitatifs, qui sont leur tour diviss en trois catgories :
systmes et des quipements. La criticit des dfaillances svalue dterministes, probabilistes et mixtes ;
Lutilisation dun tableau danalyse tabulaire constitue un outil [SE 4 010], il est important de retenir une trame qui contient les
utile pour synthtiser le raisonnement et assurer le raisonnement notions de gravit et doccurrence des consquences des dfaillan-
intellectuel du groupe de travail charg de la dtermination de la ces des quipements dans le cadre dune tude sur la criticit des
criticit des quipements. On remarquera quil ny a pas de trame quipements.
unique, mais celle-ci doit au minimum contenir les rsultats Dans le cadre de la recherche de la criticit des quipements, il
attendus de lanalyse et ventuellement dautres colonnes est recommand de mettre en uvre des tableaux utiliss pour
(structuration, traabilit). Cependant, comme indiqu dans ces analyses qui contiennent :
Mesures
vnement
Sous- vnement de
Entit causant Situation Effets Occurrence
systme ou Phase causant un Accident Gravit prvention
dangereuse une situation dangereuse consquences (frquence)
quipement accident ou de
dangereuse
protection
Dfinition du systme, de ses fonctions et de ses composants tablissement de leurs effets et de leur criticit
Dans cette premire tape, on identifie les principales fonctions Dans cette tape, on recense les effets ou consquences que
du systme, ses limites fonctionnelles (systmes et composants) peut avoir chaque mode de dfaillance. Il convient de les valuer
les spcifications relatives au fonctionnement du systme, de ses sur le (ou les) niveau(x) suprieur(s), jusquau niveau le plus haut
composants ou de lenvironnement du systme. (effet local, effet au niveau immdiatement suprieur, effet final).
Ensuite, il est impratif de dfinir le niveau de dfinition de La criticit est lexpression de limportance globale dune
lAMDEC : niveau procd, niveau systme, niveau composant ou dfaillance donne.
niveau pice lmentaire.
Elle permet de hirarchiser les dfaillances selon leur influence
tablissement des modes de dfaillance des composants et globale sur le systme, le process, le client, etc. vis--vis des
leurs causes objectifs matriser (scurit, maintenance).
Cette phase doit tre la plus complte possible et demeure le Elle peut tre exprime par un paramtre ou une combinaison
point faible de la mthode. Un mode de dfaillance dcrit laltra- de paramtres tels que :
tion dune fonction attendue. Les modes de dfaillance sont dfinis
par rapport un fonctionnement prcis du systme et sont donc gravit : classe ou degr sur les effets des dfaillances ;
dpendants de celui-ci. Pour aider lanalyse, on utilise des tableaux probabilit doccurrence : taux de dfaillance, frquence
comme le tableau 4 donnant quelques modes de dfaillance de la dapparition ;
liste-guide de modes gnriques de dfaillance (norme dtection : probabilit ou niveau, de dtectabilit du mode de
EN 60812 [16] qui remplace la norme AFNOR X 60-510). dfaillance ;
Suivant les besoins de ltude, on recherche les causes attribua- autres paramtres spcifiques aux particularits de ltude
bles chaque mode de dfaillance et un mode de dfaillance peut (dure de fonctionnement, temps moyen de rparation...).
avoir plusieurs causes. On recherche souvent la cause la plus l-
mentaire (cause des causes). Pour valuer la criticit, il existe plusieurs solutions. La premire
solution consiste utiliser un indice numrique de criticit souvent
appel IPR (indice de priorit de risques) qui est le produit des
valeurs numriques donnes la gravit, la probabilit
Remarques sur les notions de causes, modes et effets doccurrence et la dtectabilit du mode de dfaillance suivant des
chelles propres la norme dAMDEC retenue :
Selon le niveau o lon situe le problme, la cause devient
le mode ou bien leffet. Indice de priorit de risque (IPR) = gravit probabilits dtection
En raison du dcalage dans larborescence fonctionnelle,
leffet devient le mode de dfaillance au niveau suprieur, et Pour dfinir si un mode de dfaillance est critique, il appartient
le mode devient la cause au niveau suprieur. au groupe de travail de dfinir un seuil au-del duquel
lquipement sera considr comme critique. Dans de nombreux
cas, on choisit le seuil au quart de la valeur maximale de la
criticit.
Tableau 4 Exemple de modes gnriques
de dfaillance Dfinition des actions correctives et nouveau calcul de la
Modes gnriques de dfaillance suivant la norme EN 60812 criticit
1 Dfaillance structurelle Dans certaines tudes, si la criticit nest pas acceptable, il est
demand de dfinir des actions correctives telles que reconcep-
2 Blocage physique tion, maintenance prventive, moyens de prvention. Pour juger
9 Fuite externe de lefficacit de ces actons correctives, il est de nouveau
indispensable de recalculer le nouvel IPR :
13 Fonctionnement intempestif
14 Fonctionnement intermittent IPR = gravit probabilit dtection
Effet
au Gra- Fr- Dtec- Action Gra- Fr- Dtec-
Fonc- Effet Effet IPR ini- IPR
Mode niveau Cause vit quence tion correc- vit quence tion
tion local final tial finale
sup- initiale initiale initiale tives finale finale finale
rieur
valuation de la criticit
des quipements
Mtriques et indicateurs de performance
1. Typologie des impacts geants et de leurs actionnaires est de fournir un retour sur inves-
tissements optimis. Cependant, toute activit industrielle
des dfaillances critiques implique des quipements et des personnels pour les exploiter.
Les responsables de ces entreprises sont obligatoirement soumis
des rglementations concernant la sant et la scurit des
personnels et le respect de lenvironnement. Trs souvent, une ins-
1.1 Notions de dfaillance critique tallation conventionnelle comporte une partie dangereuse soumise
rglementation.
Le choix des mtriques et des indicateurs de performance, et la
collecte des donnes associes impliquent de dfinir les notions
de criticit et de dfaillance critique. En effet, depuis la naissance 1.2.2 Secteurs dactivits soumises
des premiers concepts de la sret de fonctionnement dans les rglementation
annes 1930, de nombreuses dfinitions ont vu le jour. Dans cet
article, la dfinition de la criticit sera dduite de la norme Lorsque des atteintes la sant et la scurit des personnes ou
amricaine sur les AMDEC (analyse des modes de dfaillance, de lenvironnement sont susceptibles de se produire dans un sec-
leurs effets et de leur criticit) qui a vu le jour le 10 septembre teur dactivits donn, des rglementations nationales ou interna-
1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et tionales ont t labores pour les encadrer. Ainsi, dans le
remise jour par la Mil-STD 1629A [1] et qui dfinit la criticit domaine des activits industrielles dangereuses, le ministre de
comme tant une mesure relative des consquences dun mode lcologie, du Dveloppement durable et de lnergie rglemente
de dfaillance et de sa frquence doccurrence . partir de cette et fait inspecter les installations classes pour la protection de
mesure relative, il est possible de dfinir un seuil au-del duquel la lenvironnement (ICPE) [2]. Les installations classes ICPE sont
consquence sera considre comme critique. La gravit des susceptibles de gnrer des risques ou des dangers, ou de provo-
consquences dun mode de dfaillance critique, conformment quer des pollutions ou nuisances, notamment pour la scurit et la
cette mme norme, prend en considration ses pires sant des riverains et pour lenvironnement.
consquences finales : par exemple, mort de personnes, blessures, Il existe quatre catgories dinstallations classes :
atteintes aux biens et aux systmes. Les paragraphes suivants 1. les installations soumises dclaration : pour les activits les
dcrivent les typologies des causes et des consquences des moins polluantes et les moins dangereuses ;
dfaillances pour deux familles de secteurs dactivits : les
2. les installations soumises autorisation : pour les installations
secteurs dactivits conventionnelles et les secteurs dactivits sou-
prsentant les risques ou pollutions les plus importants ;
mises rglementation.
3. les installations dites Seveso seuil bas : cette catgorie
correspond au seuil bas de la directive europenne Seveso II ;
4. les installations soumises autorisation avec servitudes
1.2 Classification des secteurs dactivits dutilit publique (AS) : cette catgorie inclut les installations dites
Seveso seuil haut de la directive europenne Seveso II.
Les consquences des dfaillances des quipements varient de
faon trs notable suivant leurs potentialits induire des risques
ou des dangers pour la scurit et la sant des personnels des
partir de 2015, la rglementation SEVESO III remplacera
entreprises ou des riverains. Pour ces raisons, il est important de
la rglementation SEVESO II.
diffrencier le cas des secteurs dactivits conventionnelles de
celui des secteurs dactivits prsentant des dangers et des
risques. Dans le domaine des transports ferroviaires, de nombreux
rglements rgissent leur scurit. LUnion europenne [3] a tabli
1.2.1 Secteurs dactivits conventionnelles le rglement (UE) no 1078/2012 du 16 novembre 2012 concernant
une mthode de scurit commune aux fins du contrle que doi-
Les secteurs dactivits conventionnelles directement lis vent exercer les entreprises ferroviaires et les gestionnaires
lindustrie reprsentent environ 80 % de toutes les activits dinfrastructure aprs lobtention dun certificat de scurit ou dun
recenses en France. La principale proccupation de leurs diri- agrment de scurit, ainsi que les entits charges de lentretien.
accidents surviennent. Incontestablement, le modle Swiss caches pour les oprateurs, peuvent se propager lintrieur du
cheese ou gruyre dvelopp par le Professeur James systme de barrire et conduire des erreurs actives.
Reason de la Manchester University au Royaume-Uni est actuelle-
ment le plus rpandu. Ces travaux considrent que lerreur La figure 3 reprsente toute la chane causale pouvant conduire
humaine nest plus la cause dun accident, mais la consquence un accident.
dun environnement organisationnel dfaillant [9]. La figure 2 Le modle initial de Reason a fait lobjet depuis son premier
reprsente le modle de Reason. Il utilise un systme de plaques concept de nombreuses modifications pour lamliorer et le
correspondant des barrires redondantes qui sinterposent entre complter. Parmi ces amliorations, on peut citer la mthode
le danger et laccident. Tripod dveloppe par Cambon et Guarniri dans le domaine de la
Loccurrence dun accident se produit si toutes les barrires scurit du travail et celle de la mthode ALARM dans le domaine
mises en place savrent dfaillantes. Les points faibles dune mdical.
barrire sont reprsents par trous do le surnom de la La mthode Tripod [10] repose sur les analyses faites a poste-
mthode Swiss cheese ou gruyre . Lapparition simultane riori sur les rapports daccidents et dincidents. Les conclusions de
de trous dans chacune des barrires peut alors provoquer ces analyses permettent de classer les dfaillances latentes en un
laccident. Le chemin ainsi dfini entre le danger, les trous et nombre limit de onze facteurs types de risques organisationnels.
laccident est alors appel la trajectoire accidentelle . Les tra-
vaux de Reason se sont penchs sur les conditions dapparition de La mthode ALARM a t dveloppe dans le domaine de la
ces trous. Les erreurs actives correspondent aux consquences prvention des risques hospitalier par Charles Vincent et son
derreurs commises par les oprateurs de premire ligne. Selon quipe et publie en 1998 [11]. Elle est inspire directement du
son modle, ces erreurs actives sont les consquences de modle de REASON. Les fondements de la mthode ALARM
mauvaises dcisions organisationnelles prises par le management repose sur les constatations et dfinitions suivantes : Tout op-
(conception, communication, planification, etc.). Ces dysfonction- rateur fait des erreurs, et il est mme impossible dimaginer un
nements organisationnels sont appels conditions latentes et oprateur qui nen fasse pas. Ces erreurs sont patentes ,
sont les sources derreurs latentes . Ces erreurs latentes, visibles de tous.
Conditions latentes
Barrire
DANGER
n 3
Barrire
n 3
Barrire
n 2
Barrire
n 1
Erreurs actives
Accident
vnement
indsirable
Arrt de progression
par une barrire
Pression Mauvaise Fatigue
la production organisation stress
interface
La scurit repose sur des dfenses en profondeur qui sont frquente de loccurrence des dfaillances techniques. Ainsi, le
des procdures organises pour rcuprer les erreurs des choix dune mauvaise nuance dun acier entranera terme sa
oprateurs (aucune de ces procdures ou barrires nest suffisante rupture par fatigue lors de sollicitations mcaniques rptes.
pour procurer une scurit totale, mais leur empilement bloque
presque toutes les propagations derreurs dans le systme. Une exploitation de lquipement ne respectant les spcifica-
tions techniques dexploitation est une source de dfaillance
Lorganisation du travail, sa conception et son management classique. Par exemple, si loprateur dun pont roulant manipule
par la hirarchie, psent sur la frquence et le type derreur des une charge dpassant la valeur limite de conception, cela induira
oprateurs. Mais les dysfonctionnements ce niveau sont long- sa destruction structurelle. Il est important de noter que dans ce
temps invisibles : on les appelle des erreurs latentes . cas, le facteur humain y joue galement un rle important.
La mthode ALARM fournit un guide pour retrouver ces erreurs
latentes de lorganisation et de son management. Une politique de maintenance mal matrise et/ou inefficace est
une source majeure de dfaillances. titre dexemple, une mau-
La figure 4 illustre les principes et concepts de la mthode vaise priodicit du graissage dun palier conduit invitablement
ALARM. une dfaillance.
1.3.1.3 Dfaillances techniques Comme largement dvelopp au paragraphe 1.3.1.2 les facteurs
humains oprationnels et humains (FOH) sont des contributeurs
Les dfaillances techniques sont dfinies dans la discipline de la
majeurs lapparition de dfaillances techniques. Ainsi, un person-
sret de fonctionnement comme est la cessation de laptitude
nel mal form ou non habilit pourra endommager un quipement
dune entit accomplir une fonction requise (norme NF EN 13306
et conduire la dfaillance, ou bien une procdure de maintenance
Maintenance Terminologie de la maintenance) [12]. La
non remise jour peut engendrer terme une dfaillance techni-
dfaillance est observe travers son mode et rsulte dune cause
que. Un inventaire exhaustif de toutes les causes lies aux FOH est
initiale. Elle se caractrise donc par le couple cause-mode. Le
impossible raliser en pratique. Chaque secteur dactivits dis-
mode de dfaillance est la manire par laquelle la dfaillance est
pose de son propre rfrentiel li aux FOH. Les facteurs extrieurs
observe et correspond une perte totale ou partielle de fonctions
qui conduisent des dfaillances techniques correspondent des
assures par lquipement. La cause potentielle de la dfaillance
agressions externes non prvues lors de la conception de lquipe-
reprsente lvnement initial susceptible de conduire au mode de
ment. Parmi ces facteurs on peut prendre en compte :
dfaillance. Leffet est la consquence du mode de dfaillance sur
le bon fonctionnement du moyen de production ou sur lutilisateur les environnements dexploitation en dehors des plages spci-
final du moyen. La figure 5 reprsente les facteurs qui contribuent fies (humidit, pression atmosphrique, temprature, vibrations,
loccurrence des dfaillances techniques. champs lectriques et magntiques, poussires, atmosphre
Une mauvaise conception des quipements conjugue la corrosive) ;
slection de matriaux inadapts ou trop fragiles est une cause les sabotages ou actes de malveillance ;
Facteurs influants
sur les dfaillances
techniques
Facteurs
Conception Exploitation Maintenance organisationnels Facteurs
et humains (FOH) externes
valuation de la criticit
des quipements
Mthodologie globale
par Gilles ZWINGELSTEIN
Ingnieur de lcole nationale suprieure dlectrotechnique,
dlectronique, dinformatique et dhydraulique et des tlcommunications
de Toulouse (ENSEEIHT)
Docteur-Ingnieur
Docteur s Sciences
Professeur associ des universits en retraite
Universit Paris Est Crteil , France
La premire tape insiste sur le besoin de dfinir les objectifs prcis dune
tude de criticit qui doivent tre valids et entrins par les dirigeants de
lentreprise. En effet, ces valuations de la criticit peuvent concerner des
aspects conomiques, stratgiques, financiers, rglementaires, techniques,
organisationnels. Elles pourront servir ltablissement dindicateurs de per-
formance et/ou llaboration de tableaux de bord.
La deuxime tape propose une organisation du groupe de travail regrou-
pant tous les acteurs indispensables pour mener bien ltude de criticit.
En fonction des objectifs dfinis dans la premire tape, la troisime tape cor-
respond la dfinition prcise du systme, de ses quipements et de ses limites.
La quatrime tape dcrit les principales mthodes danalyse fonctionnelle.
Ces mthodes sont indispensables pour raliser des arborescences fonction-
nelles et/ou matrielles dun procd industriel complexe. Lobjectif de ces
mthodes est daider comprendre les raisonnements en visualisant le chemi-
nement entre les causes et les diffrents effets des dfaillances et dfinir le
niveau appropri du critre. Les mthodes FAST, SADT, IDEF0 et Apte feront
lobjet de descriptions succinctes.
La cinquime tape propose une slection des mtriques et indicateurs de
performances les plus appropris aux objectifs recherchs. Les indicateurs
dimpacts lagging indicators et les indicateurs dactivit leading
indicators feront lobjet de descriptions spcifiques. Parmi le grand foisonne-
ment de mtriques et dindicateurs de performance cls , les chelles de
cotation de la gravit et de la frquence doccurrence, les ordres de priorit de
risque (RPN) et la courbe de Farmer seront exposs. Il sera fait galement rf-
rence aux principales normes internationales dfinissant des indicateurs de
criticit organisationnels, conomiques et techniques.
La sixime tape fournit une typologie des donnes de fiabilit ncessaires
la construction des mtriques de mesure de la criticit. Ces donnes tant par
nature des variables alatoires, seules des estimations statistiques sont possi-
bles. Les mthodes destimation ponctuelles ou par intervalles sont dcrites et
les principes des estimations des lois de probabilit par les approches frquen-
tistes et baysiennes y sont rappels.
La septime tape tablit un inventaire des banques internationales de
donnes de fiabilit (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC
217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer)
en mentionnant le degr dobsolescence de certaines dentre elles. Il y sera
soulign que pratiquement toutes ces banques donnent des taux constants de
dfaillance suivant la loi exponentielle. La liste des autres banques sera men-
tionne par souci dexhaustivit. Dans la septime tape, les principaux outils
pour valuer la criticit des dfaillances des quipements sont prsents en
suivant pour chaque mthode la trame suivante : origine, principe, avantages
et inconvnients. La premire famille doutils est consacre aux mthodes qua-
litatives base des jugements des experts quand les donnes de fiabilit ne
sont pas disponibles (brainstrorming, Delphi, Abaque de Rgnier, mthodes
PIEU et Mride, Mthode de la MBF (maintenance base sur la fiabilit et le
diagramme dIshikawa). La seconde famille est ddie aux outils quantitatifs
dvaluation de la criticit en soulignant les mtriques utilises. Seront passs
en revue : lAPR (analyse prliminaire des risques), lAMDEC (analyse des
modes de dfaillance de leurs effets et de leur criticit), lHAZOP (HAZard and
OPerability study) utilis pour lanalyse des risques industriels, What-If (Que se
passe-t-il si ?), les arbres de dfaillances, les blocs diagrammes de fiabilit.
Pour guider le lecteur sur le choix le plus adapt leur problmatique, une
grille comparative des mthodes est ensuite propose.
Dans lventualit o la criticit des dfaillances savrerait inacceptable, on
recense les mthodes les plus utilises pour rduire leurs consquences (bar-
rires de scurit, arbres dvnements, nud papillon, mthode MOSAR,
mthode LOPA (Layer Of Protection Analysis). En conclusion, des recommanda-
tions seront mises pour sassurer que les rsultats obtenus sont conformes aux
objectifs recherchs et de nouvelles approches seront mises en perspective.
RV
Le systme est reprsent laide dun diagramme comportant
trois rgions dlimites par des traits pointills verticaux :
Regard de 1) la partie centrale correspond au domaine fonctionnel propre
visite au systme ;
2) dans la partie gauche, on trouve les fonctions principales du
Vanne de purge V5
systme ;
3) dans la partie droite, on trouve les ressources extrieures
au systme, ressources qui, si elles nexistaient pas, ne modi-
Figure 2 Schma dune installation de production dair comprim fieraient pas la capacit du systme satisfaire les fonctions.
Chapeau pare-pluie
Filtre Sous-systme
Capteur pression P1 entre dair/filtration
Tuyauterie
Systme
de compression
Moto compresseur
Automate programmable Sous-systme
Soupape de scurit Ensemble compressueur
Tuyauterie
Scheur n 1
Scheur n 1 Systme
Systme
Vannes 1, 2, 3, 4 de production
de schage
Tuyauterie air comprim
Capteur d'alarme humidit
Rservoir dair
Vanne de purge V5 Systme
Capteur presssion P2 de stockage
Regard de visite distribution
Tuyauterie
Fournir et
distribuer de lair Enlever lhumidit dans
comprim les scheurs
Enlever lhumidit dans
Enlever lhumidit
le rservoir dair
de l'air
Enlever lhumidit dans
Enlever les pots de condensation
lhumidit de
lair et les
polluants
Enlever les
polluants de lair
Intrieur du systme
Comment ? Pourquoi ?
Fonction 2 Fonction 5
Fonction 3 Fonction 6
Quand ?
Fonction 4
Les fonctions sont ordonnes et reprsentes dans des les datagrammes, o les donnes sont gnres par des fonc-
botes rectangulaires. tions de gnration, utilises par des fonctions dutilisation, sous
Le graphe se construit progressivement sur une ligne baptise la surveillance des activits de contrle.
chemin critique . Au-dessus ou en dessous dune fonction, on
placera les fonctions qui se produisent dans le temps, ou en mme SADT dfinit une dcomposition fonctionnelle hirarchise
temps (on se pose la question Quand ? ) comme lindique la entre les diffrents niveaux de dtail, la dcomposition un niveau
figure 5. donn doit faire apparatre des fonctions ou des donnes qui sont
leur tour dcomposes (approche descendante top-down ). Pour
la validation, on doit sassurer que les entres dune fonction dun
2.1.3 Mthode SADT niveau donn doivent imprativement se retrouver dans sa
dcomposition, et celle-ci ne doit produire que les sorties de la
La mthode SADT (Structure Analysis Design Technique ) est fonction de niveau suprieur.
une mthode graphique danalyse et de conception des systmes
importants et complexes. Elle met en uvre deux reprsentations Laccent est port tout dabord sur lanalyse et la spcification
complmentaires : du Quoi ? (ce que le systme doit faire) et ensuite sur les
les actigrammes, o les fonctions transforment les donnes considrations sur le Comment ? (avec quels moyens on ra-
dentres en donnes de sortie, suivant les contraintes imposes lise le Quoi ? ). SADT utilise un seul type de bote rectangu-
pour cette transformation, en utilisant certains moyens ou sup- laire dont chacun des quatre cts possde une signification
ports de lactivit ; particulire (figure 6).
objectif de cet article ne vise pas ce que le lecteur puisse tout connatre sur
L la mthode B ; ce serait impossible et prtentieux. The B-BOOK Assigning
Programs to Meanings de Jean-Raymond ABRIAL, linventeur de la mthode B,
qui est la base du langage B, possde dj plus de 750 pages et est bas sur de
nombreuses connaissances en mathmatiques et en logique ; de plus, de nom-
breuses formations sur la mthode B existent aujourdhui. Lobjectif se limitera
donner des clairages pour mieux porter une apprciation sur une telle mthode
en essayant den comprendre les principaux concepts. Il nest donc pas question
de trop dvelopper les aspects mathmatiques, bien que ceux-ci soient essen-
tiels. Le propos restera toujours assez gnral, en simplifiant volontairement
parfois pour rester comprhensible.
1. Complexit croissante les-ci doivent tre interprtes par lhomme et traduites manuelle-
ment et progressivement en des exigences plus prcises qui
des systmes tiennent compte dun certain nombre de contraintes. Des
optimisations de larchitecture sont effectues laide de regroupe-
et des logiciels ments de fonctions (architecture fonctionnelle) puis de modules
logiciels (architecture logicielle) par exemple. Quand on passe au
Les logiciels critiques langage de programmation, un certain nombre de vrifications peu-
vent tre effectues par des outils. La traduction du langage de pro-
et leur processus grammation en langage machine seffectue laide dun outil qui
peut gnrer des erreurs si celui-ci na pas un niveau de garantie
de ralisation suffisant, et qui doit tre cohrent avec lobjectif que lon sest fix
concernant le logiciel. Les transformations et allocations doivent
Depuis des dcennies, la complexit des systmes et des logi- tre suivies et vrifies tout au long du projet. Il existe des outils de
ciels sest accrue pour diffrentes raisons : dune part cause de la traabilit, mais ils ne garantissent pas les transformations
puissance des calculateurs qui a sans cesse augment (tant en elles-mmes. Heureusement, lorsque le logiciel est ralis, on peut
vitesse quen capacit mmoire), mais aussi cause de la le tester afin de vrifier sil rpond au fonctionnel demand. Les
demande croissante des industriels et des clients qui, en gnral, tests effectus sont dabord unitaires (chaque module du logiciel est
demandent toujours plus de fonctionnalits parce que le logiciel test unitairement par rapport sa spcification), puis on passe aux
ne semble pas avoir de limite, tant immatriel (il suffit dcrire du tests dintgration une fois que les diffrents modules dune entit
code, seules les ides pourraient manquer, et les frais ne sont sont intgrs par rapport la spcification de cette dernire, qui est
importants que pour la conception et la ralisation, et de plus en elle-mme intgre pour former un ensemble plus vaste jusqu
plus faibles lorsquil sagit de multiplier les exemplaires). La majo- lintgration complte de lensemble du logiciel sur le calculateur de
rit des capteurs, des actionneurs et des interfaces contiennent dveloppement. Des tests portent ensuite sur le logiciel et son cal-
aujourdhui du logiciel. Un autre aspect important est lutilisation culateur (tests sur calculateur cible avec simulateur ou directement
de linformatique dans le monde industriel (automatismes, postes in situ ), puis sur lensemble des calculateurs jusqu lintgration
de commande, process), le dveloppement des tlcommunica- complte du systme.
tions, lutilisation de rseaux avec des calculateurs rpartis et les Deux problmes de fond existent. Le premier est li la manire
systmes dinformation auxquels une disponibilit leve est exi- dont les scnarios de tests sont gnrs. Ceux-ci sont issus des
ge. Cela ncessite dy associer des redondances qui doivent tre spcifications, ce qui signifie que les tests unitaires et dintgration
gres convenablement si lon veut viter des problmes, par ne sont valables que si la spcification correspondante est cor-
perte dinformations rendant le systme global incohrent, recte. Or, celle-ci est issue de transformations manuelles de la sp-
lorsquil y a des commutations suite des dfaillances. cification dorigine, certes vrifies. Une erreur dans une
Des logiciels sont devenus critiques parce quils sont utiliss pour spcification intermdiaire se traduira par le fait que le test, si
supporter des fonctions de scurit, pouvant en cas de dfaillance celui-ci est ralis convenablement, est correct. Il reste malgr tout
(erreur) porter atteinte aux hommes, aux biens, lenvironnement, le test fonctionnel global, mais celui-ci ne peut tre exhaustif ; cest
ou parce quils sont utiliss pour supporter des applications qui peu- le deuxime problme. En effet, sur des systmes complexes, il est
vent entraner des pertes financires importantes, la dsorganisa- impossible de parcourir tous les chemins (cela pourrait demander
tion dentreprise ou de territoire entier. On peut citer leur un nombre excessif dannes pour certains systmes dont la
importance dans le secteur du transport, de lnergie, des tlcom- combinatoire de scnarios possibles est extrmement leve). En
munications, des processus de fabrication (chimique, chane gnral, on teste au moins chaque branche et on complte par des
dassemblage, etc.), dans le secteur bancaire ou de la prvision tests plus ou moins agressifs bien cibls en couvrant le domaine
(mtorologie) qui ne sont pas sans lourdes consquences si certai- des entres. Cela ne garantit souvent pas quune erreur na pas pu
nes erreurs apparaissent lors de lutilisation de ces logiciels. sintroduire dans le processus de conception du logiciel. Reste
enfin le rel problme de la qualit de la spcification de dpart
De plus, le fait de raliser des fonctions en logiciel la place de sur lequel nous reviendrons.
matriel a compliqu certaines applications industrielles parce que
la part des fonctions de conception ncessaires est devenue pr-
pondrante par rapport celle des fonctions principales propre- 1.1.2 Aspect cohrence densemble
ment dites. et interactions entre lments
Quand un logiciel est important, peut se poser le problme de la
1.1 Principales difficults de ralisation cohrence densemble et dinteraction entre lments. Les
dun logiciel critique lments doivent conserver un certain niveau dindpendance de
manire minimiser les interactions, source souvent de
La ralisation dun logiciel critique ou complexe nest pas sans complexit et donc derreurs la conception.
poser un certain nombre de problmes thoriques que nous allons
aborder dans les paragraphes suivants. 1.1.3 Aspect modification et rutilisation
de composants
1.1.1 Aspect traabilit des exigences
Quand il est ncessaire deffectuer une modification sur un logi-
Tout au long du processus de conception/ralisation du logiciel, ciel, quelle soit lie des volutions du besoin ou de la technique
peuvent se glisser des erreurs, les difficults se situant en premier (traitement dobsolescence ou diminution des cots de mainte-
lieu au niveau de la spcification des exigences, puis au niveau des nance par exemple) ou quelle soit corrective (suite la dcouverte
transformations successives ou de lallocation sur plusieurs derreurs), se pose le problme de mesurer limpact de la modifi-
lments logiciels mesure que la solution se concrtise, enfin au cation sur le reste du logiciel (et du systme). Cela nest pas a priori
niveau du code, install dans les mmoires des calculateurs, qui tra- vident car cela dpend beaucoup des architectures fonctionnelles
duit la solution en langage machine comprhensible par le et logicielles retenues et du niveau dindpendance entre les l-
calculateur. Un premier problme existe au niveau des exigences de ments modifis et leurs variables, et les autres lments et leurs
dpart car elles doivent tre exhaustives par rapport au problme variables. Souvent, pour viter de se poser la question laquelle il
pos et cohrentes entre elles (non contradictoires) ; ensuite, cel- serait difficile de rpondre facilement, on fait des tests de
non-rgression complets comme sur le logiciel dorigine. Cela ne 1.3 Analyses de scurit et exigences
sapplique pas toujours si les logiciels deviennent importants ou sur
des systmes avec des logiciels rpartis sur des rseaux de calcula-
de scurit
teurs. Malgr tout, par mesure de prcaution, on vite, dans la
Lorsque lon traite des fonctions de scurit, il est ncessaire
mesure du possible, de modifier un logiciel critique si celui-ci ne
deffectuer des analyses de scurit associes lenvironnement,
prsente pas danomalie qui pourrait avoir de graves consquences.
aux principes utiliss, aux architectures fonctionnelles et tech-
niques et aux dfaillances internes au systme (techniques ou
humaines) afin de gnrer une liste dexigences de scurit qui
1.2 Lien entre niveau de qualit devront tre respectes par le systme raliser.
du processus (mthodes et outils)
et SIL (Safety Integrity Level )
Comment fait-on pour garantir le niveau de scurit dun 2. Petit panorama des
logiciel ? Peut-on en mesurer le niveau ? Pour des logiciels
critiques, compte tenu du niveau de fiabilit exig, il nest pas mthodes de fiabilisation
possible deffectuer des mesures de fiabilit en comptabilisant les
erreurs dtectes. En effet, cela ncessiterait une exprimentation des logiciels
sur une priode extrmement longue. Pour tester un seul exem-
plaire logiciel, dont on vise 10n/heure (en moyenne une erreur sur Il existe de nombreuses mthodes (et outils associs) qui per-
10n heures de fonctionnement), cela ncessite au moins n 10n mettent damliorer la fiabilit des logiciels. Ces mthodes sont
heures de fonctionnement sans erreur. Les modles de fiabilit bases sur un formalisme parfois complexe qui autorise un niveau
prvisionnelle sont inadapts pour les niveaux recherchs dans les plus ou moins pertinent de vrification. Elles peuvent porter sur
logiciels critiques. De plus, la mise en parallle de plusieurs logi- une phase particulire du cycle de dveloppement ou sur lensem-
ciels, comme on le fait avec du matriel, napporte probablement ble des phases, sur certaines proprits (statiques ou dynamiques)
pas les gains que lon pourrait esprer. La redondance est plutt ou sur lensemble des proprits du logiciel. Leffort est fonction
un lment supplmentaire de confiance, sans diminuer leffort bien entendu du champ sur lequel porte les mthodes. Un contrle
port sur chacun des logiciels lmentaires. Il est difficile dvaluer de type (comme le font la plupart des langages de programmation)
ces gains. En effet, le taux derreurs communes plusieurs logi- est dun apport moindre quune analyse statique, qui elle-mme
ciels en parallle nest pas ngligeable, mme avec des quipes est moins efficace quune vrification par modle ou quune abs-
diversifies. Il serait possible dobtenir des rsultats valables si on traction automatise. Le maximum de confiance est obtenu sur
avait deux systmes totalement diffrents (capteurs, actionneurs) des logiciels dvelopps avec un langage sur lequel on peut effec-
mais il resterait pour certains systmes lalgorithme li des prin- tuer directement la preuve de thormes.
cipes physiques attachs la nature mme du problme traiter.
Il est noter que le terme fiabilit na pas une grande signification Pour viter des erreurs sur le logiciel, on peut, pour chaque
en logiciel sagissant pour celui-ci derreurs systmatiques et non phase de la conception, disposer de plusieurs principes de
derreurs alatoires comme pour de nombreuses dfaillances du solutions. Nous avons vu que les erreurs sont issues des transfor-
matriel ; des erreurs latentes ne peuvent donc se rvler que mations que lon effectue successivement sur les exigences (trans-
dans un certain contexte. On a vu des erreurs se rvler plus de formations directes et/ou allocations). Pour vrifier quune
dix ans aprs une mise en service parce que certaines transformation/allocation faisant passer de ltat i ltat i + 1 a
combinaisons de dfaillances sont apparues. bien t effectue, on peut :
Dans tous les secteurs industriels ont t dveloppes les notions 1) comparer, en utilisant la transformation inverse du rsultat,
trs voisines de SIL (Safety Integrity Level) dans le domaine du T (i + 1) T1 (i + 1) ltat initial T (i) ;
transport ferroviaire et de lindustrie, dASIL (Automotive Safety 2) comparer, en utilisant une transformation analogue mais pr-
Integrity Level ) dans le domaine automobile ou de DAL (Develop- sentant une forme diffrente (un modle de la transformation),
ment Assurance Level) dans le domaine aronautique. Un SIL est li T (i + 1) T (i + 1) ;
au niveau de confiance que lon peut avoir dans un systme. Ce 3) sassurer que la transformation est intrinsquement sre en y
niveau de confiance est associ au niveau de qualit du processus apportant une preuve mathmatique.
de conception/ralisation pour viter les erreurs systmatiques Mais une tape donne de la ralisation du logiciel, il existe
(principalement pour le logiciel ou des circuits intgrs complexes) des mthodes plus ou moins compltes qui prennent en compte
et est associ un niveau de probabilit par heure (et par ensemble) partiellement ou totalement les caractristiques ou proprits de
dobtenir une dfaillance contraire la scurit pour les erreurs lexigence transforme. Certaines mthodes concernent plus
alatoires (principalement pour le matriel). Un processus de laspect dynamique et comportemental, dautres laspect statique
conception/ralisation est caractris par une organisation, des dans lequel certaines se limitent vrifier le typage (de variable
mthodes, des outils et des techniques spcifiques pour rpondre par exemple), dautres des caractristiques gnrales (non division
au niveau de confiance exig. Plus un logiciel est critique, plus on par zro par exemple), dautres enfin portent sur des caractris-
doit disposer dune organisation robuste et des mthodes et outils tiques plus spcifiques lapplication.
qui permettent dviter les erreurs ou de les dtecter si elles appa-
raissent malgr tout. Par exemple, dans le secteur ferroviaire, la Dautres mthodes sont bases sur la gnration automatique
norme EN50128 prcise que pour un logiciel SIL3 et SIL4, les mtho- de code et/ou la gnration automatique de tests de conformit
des formelles sont hautement recommandes, et cela a tendance partir dun modle issu de la spcification. Les outils de gnration
se gnraliser lensemble du monde industriel. doivent tre bien entendu qualifis, et le modle est souvent de
plus bas niveau. Pour les tests, une difficult existe entre les cas de
Nota : la norme europenne EN 50128 (IEC62270) est aussi appele norme CENELEC tests abstraits gnrs et les donnes concrtes.
(Comit europen de normalisation lectrotechnique) Application ferroviaire, systme
de signalisation, de tlcommunication et de traitement Logiciels pour systmes de Pour dvelopper un logiciel, deux catgories dapproches alter-
commande et de protection ferroviaire . Elle complte la norme 50126 (IEC62278) qui natives existent :
dfinit la specification et la dmonstration de la FDMS (fiabilit, disponibilit,
maintenabilit et scurit) quivalent du RAMS en anglais (Reliability, Availability, Main- 1) celles visant labsence de dfaut par vrification mathma-
tenability, Safety) des systmes ferroviaires dans leur ensemble, et la norme 50129 (pas tiques formelles ;
dquivalent IEC) qui dfinit les conditions dacceptation et dapprobation de la scurit
du matriel lectronique. La norme gnrique qui chapote lensemble des normes des 2) celles permettant la dtection de dfauts par des logiciels
quipements lectroniques industriels est lEN61508. diversifis.
En ce qui concerne la premire approche, il existe un foisonne- tes inhrentes lapplication que lon en fait. Par exemple, partir
ment de mthodes. Cette premire approche peut tre classe en dune spcification trs dtaille ne conduit pas au mme rsultat
deux grandes catgories : que dentamer le processus du logiciel par une spcification de haut
1) vrification par modle ; niveau. Si une approche est du type formel sur une partie du proces-
2) analyse statique. sus (par exemple, appliquer la mthode formelle uniquement la
spcification pour la blinder ) sera meilleure quune approche ne
La vrification par modle est base le plus souvent sur une lutilisant pas, mais moins bonne quune approche qui lutilisera
reprsentation de la spcification sous forme de diagrammes toutes les tapes de la conception. Cela ne signifie dailleurs pas
transitions/tats (automates tats finis, rseaux de Petri) qui per- quune approche partielle ne soit pas suffisante dans un certain
mettent la vrification dun certain nombre de proprits, nombre de cas ou que lon ne puisse pas appliquer une dmarche
condition de simplifier le modle et les proprits si lon ne veut limite aux seules parties critiques dun logiciel.
pas avoir une explosion combinatoire.
Les notations utilises peuvent tre orientes vers des donnes
Nota : le rseau de Petri est un graphe, avec places et transitions, non dterministe de type algbrique (Larch, OBJ et Specware) ou modles (VDM, Z
dvelopp au dpart par Carl Adam Petri. Un cas particulier est lautomate tat fini,
chaque transition ayant une seule entre et une seule sortie.
et B), vers le comportement et les interactions (Statecharts, SCR et
CSP), ou vers le langage de programmation (ADA, C). Il peut aussi
La vrification peut tre automatise au niveau de la syntaxe par y avoir des notations mixtes comme RSL qui cumule VDM, CSP et
un compilateur (comme pour le langage de haut niveau), pour des lalgbrique, ou Lustre qui regroupe la fois le langage de pro-
proprits gnriques (absence de blocage ou dterminisme dans grammation et laspect comportemental.
des automates, division par zro, overflow...) ou des proprits Les techniques de vrification peuvent tre la preuve avec le
spcifiques (par comparaison de deux noncs formels, par prouveur B, PVS et Caveat qui utilisent des axiomes et des rgles
comparaison des traces de deux automates, par preuve de raf- dinfrence, le model-checking qui permet une exploration exhaus-
finement en B...) lapplication (par comparaison de deux noncs tive du graphe dexcution pour SVM et SPIN, la rsolution de
formel, comparaison). partir du modle, on peut aussi gnrer contraintes par instanciation et propagation avec Design Verifier,
du code et des tests. Il est possible pour certains modles deffec- miniSAT, Yices, Ilog Solver, linterprtation abstraite (analyseur de
tuer des simulations (par exemple, prototypage par SADT code) par la vrification dune abstraction sre du systme pour
complt le plus souvent par des automates tats finis), et ainsi une proprit donne par limplantation dun algorithme pour le
de faire des tests au plus tt de la spcification. calcul de labstraction avec ASTREE, Absint et Polyspace. SCADE,
Nota : SADT (Structured Analysis and Design Technic) est une mthode de reprsen- qui intervient au niveau de la conception dtaille avec un seul
tation danalyse fonctionnelle et non de conception comme son nom lindique. niveau dabstraction, associe un simulateur, un gnrateur de
code, un outil de vrification formelle qui vrifie le modle globa-
Se pose ici le problme de la conformit de limplantation par lement et lanalyse de couverture au niveau du modle. Enfin,
rapport au modle. On peut classer dans la vrification de modle Altarica possde un langage de haut niveau adapt au domaine de
lapproche par langages synchrones qui traitent de systmes rac- la sret de fonctionnement et peut gnrer en particulier des
tifs avec des contraintes de synchronisme et de flots de donnes, arbres de dfaillance et des squences.
dont le langage Lustre en est une illustration (par exemple dans
loutil SCADE) ou les outils de model-checking.
Nota : Lustre est un langage de programmation synchrone de type dclaratif et par
flots de donnes dvelopp conjointement par Paul Caspi et Nicolas Halbwachs au labo- 3. Principes de la mthode B
ratoire VERIMAG de Grenoble
SCADE (Safety Critical Application Development Environment) est un environnement
de dveloppement intgr diffus par Esterel Technologies fond sur le langage Lustre. Il y a seulement quelques dcennies, lunique formalisme utilis
Model checking est une famille de techniques de vrification automatique de pro- dans un logiciel tait celui du code, qui tait obligatoire si lon vou-
prits des systmes dynamiques par comparaison avec un modle. lait que la machine comprenne ce quon lui demandait dexcuter !
Lanalyse statique seffectue partir du code source du logiciel Pour donner une dfinition simple, la mthode B est une mthode
et sattache dtecter des erreurs qui se produiraient lexcu- pour spcifier, concevoir, coder et prouver des logiciels de
tion. Elle complte ou remplace des tests effectus sur le code manire rigoureuse et progressive.
source dun logiciel. Le contrle de type qui vrifie la syntaxe dun
modle et labstraction automatise, qui vise tablir un pont
entre vrification de modle et preuve de thorme, sont dautres 3.1 Principes gnraux de la mthode B
mthodes. La plupart des mthodes ci-dessus visent rvler et
liminer des dfauts introduits durant la production du logiciel, Cette mthode utilise un langage mathmatique unique tout au
soit par essence comme lanalyse statique, soit en raison de leur long du processus de conception afin de permettre la vrification de
limitation comme la vrification de modle, alors que le dvelop- chaque tape laide de preuves mathmatiques. La difficult de la
pement formel vise viter leur introduction. Le niveau de vrification de toutes les transformations qui font passer de la spci-
confiance crot en fonction de leffort depuis le contrle de type fication initiale au code (voir B0) qui sera transform dans un lan-
jusqu la preuve par thorme, en passant par lanalyse statique, gage classique, se trouve par l mme rsolue. Cest une mthode
la vrification de modle et labstraction automatise. progressive, le langage lui-mme prenant en compte laspect
preuve, un modle supplmentaire nest donc pas ncessaire.
La deuxime approche, par diversification logicielle, si elle est
utilise seule, napporte pas damlioration sensible du niveau de La mthode B est donc plus quun langage de programmation
confiance parce que des erreurs communes sont toujours car elle introduit en elle-mme la possibilit de vrification. En
possibles au niveau de parties dlicates, sauf si lon travaille par- effet, il nest pas ncessaire de raliser une modlisation suppl-
tir de deux systmes totalement diversifis quant aux principes uti- mentaire et deffectuer une comparaison pour vrifier si ce qui a
liss au niveau des actionneurs et des capteurs pris au sens large, t fait est correct. Bien appliqu (nous verrons ce que cela signi-
et en modifiant compltement la manire deffectuer les fie), B est un langage intrinsquement sr. On peut comparer le
traitements (algorithme, tats/transitions du systme, etc.). concept utilis dans la mthode au concept de scurit intrinsque
(false-safe ) qui a cours au niveau de la scurit du matriel.
Les approches purement processus, fondes sur une organisation
et un ensemble de mthodes et doutils associs aux diffrentes Nota : la scurit intrinsque suit la rgle suivante : toute dfaillance ou ensemble de
phases de conception/ralisation, ne peuvent apporter quune dfaillances qui pourrait se rvler contraire la scurit doit tre dtecte par la
conception mme du systme de manire positionner ltat du systme dans un tat sr.
confiance subjective, alors que les approches formelles donnent Pour un logiciel, la preuve, si elle ne peut tre faite, montre que celui-ci a probablement une
une confiance objective, avec toutefois, pour ces dernires, les limi- anomalie.
Les bases mathmatiques sur lesquelles est fonde la mthode Le set comprehension : si P est un prdicat, on peut dfinir un ensemble par
comprhension comme lensemble de tous les objets dun ensemble E qui vrifient le
apportent la rigueur et la notation propose limine les ambigits prdicat P (la formule P ). On note cet ensemble {x E | P (x )}.
bien connues du langage naturel, source derreur parfois trs Le choice (v ) est un lment particulier de lensemble v.
grave. La vrification mathmatique de chaque tape est si troi-
tement imbrique quil est impossible de sparer les choix de
conception du processus de vrification garantissant la justesse 3.2.2 Relations binaires
vis--vis des spcifications initiales.
La relation binaire est une relation p (un ensemble de paires)
La mthode B introduit un langage rigoureux pour reprsenter depuis un ensemble u vers un ensemble v (not p u v). On
les programmes et leurs proprits en utilisant le concept de subs- peut dfinir la relation inverse de p de u vers v qui est p1 de v
titution gnralise. Elle utilise la notion simple de machine abs- vers u, la notion de domaine dom (p ) (le membre a u de la paire
traite qui est assez voisine de la notion dobjet, mais qui, en plus, {a b } , avec b v, ne figure quune seule fois) et de distance
intgre la notion dinvariant assurant la prservation de proprits (range ) ran (p ) dune relation [ran (p ) est le domaine de la relation
des variables dtat de la machine, quelles que soient les op-
rations appliques. inverse qui est gal dom (p1)], de composition relationnelle (p ;
q ou p q ), de relation didentit [id (u )] qui est la relation de
lensemble sur lui-mme, des formes plus restrictives de relations,
limage ([]) dun ensemble sous une relation, loverriding dune
3.2 Bases mathmatiques relation par une autre (<+), le produit direct () de deux relations,
les deux projections pour des paires ordonnes et le produit paral-
La mthode B conue par J.-R. ABRIAL, qui avait particip la lle de deux relations (||). Ces concepts permettent de dvelopper
conception de Z dans les annes 1980, est fonde sur les travaux un calcul relationnel trs riche qui facilite la preuve.
dun certain nombre de mathmaticiens ou de scientifiques : par
exemple ceux de E.-W. DIJKSTRA, C.-A.-R. HOARE, R. FLOYD, C.-B.
JONES, C. MORGAN et Jifeng He. Ces travaux font eux-mmes 3.2.3 Fonctions
suite ceux dA.-M. TURING.
Cest un cas particulier de relation o il nexiste pas deux points
Nota : Hoare, puis Floyd et Dijkstra ont dvelopp les premiers lide de preuve des distance qui peuvent tre en relation avec un seul point du
programmes. Cela ncessitait de les reprsenter en se donnant des rgles et des domaine : f (a) est unique (s t ) . Plus simplement, une fonction
mthodes de preuve. Hoare raisonnait sur les valeurs des variables apparaissant dans les est une relation telle que chaque lment a une image au maxi-
programmes, les fonctions tant vues comme des transformateurs de prdicats.
mum. On peut dfinir aussi des fonctions totales (domaine = s ) et
Pour prouver un logiciel, il faut le soumettre une analyse partielles (domaine inclus dans s ), des injections partielles
mathmatique ; cela ncessite que chaque construction de la (fonction partielle de s t dont linverse est une fonction partielle
notation utilise par le langage ne soit pas seulement syntaxi- de t s ), des surjections partielles (fonction partielle de s t dont
quement correcte, mais, ce qui est le plus important, reoive une la distance = t ) ou des bijections partielles (surjection partielle et
dfinition axiomatique trs prcise. La notation doit tre capable injection partielle). Les injections, surjections et bijections peuvent
daider non seulement produire des descriptions formelles, mais tre aussi totales. On peut aussi dfinir les concepts dabstraction
aussi exprimer et prouver des thormes. Le formalisme de fonctionnelle (appele aussi Abstraction Lamda) et dvaluation
modlisation sappuie sur plusieurs concepts : la thorie des fonctionnelle. Il existe l aussi un certain nombre de thormes.
ensembles, la logique des prdicats du premier ordre et le langage Aux constructions de fonction peuvent tre aussi associes des
de substitutions gnralises, composantes que nous allons pr- vrifications de type. Il existe aussi toute une liste de proprits
senter brivement. associes (monotonicit, inclusion, lois dgalit, lois dadhsion,
etc.).
et Franck GUARNIERI
Docteur, HDR
Matre de recherches, MINES ParisTech, CRC (Centre de recherche sur les risques et les
crises)
utilisee vers 2900 avant J.-C. a Hierakonpolis en Egypte, fondee sur un dispositif
de defense mettant en jeu deux murailles paralleles et independantes, renfor-
cant la protection de cette citee. Ce dispositif etait complete par une organisa-
tion particuliere des troupes qui beneficiaient elles-memes de la protection
quoffraient les murailles. Le but dun tel dispositif etait dobliger lassaillant a
rencontrer plusieurs barrieres et lignes de defenses successives afin de laffai-
blir et de ralentir sa progression dans la ville. Cette strategie defensive a ete par
la suite reprise par le domaine nucleaire dans le but de proteger les operateurs,
la population et lenvironnement de tout rejet de radioelements. Elle sest
dabord appuyee sur la structuration de trois barrieres physiques organisees
selon trois niveaux de protection. Puis, au fur et a mesure des travaux en surete
nucleaire, cette strategie a integre des aspects organisationnels. Aujourdhui, le
concept de defense en profondeur repose sur lorganisation de moyens de pre-
vention des risques, de protection de leurs consequences et de sauvegarde a la
fois techniques, structurels et organisationnels agences selon cinq niveaux de
protection. Lobjectif de cet article est donc de comprendre, dans un premier
temps, comment la defense en profondeur est definie dans le nucleaire, sur
quels principes repose-t-elle et quel est son mode dapplication. Dans un
second temps, la transposition de ce concept et son interet pour la matrise
des risques industriels sont etudies, notamment a laide de deux exemples.
Mthodes danalyse
de la vulnrabilit des sites
industriels
es attaques sur les tours jumelles du World Trade Center New York aux
L tats-Unis le 11 septembre 2001 ont marqu un changement de dimension
dans les modes dactions terroristes. Elles ont notamment mis en lumire les
menaces potentielles pouvant peser sur les activits conomiques.
Les attaques terroristes qui se sont succdes par la suite ont port sur les
transports en commun (Madrid en 2004, Londres en 2005), le domaine mari-
time (USS Cole et le Limburg au Ymen en 2000 et 2002) ou le domaine
industriel avec la tentative dattentat suicide sur la raffinerie de Baqiq en Irak
en 2006.
Outre les menaces terroristes, des actes de malveillance dans le domaine
industriel ont montr galement leur potentiel de menace. En France, des
conflits sociaux durs avec occupation de site par des salaris et menaces
datteinte lenvironnement ont t particulirement mdiatiss : Cellatex en
2000 (menace de dversement de produits toxiques dans lenvironnement),
Daewoo en 2003, Sublistatic en 2007 ou New Fabris en 2009. Ainsi, loin dtre
isols, les actes de malveillance reprsentent plus de 10 % des incidents
technologiques.
Au lendemain de ces attaques, des guides danalyse de la vulnrabilit ont
t publis aux tats-Unis dans diffrents secteurs, notamment dans le
domaine de lindustrie chimique en raison du potentiel de danger inhrent
Le principe de dfense en profondeur, dfini comme la combi- PI probabilit dinterruption de lagresseur (dont la
naison de plusieurs niveaux de systmes et de mesures tech- dtection),
niques ou organisationnelles qui doivent tre surmonts ou
PN probabilit de neutralisation de lagresseur.
contourns avant que la protection physique soit compromise, est
retenu pour le choix des prescriptions en matire de protection La gravit de lvnement nest pas cote car on doit considrer
physique. que lon ne peut pas agir sur cette composante. Linterface entre
Des prescriptions sont apportes pour chacun de ces types de scurit et sret est galement aborde. En effet, lajout dun l-
risque selon la catgorie de matires nuclaire concerne, et cela ment de scurit peut avoir un effet sur la sret dun racteur, et
de manire proportionne. inversement.
Il sagit dune mthode probabiliste et itrative base sur les sc-
1.1.2 Prsentation du guide de lUS NRC narios, sur le temps de rponse et les itinraires (pathway ) pos-
sibles face un acte malveillant par rapport au systme de
1.1.2.1 Contexte et champ du document protection physique mis en place selon le principe
deter/detect/respond (dissuader/dtecter/intervenir).
LUnited States Nuclear Regulatory Commission (US NRC) a
dvelopp en 2007 un guide dvaluation de la scurit nuclaire,
au sens security qui a t remis jour en 2013. Le Nuclear
Power Plant Security Assessment Guide, NUREG/CR-7145 [2] a
1.2 Mthodes danalyse
pour objectif de fournir le plan et le contenu dune valuation de la de la vulnrabilit dveloppes
scurit. Il sapplique sur la base du volontariat et en lien avec le dans le transport des marchandises
Nuclear Power Plant Security Assessment Technical Manual [3]. dangereuses
Bien que dvelopp pour la certification de la conception de
nouvelles centrales nuclaires, ce guide sapplique galement aux
centrales existantes voulant amliorer ou modifier leurs systmes 1.2.1 Prsentation du chapitre 1.10
de protection physique face aux menaces contre la conception de lADR/RID/ADNR
(design-basis threat DBT) fournies par la US NRC [4]. Ce guide :
dcrit les six tapes de lvaluation de la scurit ; 1.2.1.1 Contexte et champ du document
propose un plan pour ltude de scurit valider par les Afin de prvenir les actes de terrorisme, la rglementation inter-
agents de lUS NRC ; nationale des transports terrestres de matires dangereuses (ADR
en annexes, dcrit succinctement des mthodes de modlisa- pour la route, RID pour le fer, ADNR pour la voie deau) comprend
tion dvaluation de la sret. depuis le 1er janvier 2005 un chapitre nouveau, le chapitre 1.10 sur
la sret [5]. Ces dispositions sont obligatoires depuis le 1er juillet
1.1.2.2 Prsentation de la dmarche 2005. Depuis, quelques amendements ont t adopts et incorpo-
Les tapes de lvaluation de scurit sont prsentes dans la rs. Dans lADR de 2013, les exigences pour les marchandises
figure 1. radioactives haut risque ont t spares de celles des autres
marchandises haut risque.
La mthode dvaluation, en six tapes, vise sassurer de leffi-
cacit de la conception du systme de protection physique (qui- Cette rglementation ne sapplique ni lorsque les quantits
pements, processus supports, procdures, etc.) et de la dfense en transportes sont infrieures certains seuils, ni aux marchandises
profondeur de ce systme en utilisant une mthodologie accep- emballes en quantits limites. Elle nest pas exclusive des rgle-
table, plusieurs dentre elles tant prsentes en annexe C du mentations spcifiques applicables aux explosifs et aux matires
guide. Celle-ci est value selon lquation : nuclaires.
La sret est dfinie comme les mesures ou les prcau-
tions prendre pour minimiser le vol ou lutilisation impropre de
avec PE probabilit defficacit ou defficacit globale du marchandises dangereuses pouvant mettre en danger des per-
systme, sonnes, des biens ou lenvironnement .
Conception
termine
OUI
NON
Reconcevoir
le systme
de scurit
physique
GAGNEZ DU TEMPS ET SCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISE ET FIABLE
RDIGE ET VALIDE MISE JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMRIQUES
www.techniques-ingenieur.fr
CONTACT : Tl. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de lIngnieur
ACCS
SERVICES ET OUTILS PRATIQUES
Archives Impression la demande Alertes actualisations
Technologies anciennes et versions Commandez les ditions papier Recevez par email toutes les nouveauts
antrieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service rserv aux entreprises, non propos dans les offres coles, universits ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tl. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com