Vous êtes sur la page 1sur 151

ENVIRONNEMENT - SÉCURITÉ

Ti112 - Sécurité et gestion des risques

Méthodes d'analyse des risques

Réf. Internet : 42155 | 3e édition

Actualisation permanente sur


www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français

Une information fiable, claire et actualisée


Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.

Les meilleurs experts techniques et scientifiques


Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.

Une collection 100 % en ligne


• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF

Des services associés


Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.

 Des services associés


Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com

III
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
composé de  :

Management de la sécurité Réf. Internet : 42154

Méthodes d'analyse des risques Réf. Internet : 42155

Risques chimiques - Toxicologie et écotoxicologie Réf. Internet : 42156

Risques chimiques - Pesticides et produits phytosanitaires Réf. Internet : 42568

Encadrer le risque chimique et connaître ses obligations Réf. Internet : 22742

Maîtriser le risque chimique - management, santé et sécurité Réf. Internet : 22743


dans l’entreprise

Risques d'explosion Réf. Internet : 42157

Risques d'incendie Réf. Internet : 42583

Risques électriques Réf. Internet : 42496

Sécurité par secteur d'activité et par technologie Réf. Internet : 42159

Sécurité des systèmes industriels Réf. Internet : 42830

Santé et sécurité au travail Réf. Internet : 42158

Menaces et vulnérabilités : protection des sites industriels Réf. Internet : 42648

Risques naturels et impacts industriels Réf. Internet : 42828

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

IV
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)

dont les exper ts scientifiques sont  :

William DAB
Titulaire de la chaire d'Hygiène et Sécurité, CNAM

Jean-Pierre DAL PONT


Président de la SFGP (Société française de génie des procédés), Secrétaire
général de l'EFCE (Fédération européenne du génie chimique), Président de la
SECF (Société des experts chimistes de France)

François FONTAINE
Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS

Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest

Jean-Louis GUSTIN
Expert en sécurité des procédés Rhodia Recherches et Technologies

Olivier IDDIR
Ingénieur quantification des risques, TechnipFMC, membre du réseau des
experts, Département Expertise et Modélisation

André LAURENT
Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC

Yves MORTUREUX
Expert en maîtrise des risques à la Direction de la sécurité de la SNCF

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

V
Les auteurs ayant contribué à cet ouvrage sont :

Alain DESROCHES
Pour l’article : SE4015

Michel FEDERIGHI
Pour l’article : SL6210

Olivier GRANDAMAS
Pour l’article : SE4062

Olivier IDDIR
Pour les articles : SE4055 – SE4075 – SE4077 – SE2090 – SE5080

André LAURENT
Pour l’article : SE4064

Yves MORTUREUX
Pour les articles : SE4010 – SE4040 – SE4050

Pierre PERILHON
Pour les articles : SE4060 – SE4061

Michel ROYER
Pour les articles : SE4030 – SE4031 – SE4032

Jean-Pierre SIGNORET
Pour les articles : SE4052 – SE4053 – SE4070 – SE4071 – SE4072 – SE4073

Samantha THIEBOT
Pour l’article : SE1212

Gilles ZWINGELSTEIN
Pour les articles : SE4004 – SE4005 – SE4006 – SE4007

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

VI
Méthodes d'analyse des risques
(Réf. Internet 42155)

SOMMAIRE
Réf. Internet page

Analyse préliminaire de risques SE4010 9

Analyse globale des risques (AGR) SE4015 11

HAZOP : une méthode d'analyse des risques. Présentation et contexte SE4030 17

HAZOP : une méthode d'analyse des risques. Principe SE4031 21

HAZOP : une méthode d'analyse des risques. Mise en oeuvre SE4032 27

AMDE (C) SE4040 29

Arbres de défaillance, des causes et d'événement SE4050 33

Arbre de défaillance. Contexte booléen, analyse et bases mathématiques SE4052 39

Arbre de défaillance. Aspects temporels SE4053 45

Le noeud papillon : une méthode de quantiication du risque SE4055 49

MOSAR. Présentation de la méthode SE4060 55

MOSAR. Cas industriel SE4061 59

Analyse des risques des systèmes dynamiques  : préliminaires SE4070 65

Méthode MADS-MOSAR. Pour en favoriser la mise en oeuvre SE4062 67

Évaluations qualitative et quantitative des risques d'efet domino dans l'industrie SE4064 71

Analyse des risques des systèmes dynamiques  : approche markovienne SE4071 77

Analyse des risques des systèmes dynamiques : réseaux de Petri. Principes SE4072 83

Analyse des risques des systèmes dynamiques : réseaux de Petri. Exemples de SE4073 87
modélisation
La méthode LOPA : principe et exemple d'application SE4075 91

Méthode PDS SE4077 99

Méthode HACCP- Approche pragmatique SL6210 103

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires

VII
Mesures de maîtrise des risques instrumentées (MMRI). État zéro et iche de vie SE2090 107

Pondération des fréquences de fuite dans le cadre des analyses de risques industriels SE5080 113

Évaluation de la criticité des équipements. Méthodes d'exploitation des jugements SE4004 121
d'experts
Évaluation de la criticité des équipements. Méthodes analytiques SE4005 127

Méthodes d'évaluation de la criticité des équipements. Métriques et indicateurs de SE4006 135


performance
Évaluation de la criticité des équipements. Méthodologie globale SE4007 141

Méthodes d'analyse de la vulnérabilité des sites industriels SE1212 147

 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP

Analyse préliminaire de risques

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation
et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de fonctionnement

1. Objectifs de la démarche APR.............................................................. SE 4 010 - 2


1.1 Identification des événements redoutés.................................................... — 2
1.2 Évaluation des risques ................................................................................ — 3
1.3 Proposition de couverture des risques ...................................................... — 3
2. Usages de la démarche APR ................................................................. — 3
3. Divers acteurs et leurs relations à l’APR........................................... — 4
3.1 Acteurs ......................................................................................................... — 4
3.2 Autorité......................................................................................................... — 4
3.3 Maître d’ouvrage ......................................................................................... — 5
3.4 Organisme évaluateur................................................................................. — 5
3.5 Maître d’œuvre ............................................................................................ — 6
3.6 Exploitant ..................................................................................................... — 6
3.7 Mainteneur ................................................................................................... — 6
3.8 Organisme de contrôle................................................................................ — 6
3.9 Sous-traitants............................................................................................... — 7
4. Méthodes de la démarche APR ............................................................ — 7
5. Méthode APR............................................................................................. — 7
5.1 Présentation ................................................................................................. — 7
5.2 Typologies. Listes ........................................................................................ — 8
5.3 Fréquence et gravité.................................................................................... — 9
Bibliographie ...................................................................................................... — 10

’analyse préliminaire de risques (APR) est une démarche, un processus dont


L l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des
risques. La méthode APR est dédiée à cette démarche.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPR@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ュ。イウ@RPQV

Cette démarche peut prendre des formes très différentes dans sa mise en
œuvre suivant le domaine technique ou la filière industrielle considérés. Dans
bien des cas une analyse préliminaire de risques met en œuvre des méthodes
plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre
de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de
défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de
fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité
L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une
méthode particulière a aussi été développée pour cette phase initiale d’analyse
préliminaire de risques. On parle alors de méthode APR. La confusion des
termes est totale, la confusion des notions est à éviter : disons qu’une démarche
APR ne se fait pas forcément avec la méthode APR.
La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les
objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La
seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particuliè-
rement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 1


r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout


en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications
de systèmes connus ou de nouveaux systèmes.
Comme son nom le suggère, l’APR est une démarche qui commence dès
qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet
avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC,
arbres de défaillance et autres...). Le gros de cette démarche se déroule au début
du projet et peut inclure l’utilisation de méthodes comme les arbres de
défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée
et complétée au fur et à mesure que le projet se précise, les méthodes comme
l’arbre de défaillance étant utilisées au cours des études précises et détaillées
que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très
utilisée dans les domaines où les préoccupations de sécurité sont les plus pré-
sentes comme les transports et la chimie.

Le lecteur se reportera utilement aux articles du même traité :


— La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ;
— Arbres de défaillance, des causes et d’événement [SE 4 050].

1. Objectifs de la démarche APR divers sous-projets susciteront des démarches APR partielles dont
les démarrages peuvent être postérieurs non seulement à celui de
l’APR globale mais même à des analyses détaillées entreprises
dans d’autres sous-projets plus avancés du même projet.
La démarche APR peut prendre des formes extrêmement
diverses. Néanmoins, sous des apparences variées, on retrouve
systématiquement trois phases qui sont aussi trois objectifs :
— identification des dangers, des événements redoutés à 1.1 Identification des événements redoutés
prendre en compte (§ 1.1) ;
— évaluation et classement des risques associés ; Cette première phase de la démarche APR consiste à identifier
— propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici l’exhaustivité est un objectif essentiel. La valeur d’une démar-
che APR dépend directement de la confiance que l’on peut placer
Globalement, on peut dire que l’objectif général d’une démarche dans le fait de n’avoir « oublié » aucun scénario d’accident. Par
APR est d’évaluer les problèmes à résoudre en matière de maîtrise contre, à ce stade, il est normal de ne pas pouvoir être très précis
des risques. Une APR doit permettre : sur ces scénarios et de ne pas pouvoir distinguer des scénarios
— de se rendre compte si le projet pourrait devoir être aban- vraisemblables, d’autres, théoriquement possibles, mais qui se
donné parce que certains risques inacceptables se révèleraient révèleront ensuite invraisemblables.
irréductibles ; En effet, le but est d’identifier les événements redoutés à pren-
— de dimensionner a priori les efforts d’études et de réduction dre en considération. Toutes les informations disponibles (connais-
de risques ; sance a priori d’événements redoutés mais aussi modes de
— de localiser les domaines du système qui demanderont le plus défaillance des composants du système, potentiel d’énergie des
d’efforts et donc, les compétences requises en matière de maîtrise composants du système, etc.) doivent être exploitées. À partir de
des risques. ces informations on se pose la question des scénarios qui peuvent
Inversement la démarche APR permet d’anticiper sur la nature se développer à partir des phénomènes évoqués et on recense
des faiblesses en sûreté de fonctionnement et les limites des per- donc les événements (redoutés) sur lesquels ces scénarios pour-
formances sûreté de fonctionnement qu’il est raisonnable de vou- raient déboucher.
loir atteindre. Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recen-
ser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste
En poursuivant l’objectif essentiel de repérer les difficultés et les à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori
efforts les plus importants de réduction de risque et de démons- les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les
sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.
tration de la sûreté de fonctionnement, une démarche APR bien
menée contribue de façon décisive à la maîtrise des risques Cette recherche s’appuie naturellement avant tout sur les spéci-
« projet », c’est-à-dire à la maîtrise des coûts, des délais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec l’atteinte des objectifs de performance du produit ou pas encore choisies. La démarche peut être menée de façon
du service. En particulier, la démarche APR doit permettre très tôt systématique sur les fonctions du système. Néanmoins, en matière
de construire une vision commune et un accord entre les parties de sécurité, il faut prendre en compte les dangers créés par les
concernées par le projet sur les mesures à prendre pour assurer la techniques choisies indépendamment des exigences fonctionnel-
sûreté de fonctionnement requise et les rôles de chacun dans ces les (notamment en chimie) dans le cadre de la méthode HAZOP).
efforts. Pour réaliser une même fonction, une solution électrique amène à se
Si la démarche APR est unique par son esprit, chacun la conduit poser la question du risque d’électrocution, une solution pneumatique
à son niveau en fonction des risques qui le concernent. Si une celle du risque d’explosion par surpression, tout cela indépendamment
démarche APR globale peut démarrer dès les origines d’un projet, des risques liés à l’échec total ou partiel de la fonction.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

Analyse globale des risques (AGR)


par Alain DESROCHES
Professeur à l’École CentraleSupélec
Ex expert en sûreté de fonctionnement et gestion des risques au Centre national d’études
spatiales (CNES)
Ex président de la Commission risques accidentels et membre du Conseil scientifique
de l’Institut national de l’environnement industriel et des risques (INERIS), Paris, France

1. Concepts préliminaires....................................................................... SE 4 015 - 2


2. Présentation de l’AGR ........................................................................ — 4
2.1 Principe de la méthode............................................................................ — 4
2.2 AGR Système ........................................................................................... — 5
2.3 AGR Scénarios ......................................................................................... — 6
2.4 Résultats et valorisation de l’AGR .......................................................... — 11
3. Exemple d’application industrielle.................................................. — 11
3.1 Données de l’exemple d’application industrielle .................................. — 11
3.2 Analyse des scénarios ............................................................................. — 14
3.3 Principaux résultats d’analyse et d’évaluation...................................... — 14
3.4 Valorisation de l’AGR .............................................................................. — 20
4. Conclusion ............................................................................................. — 27
Pour en savoir plus ........................................................................................ Doc. SE 4 015

et article traite de l’analyse globale des risques (AGR) qui couvre l’identi-
C fication, l’évaluation et la gestion des risques structurels, des risques
fonctionnels et des risques conjoncturels pendant tout le cycle de vie du
système étudié, depuis le début de sa conception jusqu’à la fin de son
démantèlement.
Elle existe en version semi qualitative (notée AGR), présentée dans cet
article, et en version quantitative ou probabiliste (notée AGRq) [3].
L’AGR est applicable à l’analyse des risques de projet, des risques d’entre-
prise ou des risques produits.
Les quatre catégories de dangers génériques prises en compte sont :
– les dangers extérieurs au système ;
– les dangers liés à la gouvernance du système ;
– les dangers liés aux moyens techniques du système ;
– les dangers liés aux études et production du système.
Le but de l’AGR est :
– d’identifier les principaux risques pendant l’activité du système à partir
des dangers, des situations dangereuses, des événements redoutés ou acci-
dents consécutifs et de leurs conséquences ;
– de caractériser les scénarios d’accident à partir des trois facteurs de
risques : facteur d’exposition, facteur déclenchant et facteur aggravant ;
– d’élaborer les cartographies des risques ;
– d’identifier les risques majeurs ;
– d’évaluer les bilans efforts/pertes en termes financiers ;
– d’élaborer le plan d’actions en réduction des risques ;
– d’élaborer le catalogue des paramètres de sécurité correspondant aux acti-
vités de sécurisation ultérieures.
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQV

De plus, l’AGR prend en compte la gestion financière du traitement des


risques et permet la réalisation d’allocations d’objectifs de risques sur la per-
formance et la sécurité (allocations de sûreté de fonctionnement).

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 015 – 1

QQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

1. Concepts préliminaires crée l’exposition du système S au danger D (repère 1) et donc la


situation dangereuse SD (repère 3). À partir de laquelle l’occur-
rence d’une cause amorce ou facteur de risque déclenchant
Le danger [1] dont la notion précède celle de risque est défini FD (repère 4) entraîne l’accident A (repère 5). Puis l’occurrence
comme un potentiel de préjudice ou de nuisance aux personnes, d’une cause circonstancielle ou facteur de risque aggravant
aux biens ou à l’environnement. Ce concept abstrait couvre aussi FA (repère 6) qui définit et caractérise l’occurrence, la nature et la
bien des éventualités physiques ou matérielles accessibles par nos gravité des conséquences K (repère 7).
sens que des éventualités immatérielles comme l’énergie poten- Les causes contact FE, amorce FD et circonstancielle FA sont des
tielle ou cinétique. De façon plus générale, un danger peut être une noms génériques pour définir l’ensemble des causes qui engendre
substance (produit toxique...), un objet (virus, astéroïde...), un phé- respectivement la situation dangereuse SD, l’accident A et les
nomène (inondation, séisme...) ou un processus (erreur de dia- conséquences K. Les uns comme les autres peuvent être des évé-
gnostic, erreur d’administration, erreur opératoire...). nements programmés, donc attendus, ou des événements non
Ce préliminaire étant fait, le risque met en jeu deux notions. programmés, donc non attendus. Les noms génériques peuvent
L’une, qualitative, qui concerne son origine, à savoir sa genèse par correspondre chacun à plusieurs causes.
l’exposition du système au danger, appelée situation dange- L’ensemble des étapes d’identification et l’évaluation des risques
reuse, qui, suivant les circonstances, peut se transformer en est généralement appelé appréciation des risques.
situation accidentelle avec des conséquences de différentes
natures et importances. L’autre, quantitative, qui est la mesure en Dans la pratique, l’identification des risques est faite en utilisant
termes de probabilité d’occurrence et de gravité de l’incerti- un ensemble d’outils méthodologiques traitant de façon complé-
tude de la situation dangereuse ou de la situation accidentelle, mentaire de la nature des événements, de leur localisation spatiale
appelée aussi événement redouté. et temporelle. L’évaluation des risques est faite d’une part sur
l’incertitude de l’occurrence du risque en utilisant soit une échelle
Si sur une échelle de temps l’événement redouté est considéré à d’index de vraisemblance V ou de valeurs de probabilité P, et
l’instant présent, alors sa probabilité d’occurrence concerne ses d’autre part sur les conséquences en utilisant une échelle d’index
causes qui appartiennent à son passé, tandis que la gravité de gravité G complétée ou non par des index ou des valeurs de
concerne ses conséquences qui appartiennent à son futur. Le pertes et d’efforts, notés respectivement IP ou VP et IE et VE.
risque d’un événement est un concept abstrait qui nécessite donc
de prendre en compte de façon globale son passé, son présent et La maîtrise des risques [2] est associée directement aux
son futur. actions de réduction et de contrôle faites sur les composantes du
risque : la prévention regroupe les actions qui ont pour but de
Il en résulte que le couple probabilité-gravité est indissociable et diminuer la probabilité d’occurrence du risque, tandis que la pro-
doit être considéré comme une variable bidimensionnelle. Par là tection regroupe les actions qui ont pour but de diminuer la gra-
même, un risque n’est ni une probabilité, ni une gravité, mais les vité de ses conséquences. Plus précisément, la prévention vise à
deux en même temps. Il s’ensuit qu’une décision associée à un réduire conjointement les probabilités d’occurrence des causes
risque ne peut être prise sur la base d’une seule de ses deux com- contact, amorce et circonstancielle « non programmées ». En pre-
posantes. mier, la réduction de la probabilité d’occurrence de la cause
De sa nature bidimensionnelle, pour laquelle il n’existe pas de contact sera recherchée, ce qui peut aboutir à l’absence d’occur-
relation d’ordre, il découle que l’on ne peut hiérarchiser formelle- rence de situation dangereuse. En deuxième, ce sera celle de la
ment deux risques de façon directe par le couple gravité-probabi- cause amorce jusqu’à l’élimination éventuelle de l’occurrence de
lité. l’accident. En troisième, ce sera celle de la cause circonstancielle.
Un scénario d’accident visualisé sur la figure 1 est défini Le processus de réduction des risques est basé sur le concept de
comme l’enchaînement ou la combinaison d’événements aboutis- criticité du risque C. Plus précisément, la criticité du risque, est
sant à un accident A (repère 5) puis à ses conséquences K le résultat d’une fonction de décision fD associée à une échelle
(repère 7). Sa réalisation est liée à l’occurrence d’une cause de valeurs politique, éthique, religieuse, économique, etc. qui pour
contact ou facteur de risque d’exposition FE (repère 2) qui chaque risque évalué R (G, V ) associe ou non une action de réduc-

Système
(S)

1 3
Danger Situation 5
(D) dangereuse
(SD)
Événement redouté ou
accident
(A)
7
2
Cause contact
Conséquence
ou
4 (K)
facteur d’exposition (FE)
Cause amorce
ou
Cause circonstancielle 6
facteur déclenchant (FO)
ou
facteur aggravant (FA)

Figure 1 – Arborescence d’un scénario d’accident

SE 4 015 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

Classe de criticité Intitulé de la classe Intitulés des décisions et des actions

C1 Acceptable en l’état Aucune action n’est à entreprendre

C2 Tolérable sous contrôle On doit organiser un suivi en termes de gestion du risque tel que contrôle ou transfert

Inacceptable On doit refuser la situation et prendre des mesures de réduction des risques
C3
Sinon... on doit refuser toute ou partie de l’activité

Figure 2 – Arborescence d’un scénario d’accident

Probabilité Probabilité

Pr (G > g) < p
V5 V5
p4 p4
Pr Protection
(G
V4 > V4
p3 g) p3
<
p Prévention
V3 V3
p2 p2

V2 Pr (G > g) < p V2
p1 p1

V1 V1

g1 g2 g3 g4 Gravité g1 g2 g3 g4 Gravité
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5

Figure 3 – Diagrammes d’acceptabilité des risques

tion ou de contrôle. Ce qui s’exprime en posant C = fD (G, V ). Le management des risques repose d’une part sur l’assigna-
L’« ensemble de définition » de fD est l’ensemble des couples (G, tion d’objectifs de risques acceptables ou tolérables définis par le
V). L’« ensemble des valeurs » de fD correspond à l’ensemble des référentiel d’acceptabilité des risques et d’autre part par la mise en
criticités, appelé échelle de criticité (figure 2), réparti en trois place de ressources ou moyens de traitement pour permettre
classes suivant le principe ALARA (As Low As Reasonably Achie- d’atteindre les objectifs (par la réduction des risques initiaux) et
vable). d’assurer leur maintien (par le contrôle des risques résiduels).
Nota : la criticité du risque ne doit pas être confondue avec le risque moyen qui est Autrement dit, le plan de réduction des risques comme le cata-
le produit de la probabilité par la gravité du risque et n’est qu’un paramètre d’évaluation logue des paramètres de sécurité n’ont de réalité que dans la
et non de décision. mesure où un plan de financement des actions, appelé finance-
ment du risque a été prévu et consolidé. Ce dernier doit être
Cette classification de l’ensemble des risques de l’activité en orienté par la contrainte « effort/perte ⭐ 1 » qui exprime que
trois classes doit être validée par la gouvernance du risque qui l’effort correspondant au coût de traitement (des conséquences) du
dispose des ressources associées aux décisions rattachées à risque doit rester inférieur à la perte correspondant au coût (des
chaque classe. conséquences) du risque en l’absence de traitement.
Les trois classes sont visualisées par zone respectivement en Le principe du financement du risque est défini ainsi : « Toute
vert, jaune et rouge sur le premier diagramme de la figure 3 action de réduction ou de contrôle pour maîtriser un risque géné-
appelé référentiel d’acceptabilité des risques ou diagramme rant une perte est un effort qui a un coût ».
ou tableau de criticité. Le second diagramme visualise les
actions de maîtrise des risques. Nota : effort de traitement du risque, que ce soit en termes de financement de l’élimi-
nation du risque, de sa réduction (prévention ou protection) ou de sa gestion telle que la
Des exemples de diagrammes qualitatif et probabiliste sont don- prise d’une assurance ou encore de son contrôle.
nés sur la figure 4.
Il est naturel de considérer le rapport : K = effort/perte, où :
Le regroupement structuré des actions de prévention et de pro- – perte est le coût du risque correspondant au montant (ou
tection est appelé plan de réduction des risques. équivalent) de la perte financière brute en l’absence de traitement
Les actions de contrôle permettent d’assurer la traçabilité des de maîtrise du risque ;
actions précédentes et de garantir dans le temps le maintien du – effort est le coût investi dans le traitement du risque,
niveau de risque acceptable ou tolérable atteint. Ces actions sont c’est-à-dire au montant (ou équivalent) financier des actions de
regroupées dans le catalogue des paramètres de sécurité. réduction, et plus globalement de maîtrise des risques.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 015 – 3

QS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

Gravité

G1 G2 G3 G4 G5

V5

V4

Vraisemblance
V3

V2

V1

Référentiel d’acceptabilité des risques Référentiel d’acceptabilité des risques


Classes de gravité Pr (G > g) = p

G1 G2 G3 G4 G5
1 × 10 0 1 × 100
Probabilité (p)

1 × 10–1 1 × 101

5,0 × 10–2
1 × 10–2 1 × 102
1,0 × 10–2
Probabilité

1 × 10–3 1 × 103

5,0 × 10–4
5,0 × 10–4
1 × 10–4 1 × 104

5,0 × 10–5
1 × 10–5 1 × 105

1 × 106
1 × 10–6

5,0 × 10–7
1 × 107
1 × 10–7 10 100 1 000 10 000 100 000
1,0 × 10–7 1,0 × 10–7
C1 C2 C3 Gravité (g)

Figure 4 – Exemples de diagrammes d’acceptabilité des risques

Dans le cadre du traitement pour maîtriser le risque deux cas


sont donc à considérer : 2. Présentation de l’AGR
– K < 1, autrement dit le coût de la perte est supérieur au coût de
l’effort de traitement. Dans ce cas il y a un intérêt sans restriction à
traiter et on parlera de traitement économique du risque ;
2.1 Principe de la méthode
– K ⭓ 1 , autrement dit le coût de la perte est inférieur au coût de L’AGR est une méthode globale d’analyse semi qualitative ou
l’effort de traitement. Dans ce cas il n’y a pas d’intérêt logique à probabiliste qui permet d’apprécier et de maîtriser les risques
traiter, sauf cas de force et on parlera de traitement politique du d’activités de nature différente, tels que les risques d’entreprise,
risque. les risques projet ou les risques produit suivant un processus
Nota : les pertes et les efforts doivent être définis dans les mêmes unités (valeurs invariant [2]. La spécificité tient à la nature du système considéré
monétaires, ressources, etc.). et de la cartographie des dangers considérés (structurels, conjonc-
turels ou fonctionnels) et non au processus d’analyse proprement
Cette contrainte ne doit pas être confondue avec le principe plus dit. Il en est de même des cartographies des risques comme le
abstrait appelé bénéfice/risque qui exprime que le bénéfice ou visualise la figure 5.
gain tiré de la prise de risque doit être a priori supérieur à la perte
ou inconvénient qui peut en résulter. Nota : l’AGR est conforme à la norme ISO 31000 [4].

SE 4 015 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

_________________________________________________________________________________________________ ANALYSE GLOBALE DES RISQUES (AGR)

2.2 AGR Système

2.2.1 Modélisation du système


Le système est modélisé sous forme de processus (Φ), de fonc-
tions (F ) et/ou de sous-systèmes de ressources humaines ou maté-
rielles (S/S ) décrit en trois lignes.
Le tableau 1 visualise un exemple de modélisation générique
par phase de système.

2.2.2 Élaboration de la cartographie des dangers


La cartographie des dangers est une liste structurée de dangers
définie en trois colonnes auxquels le système est susceptible
d’être exposé. Son format est présenté sur le tableau 2.
La cartographie des dangers est élaborée à partir d’une liste de
vingt-six rubriques de dangers génériques qui couvre les quatre
grandes catégories suivantes :
– les dangers externes au système ;
– les dangers de gouvernance du système ;
– les dangers liés aux moyens techniques du système ;
– les dangers liés aux études et production du système.
La figure 7 présente cette liste de façon détaillée.
Figure 5 – Exemples de cartographies des risques
2.2.3 Élaboration de la cartographie
Le diagramme de la figure 5 visualise des cartographies des des situations dangereuses
risques obtenues par AGR des trois catégories d’activités. La structure de la cartographie des situations dangereuses est
Le processus de l’AGR est réalisé en trois étapes comme le réalisée par la juxtaposition croisée du système et de la cartogra-
montre la figure 6. phie des dangers. Les interactions dangers/système sont les fac-
teurs de génération de situations dangereuses. Celles-ci sont
Nota : les trois étapes-clés de la figure 6 regroupent plusieurs sous-étapes. créées autant par la sensibilité ou la vulnérabilité intrinsèque des

1
AGR SYSTÈME
Modélisation du système et élaboration de la cartographie des dangers

Identification des situations dangereuses

Cartographie des situations dangereuses

2
AGR SCÉNARIOS

Analyse des situations dangereuses


Évaluation des risques initiaux et traitement des conséquences des événements redoutés
Évaluation des index de pertes et d’efforts
Évaluation des risques résiduels

Cartographies des risques (/aux situations dangereuses, au système ou aux dangers)


Diagrammes de décision (/au système ou aux dangers)

3
Gestion des actions

Plan d’actions de réduction des risques (risques initiaux)


Catalogue des paramètres de sécurité (risques résiduels)
Plan de financement des risques (actions et paramètres)

Figure 6 – Étapes du processus de l’AGR

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 015 – 5

QU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU

ANALYSE GLOBALE DES RISQUES (AGR) ________________________________________________________________________________________________

Tableau 1 – Exemple de modélisation d’un système


Phase 1 Phase 2 Phase 3
Fonction 11

Fonction 12

Fonction 13

Fonction 14

Fonction 21

Fonction 22

Fonction 23

Fonction 24

Fonction 25

Fonction 26

Fonction 31

Fonction 32

Fonction 33

Fonction 34
Ressource 111

Ressource 121

Ressource 131

Ressource 132

Ressource 141

Ressource 142

Ressource 211

Ressource 221

Ressource 231

Ressource 241

Ressource 251

Ressource 261

Ressource 311

Ressource 312

Ressource 321

Ressource 322

Ressource 331

Ressource 341

Ressource 342
La cartographie des situations dangereuses est définie par
Tableau 2 – Exemple de format de la cartographie l’ensemble des éléments du référentiel système/danger. Chaque
des dangers élément correspond à une case qui repère une interaction poten-
Dangers Dangers Événements tielle d’un événement dangereux sur un élément système à
génériques spécifiques ou éléments dangereux laquelle doit alors être affecté un index de priorité. La figure 9
visualise un exemple de cartographie des situations dangereuses.
DS1 ED111
Nota : une situation dangereuse peut être définie sur une ou plusieurs cases qui appa-
DS2 ED121 raissent fusionnées. Ainsi, si un danger impacte plusieurs éléments contigus du système,
DG1 alors la fusion sera horizontale. Si plusieurs éléments dangereux contigus impactent un
élément système, alors la fusion sera verticale. La combinaison des deux est aussi
DS3 ED131 possible.

DS4 ED141
ED211 2.3 AGR Scénarios
ED212
DS1
ED213 2.3.1 Éléments d’évaluation et de décision

ED214 Cinq échelles ou tableaux de données permettent d’évaluer les


DG2 risques et d’orienter leur gestion.
ED221
DS2 1) L’échelle de gravité est à cinq niveaux d’index correspon-
ED222 dant à cinq natures différentes de conséquences impactant la mis-
sion ou la performance du système, ainsi que son intégrité ou sa
ED231 sécurité comme le montre le tableau 3.
DS3
ED232 Les cinq niveaux peuvent aussi être associés à quatre seuils
d’une variable caractéristique des conséquences VCC caractérisant
ED311 des seuils de gravité tels que le retard calendaire de livraison d’un
DS1
ED312 produit comme visualisé dans le tableau 4.
DG3
ED321 Nota : dans le tableau 4 on peut lire qu’un retard de livraison inférieur ou égal à 1
semaine est considéré comme mineur (G1). Tandis qu’un retard de livraison supérieur ou
DS2 égal à 6 mois est considéré comme catastrophique (G5).
ED322
DS1 ED411 2) L’échelle d’occurrence peut-être quantitative (probabiliste),
ou qualitative par la définition de cinq niveaux de vraisemblance
DG4 ED411 associés à des périodes de récurrence comme le montre le
DS2 tableau 5.
ED422
3) L’échelle et le référentiel de criticité : comme rappelé
plus haut le référentiel d’acceptabilité des risques ou tableau de
éléments du système (identifiés dans les fonctions, S/S ou phases) criticité permet d’associer une décision de traitement à une classe
que par l’importance du niveau de danger auquel ils sont exposés. de risque. Ce référentiel est quantitatif ou qualitative suivant que la
mesure de l’incertitude est définie par vraisemblance ou de façon
Les interactions doivent être considérées a priori comme déter- probabiliste (figure 4).
ministes. L'estimation de la potentialité et de l’importance de ces
interactions permet ensuite de caractériser les situations dange- 4) L’échelle de pertes est à quatre niveaux d’index qui sont
reuses potentielles et de définir les index de priorités d'actions assignés à chacune des conséquences de criticité C2 ou C3. Les
consécutives. tableaux 6 et 7 présentent respectivement la définition des index
de pertes et un exemple générique de valeurs moyennes associées
La figure 8 regroupe ces critères et éléments de décision.
aux index de pertes pour un système composé de trois phases.
Nota : le report volontaire (priorité 10) a pour origine soit l’absence de spécialiste du
domaine, soit la limitation de la suite des analyses à des situations dangereuses en rela- Nota : les valeurs des incertitudes IPi sont données par élément système pour
tion avec des éléments systèmes ciblés (zoom) ou des classes de dangers. chacune des données financières de pertes associées.

SE 4 015 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

HAZOP : une méthode d’analyse


des risques
Présentation et contexte

par hel ROYER


Mic
Ingénieur chimiste

1. Présentation............................................................................................... SE 4 030 - 2
2. Définition, objectifs et domaines d’applications ............................ — 2
2.1 Définition et objectifs ................................................................................... — 2
2.2 Notions de base ........................................................................................... — 3
2.2.1 Définition du danger et de corollaires ............................................... — 3
2.2.2 Définition de l’accident et de ses corollaires .................................... — 4
2.2.3 Définition du risq ue et de ses corollaires.......................................... — 4
2.3 Domaines d’application de la méthode ..................................................... — 7
2.3.1 Secteurs d’activité............................................................................... — 7
2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... — 8
2.4 Limites de la méthode ................................................................................. — 8
2.4.1 Consommatrice de temps .................................................................. — 8
2.4.2 Qualitative ou non............................................................................... — 10
2.4.3 Exigeante ............................................................................................. — 10
2.5 Points forts.................................................................................................... — 10
2.5.1 Principe simple.................................................................................... — 10
2.5.2 Méthode systématique ....................................................................... — 10
2.5.3 Méthode pluridisciplinaire ................................................................. — 10
2.5.4 Large domaine applicatif .................................................................... — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033

a méthode HAZOP est un outil formalisé, systémique et semi-empirique


L
p。イオエゥッョ@Z@。カイゥャ@RPPY@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ウ・ーエ・ュ「イ・@RPQV

utilisé et développé depuis q uarante ans pour analyser les risques poten-
tiels associés à l’exploitation d’une installation industrielle.
Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical
industries), elle était conçue comme une technique et s’adressait particuliè-
rement à la phase d’ingénierie de détail de nouvelles installations chimiques
ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues sécurité sur schémas employées à l’époque par les
sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son
originalité résidait dans son approche a priori des dangers et des dysfonction-
nements d’une installation par l’étude systématique des déviations des
paramètres gouvernant le procédé à analyser.
Cette technique s’est développée hors des limites de la société ICI, au sein de
l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974,
d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue
une pratique d’identification des dangers et des problèmes d’exploitabilité,
adoptée par de nombreuses industries « à risques », en particulier, l’industrie

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4030 –1

QW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

pétrolière caractérisée par des dangers similaires à ceux de l’industrie chimique


ou pétrochimique, mais aussi dans des industries où les dangers sont d’une
autre nature, comme ceux rencontrés dans le nucléaire, l’alimentaire et les
transports.
La méthode HAZOP est abordée en trois parties :
– ce premier article [SE 4 030] est consacré aux définitions, objectifs et
domaines d’application ;
– le deuxième, [SE 4 031] en présente le principe ;
– le troisième, [SE 4 032] est consacré à la mise en œuvre et à l’illustration
de cette méthode.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].

• L’analyse des déviations fait l’objet d’un enregistrement sous


1. Présentation forme de tableaux des déviations, base indispensable pour la mise
en place ultérieure des actions recommandées par le groupe de
La gestion des risques est une exigence incontournable dans nos travail.
sociétés industrielles modernes pour lesquelles l’accident majeur
est devenu inacceptable. En entreprise, l’importance de la sécurité ■ Dans le cas de risques majeurs, la réglementation des sites
n’est plus à démontrer. Le moyen le mieux adapté pour maîtriser industriels classés SEVESO impose une évaluation du risque. La
les risques d’accident est la sûreté de fonctionnement (SdF), méthode HAZOP conventionnelle, telle que décrite plus haut,
laquelle est un ensemble de méthodes et de concepts ([1] [2]). comporte alors une estimation a priori de la probabilité d’appari-
tion des déviations et de la gravité de leurs conséquences. On
La méthode H AZO P(Haz ard and operability studies) s’inscrit obtient une estimation semi-quantitative du risque, se poursuivant
dans la SdF en proposant une démarche d’amélioration de la par une évaluation permettant de définir l’acceptabilité ou non du
sécurité et des procédés d’un système (installation industrielle risque. On qualifie alors la méthode HAZOP de « probabiliste » par
en projet ou existante). rapport à l’approche originelle qualifiée de « déterministe ».
Elle est traduite en français dans la norme CEI 61882 (voir
[Doc. SE 4 033]). La méthode HAZOP est aujourd’hui, parmi la soixantaine de
méthodes d’analyses de risques existantes, l’une des plus pra-
C’est un examen structuré, en profondeur, rigoureux, systéma- tiquées dans le monde.
tique, participatif, de type inductif, d’identification des dangers et Les autres méthodes, parmi les plus utilisées, sont :
des dysfonctionnements d’un système, mais qui ne propose pas de – l’Analyse préliminaire de risques (APR) [3] ;
solution. Pour ce faire, le système « siège du danger » est modélisé – l’Analyse des modes de défaillance, de leurs effets
et analysé pour définir comment son fonctionnement peut conduire (AMDE), et de leur criticité (AMDEC) [1] [4] ;
à des dérives par rapport à l’intention de son concepteur. – l’Arbres de défaillances (AdD) [1] [5] ;
■ La méthode est particulièrement adaptée aux systèmes – la What-if.
complexes de type thermo-hydrauliques, rencontrés sur des sites
industriels mettant en jeu des produits ou/et des procédés dange-
Certaines de ces méthodes peuvent être complémentaires (l’APR
reux, et entraînant des conséquences immédiates graves pour le
se situe avant l’HAZOP), ou en concurrence entre elles. Un choix
personnel, la population, les biens et l’environnement. Son
des méthodes s’impose donc avant de lancer une étude HAZOP.
domaine d’application comprend les procédés et les processus
dans des secteurs aussi divers que la chimie, la pétrochimie (son
application originelle), le pétrole, l’hydraulique, le nucléaire,
l’industrie alimentaire et les transports.
■ Sa mise en œuvre nécessite la constitution d’un groupe de tra-
2. Définition, objectifs
vail rassemblant autour d’un animateur, garant de la méthode, une
équipe pluridisciplinaire ayant une connaissance approfondie de
et domaines d’application
l’installation décrite sur des plans détaillés. La méthode consiste à
décomposer le système considéré en sous-ensembles, appelés 2.1 Définition et objectifs
« nœuds », puis à l’aide de mots–clés, ou mots guides, spécifiques
à la méthode, faire varier les paramètres du système par rapport à ■ Définition
ses points de consignes, appelées « intentions du procédé ».
La société Chemetics International Ltd., dans son guide à l’intro-
• On obtient ainsi une déviation dont l’équipe examinera les
duction de la méthode HAZOP [10] retient la définition suivante.
causes possibles et en déduira leurs conséquences potentielles
pour l’ensemble du système, d’où l’emploi fréquent d’« analyse
des déviations » pour caractériser la méthode HAZOP. Méthode HAZOP : « ...application d’un examen critJ ue
L’équipe se concentre alors sur les déviations conduisant à des formel et systématique aux intentions du procédé et de l’ingé-
risques potentiels pour la sécurité des personnes, des biens et de nierie d’une installation neuve ou existante afin d’évaluer le
l’environnement. Elle examine et définit ensuite les actions potentiel de danger lié à la mauvaise utilisation, ou au mauvais
fonctionnement, d’éléments d’équipement et leurs effets sur
recommandées pour éliminer, en priorité, la cause et/ou éliminer
ou atténuer les conséquences. l’installation dans son ensemble... ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 030 – 2 est strictement interdite. – © Editions T.I.

QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

■ Objectifs ■ Dommage
L’objectif de la méthode HAZOP est, à l’origine, d’identifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de
dysfonctionnements de nature technique et opératoire dont dommage et de danger :
l’enchaînement peut conduire à des événements non souhaités. Il – dommage : blessure physique ou atteinte à la santé des
s’agit donc de déterminer, pour chaque sous-ensemble ou élément personnes, aux biens ou à l’environnement ;
d’un système bien défini, les conséquences d’un fonctionnement – la notion de danger a fait l’objet d’une définition plus spéci-
hors du domaine d’utilisation pour lequel ce système a été conçu. fique, dans la Directive SEVESO II concernant la maîtrise des dan-
• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs gers liés aux accidents majeurs impliquant des substances
de la méthode HAZOP originelle, à savoir : dangereuses présentes dans les Installations classées pour la pro-
tection de l’environnement (ICPE) : danger : « ...propriété intrin-
– « ...identification des dangers potentiels dans le système. Le sèque d’une substance dangereuse ou d’une situation physique,
danger peut se limiter à la proximité immédiate du système ou de pouvoir provoquer des dommages pour la santé humaine et/ou
étendre ses effets bien au-delà, comme dans le cas des dangers l’environnement... ».
environnementaux... » ;
– « ...identification des problèmes potentiels d’exploitabilité Exemples : une falaise (situation physique), un flacon de lessive de
posés par le système et, en particulier, l’identification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des déviations dans la l’homme (élément vulnérable) car ils peuvent provoquer des
production susceptibles d’entraîner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, brû-
conformes... ». lure grave dans le cas d’un contact du corps avec la lessive de
soude).
• Avec l’apparition de la Directive SEVESO II et des nouvelles
exigences du ministère de l’Écologie et du développement durable Sont rattachées à la notion de « danger » les caractéristiques
(MEDD) en matière de prévention des risques industriels, la suivantes :
méthode HAZOP originelle s’avère insuffisante pour l’analyse des
– les propriétés inhérentes à une substance ou une préparation :
risques majeurs. Il faut lui adjoindre une phase d’évaluation du ris-
inflammabilité, toxicité... ;
que. C’est ainsi que, de purement qualitative, la méthode HAZOP
devient semi-quantitative, contribuant ainsi à améliorer la – l’énergie disponible dans le système : pneumatique, poten-
connaissance du risque et, de ce fait, la sécurité des installations. tielle...

• Les raisons qui vont conduire à engager une étude HAZOP sur On pourra résumer la notion de danger en indiquant qu’il est
une installation industrielle peuvent répondre à de multiples objec- une caractéristique d’un système, d’une machine, d’un atelier,
tifs qui sont en fait des exigences : d’un procédé, d’une situation, ayant un certain potentiel à cau-
– satisfaire aux exigences de la politique « Hygiène-sécurité- ser des atteintes aux personnes, aux biens, à l’environnement.
environnement » (HSE) de l’entreprise propriétaire de l’instal- Nous ajouterons qu’un danger est vérifiable et quantifiable.
lation ;
– satisfaire aux exigences de l’Administration, représentée, en
particulier, par les Directions régionales de l’Industrie, de la On observera que de nombreuses substances ou préparations
recherche et de l’environnement (DRIRE) : assurer la conformité non dangereuses peuvent le devenir lorsqu’elles se trouvent dans
avec la réglementation des Installations classées pour la protection d’autres conditions.
de l’environnement (ICPE), les codes du travail et de l’environ-
Exemple : l’eau à la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, portée dès 6 0oC, elle le dev
ient.
– établir les plans d’urgence : Plan d’opération interne (POI) pour
les installations industrielles, Plan d’urgence interne (PUI) pour les À cette notion de danger peuvent être associées les notions de :
installations nucléaires, tous deux établis sous la responsabilité de potentiel de danger, phénomène dangereux, et situation de dan-
l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de ger.
prévention des risques technologiques (PPRT) établis sous l’auto-
rité du Préfet ; ■ Potentiel de danger
– renforcer la confiance des parties prenantes (stakeholders ) : La définition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; « ...système (naturel ou créé par l’homme) ou disposition adoptée
– satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) ». Dans le domaine des
financièrement le risque résiduel. risques technologiques, un « potentiel de danger » correspond à
un ensemble technique nécessaire au fonctionnement du proces-
sus envisagé. Il est aussi appelé source de danger ou élément
2.2 Notions de base porteur de danger ou élément dangereux... ».
Exemple : un flacon contenant de la lessive de soude (système)
2.2.1 Définition du danger et de ses corollaires constitue un potentiel de danger lié à la corrosivité de la substance
pour le corps humain.
■ Danger
Il existe plusieurs définitions de la notion de danger (hazard). La ■ Phénomène dangereux
plus récente émane du MEDD qui a publié, en octobre 2005, un La définition du phénomène dangereux retenue par le MEDD
« Glossaire technique des risques technologiques » [11] avec les est : « ...libération d’énergie ou de substance produisant des effets
termes suivants : au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un
– danger : « propriété intrinsèque à une substance (élément ou dommage à des cibles vivantes ou matérielles sans préjuger l’exis-
composé chimique), à un système technique (mise sous pression tence de ces dernières... ».
d’un gaz), à une disposition (élévation d’une charge...), à un orga-
nisme (microbes), etc., de nature à entraîner un dommage sur un ■ Situation de danger
« élément vulnérable » ; La définition d’une situation retenue par l’INERIS est :
– élément vulnérable : personne, bien et environnement. Un élé- « ...situation, si elle n’est pas maîtrisée, peut conduire à l’expo-
ment vulnérable est aussi appelé « cible ». sition de cibles à un ou plusieurs phénomènes dangereux... ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 030 – 3

QY
RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : une méthode d’analyse


des risques
Principe
par Michel ROYER
Ingénieur chimiste

1. Analyse du système ................................................................................. SE 4 031 - 2


1.1 Objectifs de l’analyse................................................................................... — 2
1.2 Définition du système .................................................................................. — 2
2. Paramètres et mots-clés......................................................................... — 3
2.1 Paramètres.................................................................................................... — 3
2.2 Mots-clés ou mots guides ........................................................................... — 3
2.3 Déviations ..................................................................................................... — 3
3. Étude des déviations ............................................................................... — 5
3.1 Logigramme de l’étude ............................................................................... — 5
3.2 Causes des déviations ................................................................................. — 5
3.3 Conséquences des déviations..................................................................... — 7
3.4 Exemples de déviations, causes et conséquences.................................... — 7
4. Estimation et évaluation du risque ..................................................... — 8
4.1 Probabilité d’occurrence.............................................................................. — 8
4.2 Gravité des conséquences .......................................................................... — 10
4.3 Niveaux de risque ........................................................................................ — 13
4.4 Évaluation du risque .................................................................................... — 16
5. Détection et barrières de sécurité....................................................... — 16
5.1 Détection ....................................................................................................... — 16
5.2 Barrières de sécurité .................................................................................... — 16
Pour en savoir plus ........................................................................................... Doc. SE 4 033

a méthode HAZOP (Hazard and operability studies) consiste à décomposer


L un système donné en sous-ensembles appelés « nœuds » puis, à l’aide de
mots-clés ou mots guides spécifiques (voir [SE 4 030]) et à faire varier les para-
p。イオエゥッョ@Z@。カイゥャ@RPPY@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ウ・ーエ・ュ「イ・@RPQV

mètres du système étudié par rapport à ses points de consignes appelés


« intentions du procédé ». Les déviations ainsi obtenues sont examinées par
une équipe pluridisciplinaire dédiée (voir [SE 4 032]) afin d’en déduire leurs
conséquences potentielles pour l’ensemble du système et de déterminer celles
conduisant à des risques potentiels pour la sécurité des personnes, des biens
et de l’environnement. Le groupe de travail examine et définit ensuite les
actions recommandées pour éliminer en priorité la cause ou atténuer, voire
éliminer les conséquences. L’analyse des déviations fait l’objet d’un enregis-
trement sous forme de tableaux, base indispensable pour la mise en place
ultérieure des actions recommandées par le groupe de travail.
Dans cet article, nous aborderons donc l’analyse du système, la détermina-
tion des paramètres, le choix des mots- clés et l’étude des déviations.
Après avoir présenté la méthode HAZOP et ses domaines d’application dans
l’article [SE 4 030], le principe en est donc ici donné avec les différents points à
prendre en compte.
Par la suite dans [SE 4 032], nous verrons comment cette méthode peut être
appliquée. Les références bibliographiques ici citées sont consultables dans la
fiche documentaire [Doc. SE 4 033].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 1

RQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

La modélisation la mieux adaptée pour l’analyse de risque par la


1. Analyse du système méthode HAZOP est le schéma détaillé de circulation des produits
tels que présents dans l’installation considérée, d’où l’emploi fré-
1.1 Objectifs de l’analyse quent « d’analyse sécurité sur schémas ». Ce type de schéma dit
« PID », très répandu dans l’industrie chimique et pétrochimique,
L’analyse du système a pour objectif le maintien de ses perfor- comprend une représentation graphique de l’ensemble des appa-
mances dans le temps, dans les conditions de sa conception et au reils et équipements, des tuyauteries les reliant entre eux (flux pro-
moindre coût. Pour cela, il convient, comme pour toute étude de cédés, mais aussi utilités), ainsi que la totalité de l’instrumentation.
SdF, de procéder à une modélisation du comportement fonction- Le PID est, par définition, plus complet que le schéma dit « PFD »
nel et dysfonctionnel du système, puis à évaluer ses performances. qui se limite à la représentation des flux procédés et à l’instrumen-
tation de base.

La sécurité des processus industriels dépend de l’interaction, La modélisation d’une installation industrielle peut requérir plu-
du contrôle et de la maîtrise permanente de trois variables sieurs dizaines de PID. À partir d’un PID, il convient alors de le frac-
essentielles : le produit, le procédé et le facteur humain. tionner en « nœuds » dont on donnera la définition suivante pour
une installation : sous ensemble ou élément spécifique réalisant
une fonction dans le procédé.

1.2 Définition du système Exemple : un équipement (réacteur, réservoir ou pompe) avec ses
connexions (tuyauteries) et son instrumentation réalise une fonction
1.2.1 Notion de système (réaction, stockage ou transfert).

La notion de système fait l’objet de la définition suivante [1] : Le tableau 1 présente une liste de seize équipements issus du
« ...ensemble de matériels, de logiciels, d’hommes, organisé pour projet européen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions données dans des conditions données... ». nœuds.
Le système est constitué de l’ensemble du processus industriel, Dans un nœud, le comportement fonctionnel du procédé doit
de l’acheminement des produits à leur transformation, en passant être clairement défini, ce que la méthode HAZOP qualifie
par les conditions de stockage. d’« intention » du procédé et qui peut se définir simplement ainsi :
« ...description de la façon dont le procédé doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nœud... ».
industriel), un équipement, sont parmi les systèmes le plus souvent
considérés pour les études HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une défini-
tion plus précise en se référant au concepteur de l’installation :
« ...façon dont les éléments et les caractéristues doivent se
1.2.2 Périmètre du système comporter pour être conformes aux désirs du concepteur ou à une
plage spécifiée... ».
La première des actions à engager dans une étude HAZOP est
de fixer le périmètre du système à étudier. Les enjeux et les
moyens humains à mettre en œuvre sont différents selon que l’on
s’adresse à un site, une installation, ou un équipement. Tableau 1 – Classes d’équipements
selon le projet européen ARAMIS (d’après [18])
1.2.3 Modélisation du système Classes
Équipements
« nœuds »
La deuxième action consiste à modéliser le système. Une instal-
lation industrielle peut être modélisée comme un ensemble EQ1 Silo de stockage de solides
composé essentiellement de matériels (M1, M2...) et d’opérateurs
(O1, O2...) en interaction entre eux et avec l’environnement comme EQ2 Stockage de solides en petits emballages
le présente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matériels et opérateurs les éléments suivants : EQ4 Réservoir sous pression
– matériels : bâtiments, stockages, machines, appareils, équipe- EQ5 Réservoir de liquide stocké à une pression
ments ; supérieure à la pression de saturation
– opérateurs : tous les acteurs de l’installation, de la direction par inertage
aux exécutants.
EQ6 Réservoir atmosphérique
EQ7 Réservoir cryogénique
EQ8 Équipement de transport sous pression
EQ9 Équipement de transport atmosphérique
EQ10 Tuyauterie
EQ11 Réservoir intermédiaire intégré dans un procédé
EQ12 Équipement impliquant des réactions chimiques
EQ13 Équipement dédié aux séparations physiques
et chimiques des substances
EQ14 Équipement de production et de fourniture
d’énergie
EQ15 Équipement pour emballage
Figure 1 – Exemple de modélisation d’une installation industrielle EQ16 Autres équipements

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 031 – 2 est strictement interdite. – © Editions T.I.

RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

La norme entend par caractéristique « une propriété quantitative Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de
ou qualitative d’un élément ». temps et de séquence :
L’intention concerne aussi bien le design (équipement) que la – plus tôt que (earlier than) ;
conduite (exploitation) de l’installation. – plus tard que (later than) ;
L’intention du procédé peut être une grandeur physique (T, P, – avant (before) ;
débit), ou une activité (phases de chargement d’un réactif, distilla- – après (later).
tion d’un produit). Soit un total aujourd’hui de onze mots-clés. La recherche
Le premier cas concerne plus particulièrement les procédés d’autres mots-clés est ouverte à l’imagination.
continus en fonctionnement normal où les paramètres sont fixés
par le procédé et le second cas les procédés discontinus ou 2.3 Déviations
semi-continus où les paramètres varient avec le temps et la
séquence. On intégrera dans ce dernier cas l’étude des phases 2.3.1 Définition
transitoires de démarrages et d’arrêts rencontrées dans les procé-
dés continus. La combinaison de mots-clés et de paramètres va constituer une
dérive, ou déviation, de ce paramètre :

MOT-CLÉ + PARAMÈTRE = DÉVIATION


2. Paramètres et mots-clés
La définition retenue pour la méthode HAZOP est : « ...écart par
2.1 Paramètres rapport aux intentions du design et de la conduite des
opérations... » [10].
La méthode HAZOP fait appel à des paramètres spécifiques qui
Exemple : le paramètre grandeur physique « température » appli-
s’expriment par de simples mots (noms ou verbes) caractéris-
qué au mot-clé « plus de » conduit à la déviation « plus de
tiques de l’intention de la conception et que l’on peut définir ainsi :
température », sous-entendu par rapport à l’intention du procédé,
« grandeur physiquement mesurable, action ou opération à
déviation qui s’exprimera plus clairement par « température haute ».
réaliser ». Le tableau 2 regroupe des listes de paramètres parmi
les plus fréquemment employés dans l’industrie des procédés. De la même façon, le paramètre opératoire « agitation » appliqué
au mot-clé « pas de » conduit à la déviation « pas d’agitation ».
On observera que l’homme est partie prenante dans les opé-
rations et les actions à réaliser. On conçoit donc aisément que On notera que l’état de référence du paramètre soumis à
son rôle dans la sécurité des installations soit déterminant. déviation dépend notamment de l’état du système considéré :
fonctionnement normal ou transitoire (démarrage, arrêt).

2.2 Mots-clés ou mots guides 2.3.2 Domaines d’application


Parallèlement, la méthode introduit un nombre limité (sept à Les déviations peuvent s’appliquer aux procédés continus
l’origine) de mots-clés appelés aussi « mots guides » et définis ori- (tableau 3), discontinus et semi-continus (tableau 4) et aux procé-
ginellement ainsi [10] : dés en développement (tableau 5). Ces tableaux, issus respective-
« ...simple mot ou courte phrase qualifiant l’intention en vue de ment des références [10] et [19], reprennent les mots-clés adaptés,
guider et de stimuler le processus créatif et ainsi de permettre la leur signification, ainsi que des exemples de déviations.
découverte de déviations... ». Toutes les combinaisons paramètres/mots-clés ne conduisent
Liste des sept mots-clés (keywords) : pas nécessairement à des déviations pertinentes.
– non ou pas de (no ou not) ; Exemple : le paramètre « température » appliqué au mot-clé « Pas
– plus de (more) ; de » conduit à la déviation « Pas de température », non pertinente
– moins de (less) ; hormis si l’on considère le zéro absolu !
– en plus de (as well as) ;
– en partie (part of) ; Le tableau 6 montre plus généralement les déviations pertinen-
– autre que (other than) ; tes notées X issues des onze mots-clés et de douze paramètres (six
– inverse (reverse). grandeurs physiques, trois opérations et trois actions à réaliser).

emples de paramètres de la méthode HAZOP


Tableau 2 – Ex
Grandeurs physiques
Opérations à réaliser Actions à réaliser Fonctions-situations
mesurables
Température pH Chargement Contrôle Démarrer Protection
Pression Intensité Dilution Séparation Échantillonner Fuite
Niveau Vitesse Chauffage Refroidissement Arrêter Défaut d’utilités
Débit Fréquence Agitation Transfert Isoler Gel
Concentration Quantité Mélange Maintenance Purger Séisme
Contamination Temps Réaction Corrosion Fermer Malveillance

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 3

RS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

Tableau 3 – Liste de mots-clés applicables aux procédés continus


Types de M ots-clés Signification des mots-clés
Exemples de déviations
déviations (Keywords) et commentaires
Pas de, Non, Plus du tout Aucune partie de l’intention n’est remplie, Pas de flux matière (débit nul), réacteur
Négative
(No, Not, None) mais il ne se passe rien. vide (niveau liquide nul).
Dépassement, ou augmentation,
Température de réaction supérieure à la
quantitatif.
Plus de valeur prévue, temps de séjour plus long
Se réfère aux quantités et aux propriétés (T,
(More than) que prévu, niveau liquide trop élevé,
P), mais aussi aux activités (chauffage, réac-
Modification augmentation du chauffage.
tion).
quantitative
Insuffisance ou diminution quantitative. Flux matière inférieur à la valeur prévue,
Moins de Se réfère aux quantités et aux propriétés (T, niveau trop bas dans un réacteur,
(Less than) P), mais aussi aux activités (chauffage, réac- composition plus faible qu’attendue,
tion). diminution du chauffage.
Accroissement qualitatif. Présence d’une impureté dans une matière
Aussi, Ailleurs, En plus de L’intention (design et opératoire) première ou dans un produit de réaction,
Modification (Also, As well as) est réalisée avec une activité additionnelle. orientation d’un produit vers un autre bac
qualitative Effet concomitant indésirable. de stockage que le sien (contamination).
En partie, en moins Diminution qualitative. Présence d’une phase aqueuse au stockage
(Part of) Une partie seulement de l’intention est réalisée. d’un des réactifs, entraînée en réaction.
Autre que Substitution complète. Fuite de produit par corrosion
(Other than) Résultat obtenu différent de celui de l’intention. de canalisation.

Substitution Résultat logiquement opposé à celui de l’inten-


Inversion de l’écoulement dans
Inverse, au contraire tion.
les canalisations, inversion des réactions
(Reverse) Se réfère principalement aux activités, mais
chimiques, antidote au lieu de poison.
aussi aux substances.

Tableau 4 – Liste de mots-clés spécifiques aux procédés discontinus et semi-continus


Types de Mots-clés,
Signification des mots-clés Exemples de déviations
déviations (Keywords)
Plus tôt que Événement se produisant avant l’heure (ou le Introduction des réactifs A et B réalisée
(Earlier than) moment) prévu par l’intention plus tôt que la mise en chauffe du réacteur
Temps
Plus tard que Événement se produisant après l’heure (ou le Introduction du catalyseur C dans
(Later than) moment) prévu par l’intention le réacteur après l’addition du solvant S
Avant Événement se produisant plus tôt que prévu Introduction du catalyseur C dans le
(Before) dans une séquence réacteur avant le démarrage de l’agitation
Ordre
Après Événement qui se produit plus tard que prévu
Introduction du réactif B avant le réactif A
(After) dans une séquence
Plus vite Durée d’introduction d’un des réactifs deux
Séquence plus rapide que l’intention
(Faster) fois plus rapide que prévue
Séquence
Plus lente Allongement de la durée de la vidange
Séquence plus lente que l’intention
(Slower) du réacteur en fin d’opération

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement


Types de Mots-clés
Signification des mots-clés Exemples de déviations
déviation (Keywords)
Pas de, Non, Plus du tout Aucune partie de l’intention n’est
Négative Élimination d’un solvant ou d’un catalyseur
(No, Not) remplie
Augmentation de la température de réaction
Plus de (More) Augmentation quantitative
Modification ou de la quantité d’un solvant
quantitative Réduction de la température ou de la quantité
Moins de (Less) Réduction quantitative
de solvant

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 031 – 4 est strictement interdite. – © Editions T.I.

RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement (suite)


Types de Mots-clés
Signification des mots-clés Exemples de déviations
déviation (Keywords)
Modification Autant que, Aussi, En Activité concomitante à celle de Présence d’une impureté contenue dans une matière
qualitative même temps (As w ell as) l’intention première, exécution d’une autre opération ou étape
Activité substituée à celle de Substitution d’une matière première ou d’un solvant
Autre que (Other than)
l’intention par une autre matière première ou un autre solvant
Substitution
Activité opposée à celle de Flux inverse de matière ou inversion de réaction
Inverse (Reverse)
l’intention chimique
Activité se produisant
Plus tôt que, Plus tard que
Temps au mauvais moment (avant Changement des enchaînements ou des séquences
(Earlier than, Later than)
ou après d’autres activités)

Tableau 6 – Exemple de matrice mots-clés/paramètres HAZOP


Mots-clés
Paramètres HAZOP Pas Plus Moins En Autre Plus Plus
Aussi Inverse Avant Après
de de de partie que tôt tard
Température X X X
Pression X X X
Grandeurs Niveau X X X X
physiques Débit X X X X X X X X X X X
Concentration X X X X X
Contamination X X X X X
Chargement X X X X X X X X X X
Opérations Agitation X X X X X X X X X X
Chauffage X X X X X X X X X X
Démarrer X X X X X X X
Actions Mesurer X X X X X X X
Arrêter X X X X X X X

3. Étude des déviations environnement. Cette approche est commune à de nombreuses


méthodes comme le montre le tableau 7.
Les causes des déviations sont les raisons ou problèmes pour
3.1 Logigramme de l’étude lesquels ces déviations ont lieu.
Cette phase de l’étude constitue le cœur de la méthode HAZOP. Le tableau 8 présente divers types de causes possibles de dévia-
Par un mécanisme itératif sur chacun des nœuds, l’association sys- tions, leur origine et des exemples.
tématique paramètres/mots-clés doit permettre de couvrir de
façon exhaustive toutes les dérives potentielles ou problèmes ima- On notera que les défaillances opérateur peuvent recouvrir de
ginables dans l’installation étudiée. Le logigramme de l’étude des nombreux aspects correspondant aux erreurs humaines. L’homme
déviations HAZOP est présenté à la figure 2. intervient comme événement initiateur d’accident, d’autant plus
qu’il est aussi responsable des défaillances de matériel.
Remarque. Il est possible de conduire l’analyse des déviations
en appliquant, à l’inverse, un mot-clé à chacun des paramètres. La cause fondamentale de ces défaillances humaines est liée
à une mauvaise gestion de la sécurité.

3.2 Causes des déviations


3.2.2 Recherche des causes de déviations
3.2.1 Définitions et origine
La recherche des causes de déviations de chaque paramètre
La méthode HAZOP d’analyse de risques procède selon une nécessite de se poser systématiquement la question suivante : que
démarche dite « inductive », partant de la cause de la déviation faut-il faire pour que le paramètre étudié soit différent de celui de
d’un paramètre afin d’identifier ses effets sur le système et son l’intention ?

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 5

RU
RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR

HAZOP : une méthode d’analyse


des risques
Mise en œuvre

par Michel ROYER


Ingénieur chimiste

1. Mise en œuvre de la méthode............................................................... SE 4 032 - 2


1.1 Documentation ............................................................................................. — 2
1.1.1 Documents relatifs aux produits........................................................ — 2
1.1.2 Documents relatifs au procédé .......................................................... — 2
1.1.3 Documents relatifs aux opérations.................................................... — 2
1.2 Acteurs .......................................................................................................... — 2
1.2.1 Mise en place du groupe de travail ................................................... — 2
1.2.2 Le chef de projet.................................................................................. — 3
1.2.3 L’animateur HAZOP ............................................................................ — 3
1.2.4 Les spécialistes techniques ................................................................ — 4
1.2.5 Autres fonctions .................................................................................. — 4
1.2.6 Règles de conduite de l’équipe .......................................................... — 4
1.3 Déroulement ................................................................................................. — 4
1.3.1 Préparation des sessions.................................................................... — 4
1.3.2 Sessions HAZOP ................................................................................. — 5
1.4 Délivrables .................................................................................................... — 7
1.4.1 Recommandations d’actions.............................................................. — 7
1.4.2 Documents de fin de session ............................................................. — 8
1.4.3 Document de fin d’études .................................................................. — 8
2. Illustration de la méthode...................................................................... — 8
3. Conclusion.................................................................................................. — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033
p。イオエゥッョ@Z@ェオゥャャ・エ@RPPY@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ウ・ーエ・ュ「イ・@RPQV

omme nous l’indiquions dans le dossier [SE 4 030], la mise en œuvre de


C la méthode HAZOP (Hazard and operability studies) nécessite la
constitution d'un groupe de travail rassemblant autour d'un animateur, garant
de la méthode, une équipe pluridisciplinaire ayant une connaissance appro-
fondie de l’installation décrite sur des plans détaillés. Elle demande donc la
mobilisation d’une équipe pluridisciplinaire pendant de longues périodes, et la
collecte de nombreux documents pour modéliser l’installation [SE 4 031].
Dans ce troisième volet consacré à la mise en œuvre de la méthode HAZOP,
une présentation des différentes composantes de l’équipe de travail est faite
après avoir établi la liste des différents documents à réunir. Sont ensuite
abordés le déroulement des différentes réunions de travail et les documents
finaux à produire. Enfin, une courte illustration d’application est donnée.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 032 – 1

RW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

1. Mise en œuvre 1.2 Acteurs


de la méthode 1.2.1 Mise en place du groupe de travail
Exemple : cas d’un projet d’industrialisation
1.1 Documentation Pour un projet rendu au stade avancé correspondant aux phases
d’ingénierie de détail et de construction, l’entreprise (maître
d’ouvrage) doit mettre en place une organisation appropriée, du type
1.1.1 Documents relatifs aux produits de celle présentée par la figure 1 [9].

Le tableau 1 détaille les cinq thèmes majeurs à documenter,


ainsi que la nature des documents à collecter. Nombre de docu-
ments doivent être déjà disponibles si l’on a procédé préalable- Comité de Maître d'ouvrage Environnement
ment à une APR (Analyse préliminaire de risques). pilotage (entreprise) socio économique

Directeur de projet
1.1.2 Documents relatifs au procédé Représentant du
Maître d'ouvrage
Le tableau 2 détaille les thèmes à documenter, ainsi que la
Chef de projet
nature des documents à collecter. Exploitant
(maître d'oeuvre)
- société d'ingénierie Site d'accueil
- entrepreneurs Opérateurs
1.1.3 Documents relatifs aux opérations - spécialistes

Le tableau 3 détaille les thèmes à documenter, ainsi que la Figure 1 – Schéma de l’organisation à mettre en place pour mener
nature des documents à collecter. un projet d’industrialisation

Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP
Thèmes à documenter Documents à collecter
Fiches produits* : propriétés physiques, chimiques
Matières premières, intermédiaires, thermodynamiques, inflammabilité, réactivité, instabilité,
Caractéristiques produits finis, sous-produits, impuretés, toxicité, écotoxicité, modes de stockage, indices Dow et
des produits et utilités auxiliaires (solvants, catalyseurs), utilités, CHETAH, PEM, critères NFPA, traitement et destruction
déchets, rejets liquides et gazeux des produits, réglementation (ICPE, transport.).
Document unique
Caractéristiques
Rejets, déchets chroniques et accidentels Études déchets
des déchets
Fiches réactions : équations chimiques, chaleurs de réaction
(exo ou endo-thermie), opérations (continues, discontinues,
semi-continues...), modes opératoires (état physique, quantités,
flux, T, P, compositions...), cinétique, risques associés
Caractéristiques Réactions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des réactions parasites
maîtrise des réactions, mesures de prévention des pannes et
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Fiches opérations : nature (distillation, filtration...), conditions
opératoires (état physique, quantités, flux, T, P, compositions,
phases...), risques associés (explosion physique, rejet de
Caractéristiques
Opérations de génie chimique produit toxique...), mesures de prévention des pannes et des
des séparations physiques
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Incompatibilités Matrice d’incompatibilité : risques associés à réaction,
Produit-produit, produit-matériau,
des produits, utilités et explosion, incendie, polymérisation, corrosion, échauffement,
produit-utilité, produit-auxiliaire
matériaux décomposition, précipitation...
Bilan matières : flux par flux, prévisionnel et cohérent
Flux matières et flux Bilan matières
(par analyse de chacun des flux), bilan thermique par nœud ou
thermiques Rejets dans l’environnement
opération
* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à
jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 032 – 2 est strictement interdite. – © Editions T.I.

RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C)

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation et
sécurité à la SNCF
Vice-président de l’Institut de sûreté de fonctionnement

1. Introduction............................................................................................... SE 4 040 – 2
2. Sens et pertinence de l’AMDE(C)......................................................... — 2
2.1 Principe de l’AMDE(C) ................................................................................. — 2
2.2 Utilité de l’AMDE(C) ..................................................................................... — 2
2.3 Conditions de réussite de l’AMDE(C) ......................................................... — 3
2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques ........... — 3
3. Réalisation d’une AMDE(C) ................................................................... — 4
3.1 Préparation à l’AMDE(C).............................................................................. — 4
3.2 Conduite de la méthode.............................................................................. — 5
3.2.1 Première étape : décomposition et modes de défaillance .............. — 5
3.2.2 Deuxième étape : effets et criticité .................................................... — 6
3.2.3 Le tableau AMDE(C) ........................................................................... — 6
3.2.4 Troisième étape : synthèse ................................................................ — 7
4. Exploitations de l’AMDE(C) ................................................................... — 7
4.1 Produits directs d’une AMDE(C)................................................................. — 7
4.1.1 Évaluation des défaillances................................................................ — 7
4.1.2 Actions correctives ............................................................................. — 7
4.1.3 Suivi des corrections .......................................................................... — 8
4.1.4 Constitution d’un dossier. Documents complémentaires du
tableau ................................................................................................. — 8
4.2 Impacts de l’AMDE(C).................................................................................. — 8
4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ — 8
4.2.2 Impacts sur la conception.................................................................. — 9
4.2.3 Validation de la conception ............................................................... — 9
4.2.4 Prescriptions d’exploitation ............................................................... — 9
4.2.5 Organisation de la maintenance ....................................................... — 9
4.2.6 Exploitation, maintenance et retour d’expérience........................... — 9
4.2.7 Communication .................................................................................. — 9
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPU@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ュ。ゥ@RPQY

5. Recommandations sur le processus ................................................... — 10


5.1 Échanges entre l’analyste, le commanditaire et les experts .................... — 10
5.2 L’animation du groupe de travail................................................................ — 10
5.3 Pousser les limites de la méthode ............................................................. — 11
5.4 Soigner la synthèse ..................................................................................... — 11
6. Limites de l’AMDE(C) .............................................................................. — 11
6.1 Réputation d’exhaustivité de l’AMDE ........................................................ — 11
6.2 Domaines d’application .............................................................................. — 11
7. Conclusion ................................................................................................. — 12
Pour en savoir plus........................................................................................... Doc. SE 4 040

e texte a pour ambition de présenter la démarche et les méthodes AMDE


C (analyse des modes de défaillance et de leurs effets)/AMDEC (analyse des
modes de défaillance, de leurs effets et de leur criticité), non pour faire double

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 1

RY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C) _____________________________________________________________________________________________________________________________

emploi avec les nombreux fascicules, articles, supports de formation ou chapitres


d’ouvrages consacrés à la qualité ou la sûreté de fonctionnement qui décrivent
l’AMDE(C). L’auteur a tenté de recueillir et de restituer la riche expérience de plu-
sieurs spécialistes qui ont pratiqué ces méthodes dans des contextes divers.
Aussi la valeur qu’il espère avoir ajoutée est-elle formée surtout de commentai-
res et de recommandations visant à aider à mieux comprendre et à mieux utiliser
ces méthodes très largement répandues.
Ce dossier commence par situer l’AMDE(C) dans son environnement, lui don-
ner son sens. Ensuite, il aborde le déroulement de la démarche ; puis il illustre
l’usage de ces méthodes avant de mettre en avant les principales recomman-
dations et limites. Un exemple plus scolaire pour être bref rend concrète la
démarche avant de conclure.

1. Introduction 2. Sens et pertinence


de l’AMDE(C)
L’AMDE et l’AMDEC sont si connues et utilisées qu’elles sont pra-
tiquement devenues le symbole de la sûreté de fonctionnement.
L’AMDE (analyse des modes de défaillance et de leurs effets) étant 2.1 Principe de l’AMDE(C)
incluse dans l’AMDEC (analyse des modes de défaillance, de leurs
effets et de leur criticité), nous parlerons dans ce texte générale- Ne perdons jamais de vue le principe de l’AMDE.
ment d’AMDEC ou d’AMDE(C). Cette démarche est effectivement
très utilisée et très utile dans toute approche des risques. Pourtant, il
Principe de L’AMDE
ne faudrait pas confondre « analyse des risques » et AMDE(C) ou
● Point de départ : décomposition du système en compo-
croire que toute analyse de risque passe par une AMDE(C).
sants.
Notre but n’est pas de minimiser les apports de cette méthode à la ● Étape 1 : recensement des modes de défaillance des compo-
sûreté de fonctionnement, bien au contraire, mais il faut néanmoins sants.
lui redonner sa vraie place. Si la plupart des méthodes méritent une ● Étape 2 : effets et conséquences des modes de défaillance
certaine promotion tant elles peuvent apporter plus que l’usage qui des composants.
en est fait habituellement, l’AMDE(C) bénéficie au contraire d’une ● Sortie : risques découlant des défaillances des composants.
réputation extraordinaire au point que certains dirigeants industriels
voulant exprimer l’exigence d’une étude de risques avant mise en L’AMDE est une méthode inductive qui part des défaillances élé-
service d’un système complexe et innovant ont écrit qu’une mentaires des composants pour en déduire ce qui en résulte et donc
AMDE(C) du système devait être réalisée. à quelles situations, dues à ces défaillances, il faut s’attendre.
L’AMDEC ajoute une dimension d’évaluation de la gravité de ces
Nous nous attacherons dans ce texte à expliquer de notre mieux situations.
le sens et la pertinence de l’AMDE(C), à décrire le processus de réa-
L’AMDE(C) consiste à identifier et évaluer l’impact des défaillan-
lisation d’une AMDE(C) utile et à rappeler les recommandations les
ces des éléments du système sur celui-ci, ses fonctions, son
plus importantes issues de l’expérience pour réussir une AMDE(C) environnement.
de façon qu’elle soit utile.

Le contenu de ce dossier doit tout aux membres de feu l’Institut


de Sûreté de Fonctionnement et aux membres de l’actuel Institut de 2.2 Utilité de l’AMDE(C)
Maîtrise des risques par la Sûreté de fonctionnement qui ont par-
tagé leurs savoirs et leurs expériences dont l’auteur de ce dossier a Comme avec toute méthode, on est beaucoup plus efficace quand
largement bénéficié. Les membres du Groupe de Travail et de on comprend le but de la démarche que quand on se contente
Réflexion « Méthodes, Outils Standards » ont particulièrement tra- d’appliquer les règles d’un manuel si bon soit-il. Aussi est-il plus
vaillé sur cette méthode AMDE(C) et sont auteurs d’un guide péda- profitable de conduire une AMDE(C) en fonction de l’usage qui va en
gogique qui lui est consacré et dont l’auteur de ce dossier s’inspire être fait qu’en application d’une consigne ou d’une exigence
contractuelle ou réglementaire du type « réaliser une AMDE(C) sur
au même titre que de leurs expériences et conseils pour ce texte.
le système… conformément à la norme X ».
Qu’ils en soient remerciés comme ils le méritent ici.
Nous ne pourrons faire le tour de tous les usages possibles d’une
En anglais, la méthode est connue sous le sigle FMECA (Failure AMDE(C), mais nous en évoquerons quelques-uns caractéristiques.
Modes Effects and Criticality Analysis) ou FMEA. L’AMDE(C) identifie les problèmes auxquels exposent les défaillan-
ces internes du système étudié. En tenant compte des limites de la
On considère généralement que la méthode est apparue fin des méthode auxquelles nous reviendrons plus tard, cela permet :
années 1950, début des années 1960 dans l’industrie aéronautique — d’évaluer la gravité des situations auxquelles il faudra peut-
militaire américaine. être faire face ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 2 © Techniques de l’Ingénieur

SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

____________________________________________________________________________________________________________________________ AMDE (C)

— d’évaluer globalement les risques auxquels les défaillances produit », « AMDEC processus » ou « AMDEC moyen » et bien
des composants exposent ; d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de
— d’identifier et de hiérarchiser les faiblesses du système ; la démarche qui est exactement le même.
— de prévoir la maintenance corrective nécessaire ;
— d’évaluer l’intérêt de modifications de la conception ou de
maintenance préventive pour réduire ces risques ;
— de prévoir des mesures d’exploitation adaptées aux situations
2.3 Conditions de réussite de l’AMDE(C)
à venir ;
— de hiérarchiser l’importance des règles d’exploitation et de
L’AMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont réunies :
— d’intégrer dans une vision globale du système les compétences
des diverses sciences et techniques sollicitées par le système en fai- — il faut savoir décomposer l’ensemble du système étudié en
sant dialoguer les spécialistes de celles-ci. composants d’un niveau de finesse tel que à chaque composant on
sache associer tous les modes de défaillance qui peuvent l’affecter ;
L’AMDE, appliquée à un produit destiné au grand public, incluant
comme « composant » l’utilisateur et lui associant comme « modes — il faut connaître les fonctionnements du système pour pouvoir
de défaillance » les mauvais usages, erreurs ou manques de soin décrire ce qui se passe quand apparaît un mode de défaillance d’un
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chaîne de la cause vers les conséquences.
d’imaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, l’AMDE(C) va se dérouler au mieux et pro-
il s’expose du fait des défaillances, intrinsèques ou induites par son duire les résultats attendus !
action, de l’appareil. Sur cette base, l’entreprise, qui commercialise
le produit, peut ajouter une dimension criticité à ces événements Il faut combattre avec fermeté l’illusion assez répandue que, en
(responsabilité du constructeur du fait du produit en cas d’accident, présence d’un système mal connu ou qui nous apparaît comme une
perte de clientèle, perte d’image, coût d’après-vente…) et évaluer « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une
l’intérêt de mesures de réduction de risque (avertissements sur la AMDE(C) sur un système dont on ne connaît pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de détrom- ments est un leurre. Si l’aura de la méthode donne de l’assurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, c’est de la tromperie. Comme toute
retrait du marché…). méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à
partir de rien.
L’AMDEC, appliquée à une chaîne de production, permet de hié-
rarchiser et de valoriser les conséquences des défaillances des
pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :
— des stocks de pièces de rechange ; 2.4 Place de l’AMDE(C)
— de modifications de la chaîne pour réduire les temps de rem- dans une démarche de maîtrise
placement de certaines pièces ; des risques
— de renforcer ou d’alléger la maintenance préventive sur telle
ou telle pièce ;
— de choisir tels ou tels points de contrôle pour garantir la qualité Si on fait le bilan des expériences réussies ici et là, on trouvera
du produit fini de façon optimale ; l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un
— de payer plus cher des pièces plus fiables ; système. Toutefois, on peut souligner le caractère à peu près
— de doubler tout ou partie de la chaîne ; incontournable de l’AMDE(C) à la fin de la conception, à la charnière
— de privilégier une série ou un fournisseur pour telle ou telle avec la réalisation ou l’exploitation et la maintenance. En effet,
pièce… quand le système est décrit de façon précise, les composants choi-
sis, l’AMDE(C) s’applique à merveille pour compléter la
L’AMDE appliquée à l’alimentation électrique d’un important
connaissance des fonctionnements (fonctionnements souhaités
domaine, a permis d’identifier toutes les défaillances élémentaires
décrits par la conception) avec les fonctionnements non souhaités,
susceptibles de provoquer des conséquences sensibles sur l’alimen-
mais inévitables du fait qu’aucun composant n’est infaillible. Il faut
tation d’un établissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut résulter des défaillances des
cune de ces défaillances pour s’assurer que des précautions étaient
composants choisis. À ce stade, les spécialités diverses sollicitées
prises pour que une ou deux défaillances simultanées n’aient pas de par la conception ont dû réunir leurs apports et c’est une caractéris-
conséquences dommageables. Le caractère systématique de tique intéressante de l’AMDE(C) de réunir et faire dialoguer les
l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien cou-
connaissances (modes de défaillance et comportements des divers
verts et de renforcer les précautions.
éléments du système) de toutes les spécialités.
Du seul point de vue d’un fabricant, l’AMDEC s’applique à plu-
Exemple : quelle défaillance peut affecter l’alimentation électrique
sieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
résultats vont alors permettre d’améliorer la conception de ce pro-
fluide qui se traduit comment sur la température qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits électroniques qui produit quel résultat sur le traitement des
client. Elle s’applique aussi au processus de fabrication du produit.
données, etc.
Ses résultats permettent d’améliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des À ce stade, l’AMDE(C) permet de s’assurer que les conséquences
délais, conformité de la fabrication…) et maîtriser les risques de la des défaillances internes au système sont compatibles avec les
production (rebuts, pertes de production…). Enfin à l’échelle infé- objectifs ou de reprendre la conception pour y remédier.
rieure, elle s’applique à chacun des moyens de production. Ses
résultats vont influer sur les exigences à l’égard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de réduire les impacts négatifs (autorisons-nous ce néologisme pour désigner les équipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description réaliste du système tel
études différentes, mais dont les enjeux et les résultats ne sont pas que les concepteurs l’ont étudié. Non seulement ce qu’on en attend
totalement indépendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spécifications techniques de
entre les équipes menant ces analyses. On emploie couramment besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué
des termes différents pour désigner ces analyses comme « AMDEC dans l’AMDE(C).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 3

SQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C) _____________________________________________________________________________________________________________________________

Toutefois, on pratique aussi souvent l’AMDE(C) sur un système dépendent très lourdement des dysfonctionnements des moyens de
ancien ou acheté sur étagère pour anticiper les pannes et optimiser production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand
les réactions à ces pannes (maintenance mais pas seulement). On bénéfice sur les moyens de production.
trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire
de risques. L’APR ayant globalement comme objectif d’identifier les En présence d’un système complexe qui passe par diverses
risques nécessitant une démarche spécifique et de proposer une phases ou diverses configurations… l’AMDE(C) unique qui couvre
démarche de maintien de ces risques à un niveau acceptable, une tous les cas devient pratiquement très difficile à réaliser, encore plus
AMDE(C) sur une partie du système est la démarche adéquate si les difficile à exploiter et le risque d’être gravement incomplète est très
défaillances des composants du système sont susceptibles d’être à élevé : au moment de l’analyse, il est fort à craindre que les diverses
l’origine de risques importants. Ces deux exemples illustrent le fait configurations n’aient pas été réellement envisagées. Il est plus
qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que sage de réaliser plusieurs AMDE(C) par phase ou par configuration,
très en aval d’un cycle de vie. quitte à s’interroger sur la nécessité de les étudier toutes par une
AMDE(C).
Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C)
très tôt dans le développement d’un nouveau produit ou service : Le critère de sagesse est d’éviter que, au moment de répondre à
avant même de savoir précisément comment une fonction sera réa- la question « quels sont les effets de tel mode de défaillance ? », la
lisée, donc avant de connaître vraiment les composants et leurs réponse pertinente commence par « ça dépend de… ».
modes de défaillance, on peut émettre des hypothèses et imaginer
les conséquences des défaillances envisagées. Cette démarche a
très souvent permis d’améliorer considérablement la complétude
des spécifications. En effet, s’il est naturel d’exprimer ce qu’on
attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer
3. Réalisation d’une AMDE(C)
ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypo-
thèses de conception et de défaillances est très efficace pour tendre
à la complétude des spécifications. 3.1 Préparation à l’AMDE(C)
Ainsi, en présence d’un système complexe, l’AMDE(C) revient
généralement plusieurs fois dans le cycle d’étude du système. Cha-
que projet doit déterminer les revues (articulations entre phases du La méthode s’inscrit dans un cycle d’activités. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait nécessaire. Les normes ayant essayé de donner des cri- avoir été réalisée. L’analyse fonctionnelle externe du système décrit
tères généraux identifient trois niveaux de décomposition pour un ce qu’on attend de lui. Cette description est essentielle pour donner
système important et trois sujets d’AMDE(C) : du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les
fonctionnements identifiés sont conformes à ces exigences, empê-
— le niveau « système » ;
chent la réalisation d’une fonction exigée, dégradent l’accomplisse-
— le niveau « sous-système » ; ment d’une fonction ou encore s’ils produisent un résultat
— le niveau « composants » ; indifférent par rapport au cahier des charges, mais dont on devra
— l’AMDE(C) fonctionnelle ; s’assurer qu’il ne présente pas un danger.
— l’AMDE(C) produit ;
L’analyse fonctionnelle interne décrit comment les fonctions exi-
— l’AMDE(C) processus. gées par le cahier des charges pour le client sont réalisées à travers
Pourquoi plusieurs niveaux : des fonctions décrites aux spécifications techniques de besoin en
— d’une part pour pouvoir découper en parties matériellement tant que fonctions à accomplir, performances associées à ces fonc-
réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau tions, conditions dans lesquelles ces fonctions sont réputées exigi-
pour un système aussi complexe qu’un avion moderne ou une cen- bles, contraintes à respecter. Cette analyse fonctionnelle interne
trale d’énergie, serait un monstre. Un monstre trop difficile à exploi- décrit, au niveau fonctionnel, comment le système fonctionne
ter et un monstre inutile, car les conséquences mises en évidence quand il fonctionne « bien », elle est donc nécessaire pour évaluer
par une analyse à la fois globale et exhaustive seront de niveau de les effets des modes de défaillance identifiés.
criticité très différents. Il vaut bien mieux réserver la méthode à ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, à chaque étape, est de premier ordre, en vaut la peine ; grands projets menés selon les référentiels qui les exigent. Dans de
— d’autre part, pour tirer des conclusions qui peuvent l’être à des nombreux cas, elles sont implicites ou incomplètes. Il importe pour
stades intermédiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systèmes (à un stade où on ne sait peut-être pas encore à tions. Le déroulement de l’AMDE(C) peut sembler parfait sans être
quels composants on les devra et si on saura intervenir sur leur passé par cette étape dans la mesure où les participants partagent
propagation) et réaliser l’importance de leurs conséquences permet une vision commune du système. Le déroulement sans heurt de
d’améliorer l’architecture pour s’en protéger plutôt que se trouver l’analyse peut masquer des divergences de conception sur ce qui
plus tard confronté à l’alternative : soit remettre en cause l’architec- est attendu du système, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrière, soit être contraint d’éliminer les cau- ponsable de l’analyse, faute de référence, ne peut s’assurer d’avoir
ses de ces dysfonctionnements ce qui peut se révéler impossible ou bien couvert les exigences du système et des exigences importantes
très coûteux. (tellement d’ailleurs qu’elles sont implicites pour tout le monde)
auront été oubliées. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banalisés par les exploitants parce que, en
L’AMDE(C) s’applique aussi bien à une décomposition fonction- l’absence de malchance, ils permettent quand même de produire,
nelle (à condition de disposer d’une décomposition en fonctions élé- seront traités comme des fonctionnements nominaux au lieu d’être
mentaires dont on connaît les échecs possibles) qu’à une traités comme des situations au moins de fragilité. L’absence
décomposition matérielle. Une bonne AMDE(C) fonctionnelle, d’explicitation des exigences fonctionnelles externes et internes
quand elle est possible, prépare très utilement et permet de cibler la rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement
ou les AMDE(C) matérielles. trompeuse.
L’AMDE(C) s’applique aussi bien au produit ou service à produire La validation des analyses fonctionnelles existantes ou la réalisa-
qu’aux moyens de le produire. La production d’un produit ou ser- tion d’analyses fonctionnelles est une étape d’initialisation néces-
vice conforme aux engagements pris et le coût de cette production saire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 4 © Techniques de l’Ingénieur

SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

Arbres de défaillance, des causes


et d’événement

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité
à la SNCF
Vice-Président de l’Institut de sûreté de fonctionnement

1. Trois arbres mais trois démarches distinctes .................................. SE 4 050 - 2


1.1 Principes et objectifs de ces méthodes...................................................... — 2
1.2 Choix et complémentarité de ces méthodes............................................. — 3
2. Arbre de défaillance................................................................................ — 3
2.1 Principes. Caractéristiques. Objectifs......................................................... — 3
2.2 Construction d’un arbre de défaillance...................................................... — 4
2.3 Recherche des coupes minimales .............................................................. — 9
2.4 Quantification d’un arbre de défaillance pas à pas .................................. — 12
2.5 Exploitation d’un arbre de défaillance ....................................................... — 13
2.6 Conclusion.................................................................................................... — 14
2.7 Exemple........................................................................................................ — 15
3. Arbre des causes...................................................................................... — 17
3.1 Principe. Caractéristiques. Objectifs .......................................................... — 17
3.2 Construction d’un arbre des causes........................................................... — 17
3.3 Exploitation de l’arbre des causes ............................................................. — 19
3.4 Exemple........................................................................................................ — 20
4. Arbre d’événement .................................................................................. — 21
4.1 Principes. Caractéristiques. Objectifs......................................................... — 21
4.2 Construction de l’arbre d’événement ........................................................ — 21
4.3 Exploitation de l’arbre d’événement.......................................................... — 22
Pour en savoir plus ........................................................................................... Doc. SE 4 050
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPR@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@。カイゥャ@RPQW

a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de


L fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté
de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service
de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et
aux accidents. On trouve donc naturellement dans cette discipline des méthodes
destinées à représenter la logique des combinaisons de faits ou de conditions
qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents.
Rien d’étonnant donc que des représentations arborescentes fassent partie
des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet arti-
cle les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des cau-
ses et l’arbre d’événement.
Ces trois méthodes ont en commun de produire des représentations de la logi-
que d’un système (ou d’une partie) sous des formes arborescentes. Cette res-
semblance superficielle est trompeuse : ces trois méthodes répondent à des
besoins nettement différents et les arbres produits ne contiennent pas les
mêmes informations. Cette ressemblance dans la forme et, naturellement, dans
l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les
distinguer.

T oute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 1

SS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même
méthode ou pour trois façons de conduire le même raisonnement mais bien
pour trois méthodes différentes.

1. Trois arbres mais trois


démarches distinctes

1.1 Principes et objectifs


de ces méthodes

■ L’arbre de défaillance est une méthode qui part d’un événement


final pour remonter vers les causes et conditions dont les combinai-
sons peuvent le produire. Il vise à représenter l’ensemble des com-
binaisons qui peuvent induire l’événement étudié d’où sa
représentation schématique donnée à titre d’exemple figure 1 a.
On construit et on utilise un arbre de défaillance dans le cadre
d’une étude a priori d’un système. Ayant pour point de départ un
événement redouté (dysfonctionnement ou accident), la démarche
consiste à s’appuyer sur la connaissance des éléments constitutifs
du système étudié pour identifier tous les scénarios conduisant à
l’événement redouté. L’arbre de défaillance est une représentation
en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent
conduire à l’événement redouté, le point de départ de la démarche.
On peut ensuite utiliser cette représentation pour calculer la proba-
bilité de l’événement redouté à partir des probabilités des événe-
ments élémentaires qui se combinent pour le provoquer.
Des logiciels sont commercialisés qui permettent de réaliser com-
modément la mise en forme d’arbres pouvant comporter un grand a arbre de défaillance
nombre d’éléments et qui permettent d’effectuer les calculs de pro-
babilités. Les exemples d’arbres que nous pouvons donner dans cet
article pour illustrer nos propos sont naturellement très petits, très
simples. Les arbres qu’il est utile de construire pour étudier des sys-
tèmes importants et assez complexes comportent tellement plus
d’éléments que l’apport des logiciels de mise en forme et de calcul
est décisif.
Nous attirons l’attention du lecteur sur deux précautions
d’usage :
— des calculs de probabilité sont toujours fondés sur des
approximations. Celles-ci sont généralement valables pour les cas
usuels, mais il vaut mieux prendre attentivement connaissance des
algorithmes de calcul utilisés pour s’assurer que les approximations
faites sont valables pour le cas particulier que l’on traite ; b arbre des causes

— par ailleurs, ce marché, assez réduit est assez volatil : certains


produits font des apparitions fugitives. On ne peut généralement
pas convertir un arbre construit avec un logiciel en un arbre à utiliser
avec un autre. Comme dans les autres domaines, il est prudent de
s’assurer (dans la mesure du possible) de la pérennité de l’outil
informatique. En effet un arbre de défaillance peut être un document
de référence à faire vivre au long de la vie du système étudié (tout
dépend des circonstances et objectifs de l’étude).
Un arbre de défaillance est une méthode-type pour répondre à
une question du genre : « quelles ” chances ” y a-t-il que le disposi-
tif de détection et extinction automatique d’incendie manque à se c arbre d'événement
déclencher en présence d’un feu et sur quoi peut-on agir pour dimi-
nuer cette probabilité ? » ou « dans un système avec redondances,
quelle est la probabilité finale d’échec en fonction des probabilités Figure 1 – Silhouettes des arbres de défaillance, de cause
élémentaires des composants et de l’architecture ? ». et d’événement

T oute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 2 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

■ L’arbre des causes part d’un événement qui s’est produit et orga- sent pas à l’accident sont identifiées, l’arbre d’événement est
nise l’ensemble des événements ou conditions qui se sont combi- recommandé pour évaluer l’efficacité du système et les progrès les
nés pour le produire. Il repose sur un raisonnement dans le même plus intéressants.
sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa ● Un arbre est souvent un moyen satisfaisant de présenter
représentation est illustrée à titre d’exemple figure 1 b. synthétiquement les résultats des études montrant les relations
On construit un arbre des causes dans une démarche de retour entre causes et conséquences (qualitativement-logiquement mais
d’expérience, ou, de façon isolée, pour apprendre le maximum d’un aussi quantitativement), études qui ont pu solliciter bien d’autres
accident. L’arbre des causes est très utilisé pour décrire le scénario méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...)
d’un incident ou accident, pour soutenir la démarche d’analyse de (cf. article [AG 4 670]).
l’accident. Des logiciels sont également disponibles pour guider et En présence d’un système où de nombreux événements initia-
réaliser la mise en forme d’un arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La démarche de réalisation d’un arbre des causes consiste à tions humaines importantes donc possibilités d’erreurs, agressions
répondre à la question : « quels faits ont joué un rôle dans la surve- environnementales, etc.) mais pour lequel la préoccupation porte
nue de cet accident et en se combinant de quelle façon ? » sur la survenue ou non, du fait de tous ces incidents d’un ou deux
événements redoutés du niveau du système entier, l’arbre de
■ L’arbre d’événement part d’un événement et décrit les différentes défaillance (ou les arbres de défaillance) s’impose(nt).
conséquences qu’il peut avoir en fonction des conditions dans les-
quelles il s’est produit et des événements avec lesquels il se com- En présence d’un système où la préoccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres précédents : ou trois événements redoutés (panne d’un composant critique,
de la cause vers les conséquences (d’où sa représentation donnée à erreur typique...) n’aient pas de conséquences graves malgré la
titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à variété des scénarios dans lesquels ils peuvent intervenir, l’arbre
représenter l’ensemble des possibles, ici, des conséquences possi- d’événement (les arbres d’événement) s’impose(nt).
bles de l’événement étudié. ■ Bien entendu, ces méthodes peuvent se compléter. Les appro-
On construit et on utilise un arbre d’événement dans une démar- ches inverses de l’arbre d’événement et de l’arbre de défaillance
che d’évaluation a priori. Le point de départ est un incident, une peuvent être utilisées conjointement au même niveau, ce qu’on
défaillance, une erreur, une agression... dont on veut évaluer les peut ne pas voir ou négliger dans l’une pouvant apparaître dans
conséquences possibles qui dépendent d’un certain nombre l’autre. Elles peuvent aussi se compléter à des niveaux différents,
d’autres facteurs. Si on connaît les probabilités associées à ces fac- l’une servant à évaluer en entrant dans le détail ce qui est un élé-
teurs on peut calculer en s’appuyant sur l’arbre d’événement la pro- ment de l’autre.
babilité associée à chacune des conséquences possibles de
l’incident initial. Exemple : la probabilité de succès d’un dispositif à utiliser dans un
arbre d’événement peut résulter d’un arbre de défaillance développé
pour l’échec de ce dispositif.

1.2 Choix et complémentarité


de ces méthodes
2. Arbre de défaillance
Ces méthodes sont conçues pour mettre en œuvre des logiques
différentes. Elles ne se présentent donc nullement comme des choix
alternatifs pour un même problème. Chacune correspond à une 2.1 Principes. Caractéristiques. Objectifs
approche différente.
■ Le choix entre arbre d’événement et arbre de défaillance dépend ■ P r incipes
d’abord de la question posée : l’arbre d’événement cerne la ques-
tion des conséquences d’un événement initiateur donné et l’arbre
de défaillance cerne la question des scénarios conduisant à un évé- Un arbre de défaillance représente de façon synthétique
nement redouté donné. l’ensemble des combinaisons d’événements qui, dans certaines
L’arbre des causes est proposé pour assembler les éléments conditions produisent un événement donné, point de départ de
d’explication d’un accident ou incident. Il s’agit préférentiellement l’étude. Construire un arbre de défaillance revient à répondre à
d’analyse a posteriori. la question « comment tel événement peut-il arriver ? », ou
encore « quels sont tous les enchaînements possibles qui peu-
Ces méthodes peuvent servir à initier une analyse ou à la synthé- vent aboutir à cet événement ? ».
tiser.
● Pour initier une analyse de sûreté de fonctionnement, en pré-
sence d’une question peu précise, la méthode à recommander est ■ Caractéristiques
celle dont les bases sont les mieux connues : Un arbre de défaillance est généralement présenté de haut en bas
— un arbre de défaillance si la question tourne autour de la vrai- (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement
semblance d’un ou de quelques événements redoutés ; dont on cherche à décrire comment il peut se produire. Chaque ligne
— plutôt un arbre d’événement si la question tourne autour de la détaille la ligne supérieure en présentant la combinaison ou les
gravité de certaines défaillances ou agressions ; combinaisons susceptibles de produire l’événement de la ligne
— un arbre des causes si il s’agit de tirer parti d’un scénario supérieure auquel elles sont rattachées. Ces relations sont repré-
d’incident qui s’est réalisé et dont la compréhension peut améliorer sentées par des liens logiques OU ou ET.
la connaissance générale du système.
■ Objectifs
Si la liste des événements redoutés finaux est bien établie et que ● L’objectif « qualitatif » est de construire une synthèse de tout ce
les questions « Qu’est-ce qui peut produire... ? » trouvent facilement qui peut conduire à un événement redouté et d’évaluer l’effet d’une
réponses, l’arbre de défaillance est recommandé. modification du système, de comparer les conséquences des mesu-
Si, à l’inverse, les événements initiateurs qui peuvent affecter le res qui peuvent être envisagées pour réduire l’occurrence de l’évé-
système sont bien connus et que les mesures pour qu’ils ne condui- nement redouté étudié.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 3

SU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● L’ objectif « quantitatif » est d’évaluer la vraisemblance de la définition requiert les mêmes précisions : définition de la fonction et
survenue de l’événement étudié à partir des combinaisons d’événe- des conditions à prendre en compte.
ments élémentaires qui peuvent le produire. Si on connaît les pro-
babilités de ces événements on peut en déduire la probabilité de
Le responsable de l’étude doit s’assurer que :
l’événement étudié et l’impact sur celle-ci d’une réduction (ou aug-
— l’événement étudié est bien celui qui convient eu égard à la
mentation) de telle ou telle des probabilités élémentaires.
démarche dans laquelle s’inscrit la construction de l’arbre ;
— les conditions extérieures ou les agressions à prendre en
À défaut d’une quantification par probabilités, l’arbre permet
compte (et celles à ne pas envisager) sont cohérentes avec les
d’apprécier le nombre de scénarios conduisant à l’événement étu- objectifs de l’étude ;
dié, le nombre minimum d’événements ou de conditions suffisant — les participants à l’analyse et les futurs utilisateurs de
pour qu’il arrive, etc. l’arbre ou des conclusions qui en seront tirées partagent la
même définition de l’événement étudié.

Dans l’arbre qui est une représentation synthétique, le libellé de


2.2 Construction d’un arbre l’événement devra être court. Ce libellé sera, en général, trop court
de défaillance pour définir précisément l’événement et lever les ambiguïtés. Il
devra donc y avoir :
— un libellé bref, mais aussi évocateur que possible dans la boîte
qui représente l’événement-sommet dans l’arbre ;
2.2.1 Événement-sommet — un texte complémentaire apportant toutes les précisions utiles
sur la définition de l’événement.
■ La première étape est la définition de l’événement qui doit être Dans certains modèles d’arbres (en particulier quand on utilise
étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte
qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui contient le libellé en quelques mots de l’événement et, dessous,
qui peut provoquer cet événement-sommet. un seul mot (idéalement) qui est le nom de l’événement pour
l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boî-
La définition de cet événement est totalement déterminante pour tes (ce que les logiciels qui utilisent ce formalisme contrôlent géné-
ralement).
la valeur des conclusions qui seront tirées de l’analyse. Le risque
n’est pas de développer un arbre qui serait faux mais un arbre qui
réponde à une autre question que celle posée : Ce qui vient d’être dit sur la définition commune, claire, pré-
cise de l’événement et le libellé bref de la boîte vaut non seule-
— soit l’utilisateur des résultats s’en rend compte et la consé- ment pour l’événement-sommet mais aussi pour tous les
quence est qu’après le travail effectué, l’arbre attendu est toujours à événements qui vont figurer dans l’arbre ; ce commentaire ne
faire et à exploiter ; sera pas repris dans chaque paragraphe consacré aux événe-
ments.
— soit l’utilisateur ne s’en rend pas compte et il tire des conclu-
sions tout à fait injustifiées de l’analyse.

Il importe donc de définir l’événement étudié de façon explicite et 2.2.2 Événements intermédiaires
précise.
L’événement étudié étant défini, l’étape suivante est de le décrire
Exemple : les événements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
équivalents : ou plusieurs événements plus réduits.
— collision de deux trains ;
— collision impliquant un train ; Exemple : une défaillance d’éclairage peut résulter de la défaillance
— collision impliquant une circulation ferroviaire ; de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance
— collision impliquant un train due à une défaillance du système du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparaître des événements moins globaux que
— dommages à une circulation ferroviaire ou à des passagers ou du l’événement-sommet que l’on appellera événements intermédiaires
personnel de bord ou au chargement, dus à une collision... (si ils sont eux-mêmes appelés à être décrits en combinaison d’évé-
On peut croiser de toutes les façons chacune des précisions ou res- nements plus détaillés) et un connecteur logique qui les relie à l’évé-
trictions qui figurent dans ces exemples (et bien d’autres) et chacun nement-sommet.
des événements produits sera différent des autres (certains plus géné-
raux en incluant d’autres).
Les conséquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou d’imprudence de tiers sont ou ne sont pas pris en
compte ; l’accident de tiers percuté par un train à la traversée des voies Les deux connecteurs logiques de base sont ET et OU (figure 2).
(sans dommage au train) est ou n’est pas inclus dans cette analyse-là, Toutes les combinaisons logiques s’expriment avec ces deux
etc. connecteurs (et la négation logique qui exprime le contraire de
l’événement qu’elle affecte), mais il peut être pratique d’utiliser
Pour bien comprendre les enjeux de cette définition de l’événe- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallèle avec les définitions de la fiabilité (disponi- Exemple : si un système tombe en panne si deux sur trois des
bilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les équipements A, B, C tombent en panne, il est pratique de représenter
définitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à
formules comme « accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions données ». Un événement à étudier est généralement un De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A)
échec (non accomplissement d’une fonction) ou une agression. Sa ET B] (cf. figure 3 b).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 4 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Les boîtes qui les représentent sont au bout de l’arbre, ce pour-


quoi elles sont couramment appelées les feuilles.

2.2.5 Conditions

Quand on s’interroge sur ce qui peut produire tel événement-con-


séquence, on est couramment amené à dire que tel autre événe-
ment-cause entraîne l’événement-conséquence étudié si telle
condition est présente. Nous sommes donc conduits à introduire
dans l’arbre des conditions dont la réalisation conditionne l’enchaî-
Connecteur ET Connecteur OU nement cause-conséquence.
Pour qu’un événement (sommet ou intermédiaire) se produise, il
Figure 2 – Connecteurs ET et OU faut une combinaison d’événements mais aussi souvent de condi-
tions (on pourrait dire d’états ou de situations). Ces conditions inter-
viennent dans la construction d’un arbre exactement comme des
événements intermédiaires (sauf qu’elles ne sont plus
Équivalent à décomposées et donc deviennent « de base » même si les événe-
ments de même niveau avec lesquels elles se combinent sont eux,
décomposés plus finement) ou comme des événements de base,
2/3
mais ne sont pas à proprement parler des événements.
Exemple : dans un système formé de deux chaînes en parallèle qui
fonctionnent en alternance, l’interruption de fonctionnement du sys-
A B C A.B A.C B.C tème est provoquée par le dysfonctionnement d’une chaîne seulement
si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc
l’événement « Interruption du fonctionnement du système » se
décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en
service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en
service »). Dans cette décomposition, « Défaillance de la chaîne A »
est un événement, « Chaîne A en service » est une condition.
Cette distinction n’est pas essentielle au stade de construction de
A B A C B C
l’arbre, elle devient intéressante quand on affecte des probabilités
aux événements et conditions.
Connecteur n/p

2.2.6 Symboles normalisés


Équivalent à

Les symboles normalisés des connecteurs, événements et condi-


OU tions sont représentés sur la figure 4.
exclusif
Nous plaçons donc dans un arbre :
— un événement-sommet ;
— des événements intermédiaires ;
A.B A.B
— des événements de base ;
— éventuellement des conditions ;
— des connecteurs OU ;
— des connecteurs ET ;
— éventuellement des connecteurs particuliers.
Les événements et les conditions sont représentés par des rectan-
gles à l’intérieur desquels figurent les libellés de ces événements ou
A nonB nonA B conditions. L’événement-sommet et les événements intermédiaires
se décomposent en une combinaison ; on trouve donc immédiate-
Connecteur OU exclusif ment sous la boîte qui les représente le symbole du connecteur qui
lie les événements dont la combinaison est nécessaire et suffisante
Figure 3 – Connecteurs 2/3 et OU exclusif à le provoquer.
Les événements de base ou les conditions ne se décomposent
pas ; on trouve donc immédiatement sous la boîte qui les repré-
Certains ajoutent à cette panoplie la possibilité de représenter un sente un symbole particulier : un cercle pour les événements de
aspect temporel avec un connecteur ET séquentiel. Si deux événe- base et un pentagone (en forme de maison) pour les conditions.
ments A et B sont liés par ce connecteur, cela signifie que si A se pro- Comme un arbre peut occuper plusieurs pages et se construire
duit puis B, l’événement supérieur se produit, mais pas si B se progressivement pour un système un peu important, il existe deux
produit puis A. autres symboles. Le triangle permet de renvoyer d’une page à une
autre : un triangle est placé sous un événement intermédiaire dont
la décomposition commencera sur une autre page. Sur cette autre
2.2.4 Événements de base ou feuilles page, cet événement apparaît en tête, mais un triangle est attaché à
la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’évé-
Un événement de base est un événement qui ne se décompose nement-sommet d’un arbre, mais d’une partie d’un arbre plus
plus en événements plus fins. important.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 5

SW
SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR

Arbre de défaillance
Contexte booléen, analyse et bases
mathématiques
par Jean-Pierre SIGNORET
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France

1. Considérations générales sur les arbres de défaillance .......................... SE 4 052 - 3


1.1 Notions de base sur les arbres de défaillance.......................................... — 3
1.2 Construction d’un arbre simple ................................................................. — 4
2. Liens avec les autres méthodes d’analyse SdF........................................ — 4
2.1 Lien avec les BDF ........................................................................................ — 4
2.2 Liens avec les arbres d’événements et les arbres des diagrammes
cause-conséquence..................................................................................... — 5
2.3 Liens avec les arbres des causes INRS ..................................................... — 7
3. Hypothèses principales et bases mathématiques des ADD ................... — 8
4. Analogie électrique et notions de chemins de fermeture et de coupure
minimaux..................................................................................................... — 9
4.1 Analogie électrique ..................................................................................... — 9
4.2 Notion de chemins de coupure.................................................................. — 10
4.3 Notion de chemins de fermeture............................................................... — 10
4.4 Analyse qualitative par les coupes minimales ......................................... — 11
5. Calculs probabilistes statiques.................................................................. — 11
5.1 Considérations générales sur les calculs probabilistes ........................... — 11
5.2 Calcul de probabilité des portes OU et des portes ET ............................. — 12
5.3 Formule de Sylvester-Poincaré.................................................................. — 12
5.3.1 Cas général ......................................................................................... — 12
5.3.2 Application à la logique 2/3............................................................... — 13
5.3.3 Analyse de la convergence de la formule de Sylvester-Poincaré.. — 13
5.4 Analyse semi-quantitative et facteur d’importance de Vesely-Fussel .... — 14
5.5 Traitement des grands systèmes............................................................... — 15
5.5.1 Principe ............................................................................................... — 15
5.5.2 Décomposition de Shannon et diagrammes de décision binaires .... — 15
5.5.3 Calculs probabilistes avec les DDB................................................... — 15
5.6 Notion de système non cohérent .............................................................. — 17
6. Conclusion ................................................................................................... — 19
7. Glossaire ...................................................................................................... — 19
Pour en savoir plus .............................................................................................. Doc. SE 4 052
p。イオエゥッョ@Z@、←」・ュ「イ・@RPQW

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 052 – 1

SY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR

ARBRE DE DÉFAILLANCE _____________________________________________________________________________________________________________

ontrairement aux diagrammes de fiabilité (BDF) dont la date de création


C est inconnue, celle des arbres de défaillance (ADD) est clairement identi-
fiée [1], [2]. La méthode ADD a été développée en 1962 par H.A. Watson dans
le cadre du projet américain Minuteman de l’US Air Force. Elle se révéla immé-
diatement tellement efficace qu’elle fut rapidement adoptée dans
l’aéronautique, puis dans l’industrie spatiale [3] et nucléaire [4], pour être fina-
lement utilisée de nos jours dans la plupart des secteurs industriels où elle fait
partie de la panoplie des méthodes couramment mise en œuvre dans le
domaine de la sûreté de fonctionnement (diagrammes de fiabilité [SE 4074],
norme CEI 61078, arbres d’événements [SE 4050], norme CEI 62502, graphes
de Markov, norme CEI 61165, [SE 4071], [10] réseaux de Petri, [SE 4072],
[SE 4073], [5], norme CEI 62551, etc.).
Alors que le diagramme de fiabilité décrit le bon fonctionnement d’un sys-
tème, l’arbre de défaillance, lui, décrit sa défaillance, ou plus exactement, sa
panne. Les deux approches sont duales et un ADD peut toujours être traduit en
BDF et réciproquement. Elles partagent les mêmes mathématiques sous-
jacentes et font partie des approches statiques et booléennes qui modélisent
des structures logiques indépendantes du temps et s’intéressent à des compo-
sants/systèmes/fonctions à deux états (par exemple, marche et panne, bon
fonctionnement/défaillant, réalisé/non réalisé). Outre les BDF, les ADD par-
tagent des liens étroits avec d’autres méthodes utilisées en sûreté de
fonctionnement : diagramme cause-conséquence [6], arbre d’événements
[SE 4050], norme CEI 62502, LOPA [SE 4075], nœud papillon [SE 4055], arbre
des causes [7], [SE 4050].
L’approche déductive (effet → causes, top down) des ADD leur confère une
puissance d’analyse incomparable et unique parmi les techniques SdF dont la
nature est majoritairement inductive (cause → effets, bottom up).
Du point de vue qualitatif, les ADD héritent du concept fondamental de
coupe minimale défini à partir des BDF (ensemble de composants en panne
nécessaires et suffisants pour entraîner la panne du système) et, du point de
vue quantitatif, ils permettent, essentiellement, de calculer la probabilité de
panne du système modélisé en fonction des probabilités de panne de ses com-
posants lorsque celles-ci sont constantes. Cependant, lorsque les composants
évoluent indépendamment les uns des autres au cours du temps, l’ADD
permet de calculer facilement l’indisponibilité du système modélisé et aussi,
mais avec des calculs plus compliqués, la fréquence de défaillance du système
et une approximation de sa défiabilité (complément à 1 de la fiabilité). Cela est
exposé en détail dans l’article [SE 4053] relatif aux aspects temporels des ADD.
Pendant longtemps, l’utilisation des ADD, comme celle des BDF, a été limitée
par la taille des systèmes modélisés (explosion combinatoire du nombre de
coupes minimales) et le nombre des éléments répétés plusieurs fois dans les
modèles (durée de calcul augmentant exponentiellement avec ce nombre). Ces
limitations ont été levées depuis la mise en œuvre des diagrammes de déci-
sion binaires (DDB) qui permettent de traiter très rapidement des ADD ou des
BDF relatifs à des systèmes industriels de grande taille (c’est-à-dire de plu-
sieurs centaines de composants) [8], [9]. En outre, les DDB ont ouvert la voie
aux calculs de probabilités conditionnelles et de facteurs d’importance, à la
propagation des incertitudes sur les données par simulation de Monte Carlo
[SE 4053] et au traitement des systèmes dits « non cohérents » difficiles à
traiter avec les méthodes antérieures.
Cet article se propose de décrire la symbolique graphique des ADD,
d’explorer les divers aspects évoqués ci-dessus en les illustrant avec des
exemples pédagogiques.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 052 – 2

TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR

_____________________________________________________________________________________________________________ ARBRE DE DÉFAILLANCE

1. Considérations générales – la porte logique OU modélise un système S1 qui est en panne


lorsqu’au moins un des deux composants A ou B est tombé en
sur les arbres de défaillance panne ;
– la porte logique ET modélise un système S2 qui est en panne
lorsque les composants A et B sont tombés en panne ;
– la porte logique vote majoritaire k/m modélise un système S3
1.1 Notions de base sur les arbres qui est en panne si au moins k composants parmi m sont en
de défaillance panne. Sur la figure 1, k est égal à 2 et m est égal à 3.
L’arbre de défaillance est défini de la manière suivante par la Les approches par ADD et par BDF (voir CEI 61078, [SE 4074])
norme internationale CEI 61025 qui lui est consacrée : sont des méthodes duales : alors que le BDF modélise la bonne
marche d’un système, l’arbre de défaillance modélise comment il
tombe en panne. La figure 2 donne les équivalences permettant
Arbre de défaillance : diagramme logique montrant les pannes de passer de l’ADD au BDF et vice-versa. Les feuilles de l’arbre
des sous-entités, les événements externes ou leurs combinai- (pannes des composants) sont remplacées par les blocs corres-
sons, à l’origine d’un événement prédéfini non souhaité pondants (bon fonctionnement des mêmes composants) et les dif-
férentes portes logiques (OU, ET, k/m) par des structures (série,
Nota : le vocabulaire électrotechnique international IEV 192 parle d’« arbre de panne » parallèle, r /m avec r = m – k + 1) équivalentes. Il en résulte que les
au lieu d’« arbre de défaillance ». L’appellation de l’IEV 192 est plus pertinente car développements mathématiques présentés dans cet article sont
« panne » est la traduction de « fault », c’est-à-dire l’état atteint lorsqu’une défaillance est
survenue. Cependant, en France, c’est l’appellation « arbre de défaillance » qui prévaut et
aussi pertinents pour les diagrammes de fiabilité. Il en est de
que nous avons retenue pour cet article. L’appellation « arbre de défaillance » (au singu- même pour les arbres d’événements qui font aussi partie des
lier) fait référence à la défaillance du système modélisé mais l’appellation « arbre de approches booléennes.
défaillances » (au pluriel) est aussi utilisée en référence à l’ensemble des défaillances des
sous-entités (par exemple des composants) du système modélisé. Nota : dans l’exemple choisi, k/m = 2/3, la structure BDF correspondante, m-k+1/m est
aussi un vote majoritaire 2/3. Il s’agit d’une logique souvent choisie car elle permet un
La figure 1 présente les structures de base utilisées pour repré- bon équilibre entre le bon fonctionnement du système (deux composants sur trois en
senter un ADD : marche) et la panne du système (deux composants sur trois en panne).

S1 S2 S3

Système S1 Système S2 Système S3


défaillant défaillant défaillant

Événements 2/3
primaires
(feuilles)
A B C D E F G

A défaillant B défaillant C défaillant D défaillant E défaillant F défaillant G défaillant

LA LB LC LD LE LF LG

Porte OU Porte ET Porte vote majoritaire k/m

Figure 1 – Principales portes logiques graphiques relatives aux ADD

Porte OU Porte ET Porte k/m

Blocs C E

A B F 2/3

Système S1 D S2 G S3

Structure série Structure parallèle Structure vote majoritaire r/m


(r = m – k + 1)

Figure 2 – Équivalence entre les portes logiques des ADD et les structures logiques des BDF

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 4 052 – 3

TQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR

ARBRE DE DÉFAILLANCE _____________________________________________________________________________________________________________

1.2 Construction d’un arbre simple événement intermédiaire identifié devient un effet dont il faut
rechercher les causes directes. Ceci est réalisé aux étapes 4 et 5
À l’aide des structures logiques très simples ci-dessus, il est illustrées sur la figure 4 :
possible, par exemple, de modéliser un système instrumenté de – l’événement « Échec de l’isolement de l’alimentation » étant
sécurité (SIS) typique comme celui illustré en bleu sur la figure 3. causé par la panne simultanée des deux vannes d’isolement E et F,
Trois capteurs, A, B et C, mesurent la pression du réservoir et ils les deux événements « Vanne E défaillante » et « Vanne F défail-
envoient leurs mesures à un automate, D, qui, lorsque deux cap- lante » sont connectés à l’aide d’une porte ET ;
teurs sur les trois indiquent un dépassement de seuil, commande – l’événement « Détection surpression défaillante » étant causé
aux deux vannes de sécurité, E et F, de se fermer afin de couper par la panne simultanée de deux capteurs sur trois, les trois événe-
l’alimentation du réservoir. ments « Capteur A défaillant », « Capteur B défaillant » et « Cap-
L’approche par ADD procède d’une démarche déductive (effet → teur C défaillant » sont connectés à l’aide d’une porte 2/3.
causes) et cela en fait une approche originale, à part et complé- À l’issue des étapes 4 et 5, plus aucun des événements identi-
mentaire des autres approches de la sûreté de fonctionnement qui fiés ne nécessite d’analyse plus détaillée, tous les événements pri-
procèdent plutôt de démarches inductives (cause → effet). Ainsi, maires ont été identifiés et la construction de l’arbre est terminée.
un arbre de défaillance est construit de manière récursive en par-
La démarche déductive est donc une vraie démarche d’analyse
tant d’un événement indésiré pour remonter à ses causes, comme
prenant l’analyste par la main et lui permettant de construire
cela est illustré sur la figure 4.
l’ADD pas à pas en identifiant les causes les unes après les autres
La première étape est donc d’identifier précisément l’événe- jusqu’à ce que le niveau de détail pertinent soit atteint et l’arbre
ment indésiré car de la pertinence de cet événement dépend toute terminé. Ceci est très différent, par exemple, de l’approche par
la suite de la construction de l’arbre. Pour le SIS présenté sur la BDF où l’analyste doit fixer le niveau de détail avant de commen-
figure 3 l’événement indésiré est la défaillance du système en cas cer à construire le modèle.
de surpression dans le réservoir. Il est noté par « SIS défaillant »
Outre l’aspect déductif, l’approche possède aussi des symboles
sur la figure 4 et constitue la sortie de l’arbre en cours de
graphiques propres à aider l’analyste dans son travail de
construction.
construction. Il en est ainsi pour les symboles graphiques cou-
L’étape n° 2 consiste à rechercher tout d’abord la cause immé- rants disponibles pour les événements primaires (figure 5) :
diate de l’événement indésiré (échec de l’isolement de l’installa- – événement de base : événement qui ne nécessite pas d’analyse
tion) qui est la non-fermeture des deux vannes E et F. Cette non- plus détaillée ;
fermeture est imputable soit aux vannes elles-mêmes (« Défail- – événement élémentaire : événement qui pourrait être détaillé
lance des vannes »), soit à l’« absence de sollicitation » desdites mais dont le niveau de détail est considéré comme suffisant pour
vannes. Ces deux causes sont des événements intermédiaires qui l’arbre considéré ;
nécessitent une analyse plus approfondie.
– événement à développer : événement nécessitant une analyse
L’étape n° 3 consiste, par exemple, à rechercher les causes plus détaillée et pour lequel des informations complémentaires
directes de l’événement intermédiaire « Absence de sollicitation doivent être réunies. L’utilisation de ce symbole permet à l’ana-
des vannes ». Cela conduit à identifier deux causes distinctes, lyste de repérer facilement le travail restant à faire.
« Solveur logique défaillant » et « Détection surpression défail- Les portes de transfert de sortie et d’entrée présentées à droite
lante ». L’événement « Solveur logique défaillant » est un événe- de la figure 5 permettent de découper un arbre volumineux en
ment ne nécessitant pas de développement plus détaillé : sous-arbres plus petits ou de faire le lien avec un diagramme
l’analyse s’arrête là et cette cause est considérée comme un évé- cause-conséquence. Ainsi, la porte transfert n° 3 figurée au som-
nement primaire de l’ADD. L’autre cause, en revanche, est un évé- met de l’arbre de la figure 4 permet de faire le lien avec l’entrée
nement intermédiaire nécessitant une analyse plus approfondie correspondante du diagramme cause-conséquence de la figure 8
concernant les capteurs. et de l’ADD de la figure 9.
L’analyse des événements intermédiaires « Défaillance des Les symboles graphiques spéciaux présentés sur la figure 6
vannes » et « Détection surpression défaillante » est réalisée en sont aussi utilisés assez souvent pour préciser la nature des évé-
appliquant le même processus déductif que ci-dessus : chaque nements primaires :
– événement devant se produire (événement maison) pendant la
durée d’utilisation du système modélisé ;
Solveur – conditions permettant de valider une partie d’un ADD ;
logique Capteurs – panne dormante indiquant une panne existante mais non
A de pression détectée ;
– événement intermédiaire permettant d’ajouter des informa-
D B Soupape tions dans les branches des ADD.
Système de sécurité L’utilisation des symboles de la figure 6 facilite la lecture et la
instrumenté C compréhension de l’arbre et fait de l’ADD un excellent instrument
de sécurité Capteurs d’échange entre les différentes parties concernées.
de niveau
L
Alimentation
2. Liens avec les autres
Vanne
Réservoir de régulation

méthodes d’analyse SdF


E F R

2.1 Liens avec les BDF


Vannes
de sécurité L’équivalence entre les portes logiques et les structures utili-
sées pour les diagrammes de fiabilité (figure 2) permet de passer
Figure 3 – Système instrumenté de sécurité typique de l’ADD de la figure 4 au diagramme de fiabilité de la figure 7.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 052 – 4

TR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR

_____________________________________________________________________________________________________________ ARBRE DE DÉFAILLANCE

Porte Événement S 1
3
transfert indésiré Étapes
SIS de la construction
défaillant

Porte
2
OU

Absence Événements
Défaillance
de sollicitation intermédiaires
des vannes
des vannes

Sens de l’analyse
Porte
3 4
ET

E F
Détection Solveur logique Vanne E Vanne F
surpression D
défaillant défaillante défaillante
défaillante
LD LE LF

Porte
2/3 5
2/3
Événements
primaires
A B C
Capteur A Capteur B Capteur C
défaillant défaillant défaillant
LA LB LC

Figure 4 – Modélisation par ADD d’un SIS typique

O O O

Événement Événement Événement Transfert de sortie


de base élémentaire à développer et d’entrée

Figure 5 – Symbole courant pour les événements primaires et les portes de transfert

Les éléments équivalents à ceux identifiés sur l’arbre de la deux vannes en série du point de vue physique sont en fait redon-
figure 4 ont été reportés sur la figure 7 : la structure série à dantes et donc en parallèle du point de vue fonctionnel.
droite est duale du sous-arbre développé à l’étape 3 (porte ET),
la structure 2/3 à gauche est duale du sous-arbre développé à
l’étape 4 (porte 2/3), le bloc D est dual de l’événement « Solveur 2.2 Liens avec les arbres d’événements
logique défaillant » et la structure série englobant le tout est et les arbres des diagrammes cause-
duale de la porte logique OU développée à l’étape 2. Quant à la
sortie du BDF, elle est duale de l’événement indésiré identifié à
conséquence
l’étape 1.
Les diagrammes cause-conséquence ont été inventés dans les
Il est à remarquer que la structure logique du BDF est différente années 1970 pour décrire le déroulement des événements suscep-
de l’architecture matérielle du système modélisé. En effet, les tibles de conduire à un accident dans le domaine nucléaire [6]. Ils

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 4 052 – 5

TS
TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS

Arbre de défaillance
Aspects temporels
par Jean-Pierre SIGNORET
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 – Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France

1. Calculs probabilistes en fonction du temps ............................................. SE4053 - 2


1.1 Considérations générales sur l’introduction du temps............................ — 2
1.2 Indisponibilité d’un système modélisé par ADD ...................................... — 3
1.3 Fréquence de défaillance d’un système modélisé par ADD.................... — 5
1.4 Calculs de fiabilité d’un système modélisé par ADD ............................... — 8
2. Prise en compte des incertitudes .............................................................. — 11
3. Prise en compte des dépendances, ADD dynamiques ............................ — 12
3.1 Considérations générales sur les dépendances ....................................... — 12
3.2 Défaillances de cause commune ............................................................... — 12
3.3 Dépendances entre quelques événements primaires.............................. — 13
3.4 Réseaux de Petri pilotés par ADD.............................................................. — 14
4. Conclusion ................................................................................................... — 16
5. Glossaire ...................................................................................................... — 17
6. Sigles notations et symboles .................................................................... — 17
Pour en savoir plus .............................................................................................. Doc. SE 4 053

et article consacré aux arbres de défaillance (ADD) fait suite à l’article


C [SE 4052] qui en décrit l’histoire, le contexte booléen et les liens avec les
autres approches mises en œuvre dans le domaine de la sûreté de fonctionne-
ment. L’article [SE 4052] décrit en détail l’utilisation des ADD comme outil
d’analyse qualitative, ainsi que les bases mathématiques des calculs probabi-
listes liés à la défaillance du système modélisé. L’ADD représente une fonction
logique statique (c’est-à-dire où le temps n’intervient pas) qui permet essentiel-
lement de calculer, avec des probabilités constantes, la probabilité de panne du
système modélisé en fonction des probabilités de panne de ses composants.
Cependant, lorsque les composants évoluent indépendamment les uns des
autres au cours du temps, il est tout de même possible, dans une certaine
mesure, de prendre en compte certains aspects temporels avec cette approche.
Ceci est l’objet de cet article qui explique comment l’ADD permet de calculer
facilement l’indisponibilité, U(t), du système modélisé en fonction des indispo-
nibilités de ses composants, Ui(t). Il explique aussi comment l’ADD permet,
mais avec des calculs plus compliqués, d’obtenir la fréquence de défaillance,
w(t) et la défiabilité, F(t), du système étudié (probabilité d’observer une panne
sur la durée [0, t]). Le calcul par ADD de la défiabilité, F(t), n’est généralement
pas possible sans approximation.
p。イオエゥッョ@Z@、←」・ュ「イ・@RPQW

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 053 – 1

TU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS

ARBRE DE DÉFAILLANCE _____________________________________________________________________________________________________________

Ces calculs ont pendant longtemps été limités par la taille des ADD consi-
dérés, la puissance des ordinateurs disponibles et la faible efficacité des
algorithmes utilisés en présence d’éléments répétés plusieurs fois dans les
modèles. Ces limitations ont été levées depuis la mise œuvre des diagrammes
de décision binaires (DDB). Cela a d’abord été mis à profit dans le cas statique
[SE 4052], puis pour l’introduction des aspects temporels et l’utilisation de la
simulation de Monte Carlo pour évaluer l’impact des incertitudes sur les
données d’entrée des ADD. Ces derniers points font l’objet de cet article.
Lorsque les probabilités de défaillance des composants évoluent en fonction
du temps, les ADD peuvent être utilisés pour combiner des processus de
Markov (CEI 61165, [SE 4071]) ou des réseaux de Petri stochastiques
(CEI 62551, [SE 4072], [SE 4073]). Cela conduit aux processus de Markov
pilotés par ADD et aux réseaux de Petri pilotés par ADD. Dans ce cas, le com-
portement des composants est modélisé par des processus de Markov
(respectivement réseaux de Petri) individuels, indépendants les uns des autres,
et la logique de combinaison est fournie par l’ADD.
Lorsque les composants ne sont pas indépendants, les ADD peuvent être
étendus aux ADD dynamiques (ADDD). Dans les cas simples, cela peut être
couvert par les processus de Markov pilotés par ADD mais, dans le cas général,
le traitement analytique doit être abandonné au profit de la simulation de Monte
Carlo et les réseaux de Petri pilotés par ADD peuvent être utilisés à cet effet.
Dans ce cas, il est possible de traiter des composants/systèmes/fonctions à plus
de deux états et sortir du strict contexte booléen et de la logique classique.
Les divers aspects évoqués ci-dessus sont illustrés par des exemples
pédagogiques.

1. Calculs probabilistes Indisponibilité instantanée, U(t) : probabilité que l’entité soit


en fonction du temps en panne à un instant donné t. C’est le complément à un de la
disponibilité, U(t) = 1 – A(t).
Défiabilité, F(t) : probabilité que l’entité concernée tombe en
panne avant l’instant t. C’est le complément à un de la fiabilité,
1.1 Considérations générales F(t) = 1 – R(t). C’est aussi la fonction de répartition,
sur l’introduction du temps , du délai avant défaillance (TTF) de l’entité
concernée.
La formule logique relative à un ADD ne change pas en fonction
du temps et les calculs probabilistes développés dans l’article de Nota : la moyenne du délai avant défaillance est appelée MTTF et c’est un para-
mètre couramment utilisé en sûreté de fonctionnement.
base [SE 4052] ne sont valides, en principe, que pour des valeurs
ponctuelles des probabilités (c’est-à-dire des probabilités
constantes indépendantes du temps). C’est pourquoi les
approches booléennes (ADD, diagrammes de fiabilité, arbres
d’événements) sont considérées comme des approches statiques
par opposition aux approches markoviennes [SE 4071] ou par
réseaux de Petri [SE 4072], [SE 4073] qui sont qualifiées de dyna-
miques [SE 4070] car elles font apparaître explicitement la Pr(S,t) = Pr(A,t ) · Pr(B,t) + Pr(A,t) · Pr(C,t) + Pr(B,t) · Pr(C,t)
variable temps dans les calculs.
Cependant, lorsque les composants évoluent indépendamment s=a·b+a·c+b·c
Probabilité
les uns des autres, il est quand même possible d’introduire les de panne de S à t
aspects temporels dans les calculs. Ainsi, pour l’exemple du 2/3 de 2/3 Porte
la figure 1 qui récapitule les notations utilisées dans le document, Fonction logique logique 2 sur 3
de la panne de S
les probabilités d’occurrence , et évoluent
indépendamment les unes des autres à partir du moment où les Probabilité
de panne de A à t Pr(A,t) Pr(B,t) Pr(C,t)
événements primaires , et sont indépendants. Donc, à un ins-
Variable
tant donné ti, les probabilités , et sont des d'état de A
a b c
valeurs ponctuelles évaluées indépendamment les unes des autres LA LB LC
conformément aux résultats développés à la section 5 de l’article Feuille
[SE 4052] dans le cas statique. (panne de A) Composant A Composant B Composant C

Cependant, cette introduction du temps ne peut pas se faire


sans précaution supplémentaire, car il convient de bien distinguer
deux cas (voir les normes CEI 60050-192, CEI 61078 ou CEI
61025) : l’indisponibilité instantanée et la défiabilité. Figure 1 – Arbre de défaillance relatif à une logique 2/3

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 053 – 2

TV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS

_____________________________________________________________________________________________________________ ARBRE DE DÉFAILLANCE

Les concepts d’indisponibilité et de défiabilité dépendent du – à gauche de la figure 3 sont représentées les indisponibilités
temps, et c’est pourquoi ils ont été soigneusement évités dans instantanées liées aux trois événements primaires ;
l’article de base [SE 4052], car seules des probabilités constantes – un instant ti a été sélectionné et les valeurs correspondantes
étaient considérées. L’indisponibilité concerne les entités réparées des indisponibilités relatives à chaque événement primaire ont été
lorsqu’elles tombent en panne alors que la défiabilité concerne les repérées par des petits cercles ;
entités non réparées quand elles tombent en panne. Ces deux – ces valeurs sont utilisées pour calculer la valeur de l’indisponi-
concepts sont confondus quand les pannes ne sont pas réparées. bilité du système à l’instant ti. Ceci est repéré par le petit cercle
tracé sur la courbe à droite de la figure 3 ;
Nota : attention, ce qui est dit ci-dessus concerne les pannes totales de l’entité
concernée. Les défaillances partielles peuvent être réparées ou non si leur occurrence – la répétition de cette opération pour de nombreux instants
n’entraîne pas la défaillance totale de l’entité. Cela est analysé plus en détail dans la conduit à la courbe complète de l’indisponibilité du système, US(t)
section relative aux calculs de défiabilité. sur un intervalle [0, T].
Si l’on considère la probabilité d’occurrence d’un évé- À partir des points obtenus, il est facile de calculer la moyenne
nement primaire appartenant à un ADD, cette probabilité peut de cette courbe, ce qui donne l’indisponibilité moyenne du sys-
correspondre soit à l’indisponibilité du composant concerné, soit tème sur la durée considérée.
à sa défiabilité. Aussi, pour distinguer les deux cas, les notations Il est à noter que l’indépendance des blocs implique qu’il y ait
suivantes sont utilisées par la suite : autant d’équipes de maintenance que d’événements primaires
– dans le cas d’une panne réparée ; dans l’ADD. Donc, s’il y a une seule équipe disponible, les résul-
– dans le cas d’une panne non réparée ; tats obtenus sont optimistes.

– et pour les probabilités Nota : le temps de réparation d’un composant estimé à partir du retour d’expérience
inclut le délai avant réparation, la réparation proprement dite et le délai avant remise en
complémentaires (disponibilité et fiabilité). service. Outre les délais administratifs, le délai avant réparation inclut aussi le délai dû à
l’attente de l’équipe de réparation occupée ailleurs. Donc la dépendance du temps de
réparation au nombre de réparateurs est en quelque sorte incluse dans le temps de répa-
ration, et cela limite l’impact de l’hypothèse d’indépendance des blocs vis-à-vis des
1.2 Indisponibilité d’un système modélisé réparations.
par ADD De nombreux calculs sont nécessaires pour obtenir une courbe
précise de l’indisponibilité du système. Aussi, des algorithmes
1.2.1 Cas général performants sont-ils indispensables pour pouvoir traiter les
grands systèmes rencontrés dans l’industrie. D’autre part, dans
L’évolution des états d’un système en logique 2/3 en fonction certains cas (systèmes peu disponibles, présence de conditions)
de l’état de ses composants est illustrée sur la figure 2 : les calculs d’indisponibilité peuvent nécessiter de réaliser des
– les chronogrammes en haut de la figure 2 concernent les trois calculs exacts avec des probabilités élevées. Tout cela est prati-
composants du système qui évoluent indépendamment les uns quement impossible avec la formule de Sylvester-Poincaré, et
des autres ; c’est grâce à l’introduction des DDB que cette approche est main-
– le chronogramme en bas de la figure 2 donne l’évolution cor- tenant utilisée de manière efficace [SE 4052]. C’est ce qui a été
respondante de l’état du système. implémenté dans le progiciel GRIF-Workshop (graphique interactif
Ainsi, le système est en marche à l’instant t1 (où A et C sont en et calculs de fiabilité) dont le module TREE dévolu aux ADD a été
marche) et en panne à l’instant t2 (où B et C sont en panne). Seul utilisé pour obtenir la majorité des courbes présentées dans cet
importe l’état du système à un instant donné, mais pas ce qui article.
s’est passé auparavant. Ainsi, le système est disponible à l’instant
t3 même s’il est tombé en panne (et a été réparé) auparavant. 1.2.2 Processus markoviens pilotés par ADD
La probabilité US(ti), pour le système d’être en panne à un ins-
tant ti ne dépend que des probabilités UA(ti), UB(ti) et UC(ti) d’être Dans les développements ci-dessus, les indisponibilités rela-
en panne de ses composants au même instant t. Comme les évé- tives aux événements primaires de l’ADD sont des données
nements primaires , et sont indépendants, les indisponibili- d’entrée et aucune hypothèse particulière n’a été faite sur la
tés UA(ti), UB(ti) et UC(ti) sont évaluées indépendamment les unes manière dont elles sont calculées. Donc, en particulier, les proces-
des autres et US(ti) peut être calculée en les combinant à l’aide sus markoviens peuvent être utilisés à cet effet [SE 4071] et c’est,
des formules développées dans le cas statique. Cela est illustré en fait, ce qui a été utilisé pour calculer les indisponibilités rela-
sur la figure 3 : tives aux événements primaires de la figure 3. Ceci est illustré sur
la figure 4 où chaque composant est modélisé par un petit graphe
de Markov avec deux états (marche, M et panne, P), un taux de
défaillance (λA, λB ou λC) et un taux de réparation (μA, μB ou μC).
Comme condition initiale la probabilité est de 100 % d’être en
marche à l’instant t = 0 pour les composants B et C et seulement
États Marche Panne de 50 % pour le composant A (γA = 0,5). C’est ce qui explique
A(t) l’évolution différente de l’indisponibilité de A par rapport à celles
A(t) de B et C.
B(t)
B (t) Les paramètres des blocs ont été choisis de manière à bien faire
C(t) apparaître la période transitoire sur les courbes de la figure 3.
Pour des systèmes comportant des défaillances détectées et dont
C(t)
Disponible Indisponible Disponible la réparation commence immédiatement, l’indisponibilité asymp-
S(t) totique est atteinte après environ trois ou quatre fois la valeur du
S (t) plus grand MRT (temps moyen de réparation) desdites défail-
lances. Comme les taux de réparation sont égaux à 10–2 h–1, le
t1 t2 t3 Temps
plus grand MRT est égal à 100 h et la valeur asymptotique est
atteinte entre 300 et 400 h.
Nota : l’acronyme MRT est utilisé ici pour éviter les ambigüités de l’acronyme
Figure 2 – Évolution de l’état d’un système 2/3 en fonction MTTR qui signifie « temps moyen de réparation » pour les uns et « temps moyen de
de l’évolution des événements primaires restauration » pour les autres. La différence est que le temps de détection est exclu

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 4 053 – 3

TW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS

ARBRE DE DÉFAILLANCE _____________________________________________________________________________________________________________

0,60 0,50
UA(t ) US(t) US(t ) Moyenne
0,40 0,10
UC(t )
0,20 UB(t ) 2/3 0,05
as
Asymptote US
0 0
0 ti 100 h 200 h 300 h 400 h 500 h 0 ti 100 h 200 h 300 h 400 h 500 h

UA(t) U B(t ) U C(t)

LA LB LC

Figure 3 – Illustration du calcul d’indisponibilité pour un 2/3

indisponibilité moyenne et aussi de multiplier par trois la fré-


quence de détection des défaillances de cause commune éven-
US(t) tuelles (non représentées ici). L’indisponibilité du système
étudié est assez forte, mais les paramètres ont été choisis pour
illustrer le comportement de l’indisponibilité des systèmes
Processus 2/3 périodiquement testés, plutôt que pour traiter un cas industriel
de Markov réel.
La courbe représentant l’indisponibilité du système est obtenue
point par point par le même processus que celui expliqué pour la
UA(t) UB(t) UC(t) figure 4.

LA LB LC Nota : lorsqu’une panne est détectée par un test, elle est survenue en moyenne depuis
la moitié dudit intervalle (donc depuis 6 mois pour un test annuel). Les temps de répara-
tion (en général quelques heures) sont donc négligeables vis-à-vis du temps de
γA λA 1–γ λB λC restauration global. Il en résulte que la dépendance des événements primaires au
A nombre d’équipes de réparateurs est beaucoup plus ténue que dans le cas des défail-
M P M P M P lances détectées dont les réparations commencent immédiatement.
μA μB μC
λA = 8,0 10–4 h–1 Le module TREE du progiciel GRIF Workshop a été utilisé pour
λB = 2,0 10–3 h–1 λC = 5,0 10–3 h–1
μA = 1,0 10–2 h–1, réaliser la figure 5, mais le module SIL développé pour faciliter la
μB = 1,0 10–2 h–1 μC = 1,0 10–2 h–1 saisie et le traitement des modèles relatifs aux systèmes instru-
γA = 0,5 A B C
mentés de sécurité aurait pu aussi être utilisé.

Figure 4 – Exemple de processus de Markov piloté par ADD


1.2.3 Indisponibilité moyenne
du temps de réparation et inclus dans le temps de restauration. Cela n’a pas d’impor- Outre l’indisponibilité instantanée US(t), un ADD permet aussi de
tance pour les défaillances détectées rapidement, mais la distinction est capitale pour
les défaillances détectées après un délai important lié, par exemple, à des tests
calculer l’indisponibilité moyenne du système modélisé.
périodiques.
Mathématiquement parlant, l’indisponibilité moyenne est don-
Le processus de Markov de la figure 4 modélise des compo- née par la formule suivante :
sants dont les défaillances sont détectées dès qu’elles se pro-
duisent. La même technique peut être utilisée pour modéliser (1)
des défaillances qui ne se révèlent pas d’elles-mêmes et qui, de
ce fait, nécessitent la réalisation de tests périodiques pour être Numériquement parlant, l’indisponibilité moyenne est obtenue
détectées. Le plus souvent, ce type de défaillances se rencontre en calculant la moyenne des points de la courbe relative à l’indis-
sur les systèmes de sécurité qui sont en attente de fonctionne- ponibilité instantanée. Ainsi, l’indisponibilité moyenne
ment jusqu’à ce qu’ils reçoivent une demande pour réaliser une du système S sur l’intervalle [0, T] est obtenue en faisant la
action de sécurité. Dans le cadre de la sécurité fonctionnelle des moyenne de la courbe US(t) sur cette période. À noter que cela
systèmes instrumentés de sécurité (voir normes CEI 61508, CEI implique que le nombre de points calculés pour définir cette
61511, etc.), ce type de défaillances est dénommé défaillances courbe soit suffisant.
non détectées. Pour être modélisées, de telles défaillances Sur la figure 3, et après une période transitoire, l’indisponibilité
nécessitent la mise en œuvre de processus markoviens multi- du système atteint une valeur asymptotique . Ceci est dû aux
phases [SE 4071], comme cela a été réalisé pour les calculs de
la figure 5. processus markoviens utilisés pour modéliser la disponibilité rela-
tive aux événements primaires et qui atteignent, eux aussi, des
Les trois composants correspondant aux événements pri- valeurs asymptotiques. Sur le long terme, cette indisponibilité
maires ont des taux de défaillance différents et les mêmes taux asymptotique donne aussi l’indisponibilité moyenne du système
de réparation et intervalles entre tests. Cependant, les tests ont modélisé :
été décalés (paramètres θA, θB et θC) de manière à ne pas tester
la présence des pannes en même temps. Cette pratique permet (2)
d’homogénéiser l’indisponibilité du système, d’améliorer son

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 053 – 4

TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

Nœud papillon : une méthode


de quantification du risque

par Olivier IDDIR


Ingénieur quantification des risques – Service expertise et modélisation – Membre du
réseau des experts de TECHNIP
TECHNIP France, Paris-La Défense

1. Quantification du risque : une nécessité........................................ SE 4 055v2 - 2


2. Notion d’acceptabilité du risque ...................................................... — 2
3. Présentation de la méthode ............................................................... — 5
4. Quantification du nœud papillon ...................................................... — 15
5. Limites liées à la quantification d’un nœud papillon.................. — 22
6. Exemple de nœud papillon quantifié ............................................... — 25
7. Conclusion............................................................................................... — 29
8. Glossaire – Définitions ......................................................................... — 29
Pour en savoir plus ........................................................................................ Doc. SE 4 055v2

ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie


D chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les
risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de
danger et de risque sont très souvent confondues, le risque étant toujours lié à
l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il
est possible de considérer que le danger est « réel » et le risque « potentiel ».
Certaines installations industrielles présentent, de par leurs activités, de nom-
breux dangers. Citons, par exemple, le stockage ou la synthèse de produits
inflammables et/ou toxiques. Sur de telles installations, un des événements
redoutés est la perte de confinement qui peut aboutir à des phénomènes dange-
reux de type incendie, jet enflammé ou explosion dans le cas d’un produit
inflammable et dispersion atmosphérique dans celui d’un produit toxique.
L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple
probabilité/gravité. La gravité des phénomènes dangereux est habituellement
estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logi-
ciels. L’estimation de la probabilité d’occurrence pour les risques liés au
secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodolo-
gies utilisées depuis de nombreuses années dans d’autres domaines, tels que
le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et
contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une
approche déterministe. Les probabilités d’occurrence d’accidents étaient alors
en grande majorité estimées par avis d’experts. Le tragique accident survenu à
Toulouse le 21 septembre 2001 a initié un profond remaniement de la régle-
mentation française qui prône aujourd’hui l’approche probabiliste.
L’objectif de cet article est de présenter la méthode d’analyse de risques
nommée « nœud papillon » qui résulte de la combinaison d’un arbre de
défaillances et d’un arbre d’événements, centrée sur un même événement
redouté. Après avoir exposé les fondements de cette méthode, il sera dressé
un panorama des diverses banques de données pouvant être utilisées lors de
la phase de quantification. Enfin, l’article abordera les limites de la méthode.
p。イオエゥッョ@Z@ェオゥョ@RPQU

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 1

TY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

1. Quantification du risque : Gravité


une nécessité Gk

5
Depuis une trentaine d’années, la succession d’accidents signifi-
catifs en termes de dommages matériels et humains, majoritaire-

Gravité croissante
ment liés à l’expansion de l’activité industrielle, vient mettre en 4
lumière la question primordiale de la sécurité.

En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au 3


BLEVE de plusieurs sphères de stockage. Par la suite, les accidents
de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, 2
AZF (Toulouse) en 2001 ou plus récemment Buncefield (Grande-
Bretagne) en 2005 sont tous des accidents qui rappellent si besoin
la nécessité de disposer de méthodes et d’outils performants pour 1
estimer les risques.

En France, depuis 2001, la réglementation visant à garantir que E D C B A Probabilité Pk


les industriels maîtrisent leurs risques a beaucoup évolué. En fonc-
tion de la dangerosité des installations, les industriels doivent réali-
ser des études démontrant qu’ils ont pris l’ensemble des mesures Probabilité décroissante
de prévention et de protection permettant de garantir que les ris-
ques liés à leurs activités sont acceptables. Pour évaluer ces risques, A : niveau de probabilité le plus fort
différentes méthodes d’analyse peuvent être déployées (APR, E : niveau de probabilité le plus faible
HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la 1 : niveau de gravité le plus faible
méthodologie d’analyse quantifiée du risque recommandée par 5 : niveau de gravité le plus fort
l’administration française pour étudier les scénarios d’accidents les
plus critiques.
Risque jugé inacceptable

Risque ALARP
2. Notion d’acceptabilité
du risque Risque jugé acceptable

2.1 Estimation Figure 1 – Exemple de matrice de criticité 5 2 5

2.1.1 Matrices de criticité La matrice de criticité, présentée en figure 1, comporte trois


zones de risque :
Dans le domaine du risque industriel, la quantification des ris- – « acceptable » : dans cette zone, les accidents présentent une
ques constitue une étape incontournable. Elle permet, au regard probabilité suffisamment faible au regard de la gravité des
de la probabilité et de la gravité d’un accident, de juger de la suffi- conséquences associées ;
sance ou non des mesures de prévention dont l’objectif est de pré-
– dite « ALARP » (As Low As Reasonably Practicable ) : dans
venir l’apparition d’accident, et des mesures de mitigation/
cette zone, l’ensemble des mesures envisageables a été mis en
protection dont le but est de limiter les effets en cas d’accident. Or,
place et il n’est plus possible, avec un coût économique raisonna-
afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir
ble, de diminuer ni la probabilité, ni la gravité ;
le mesurer en le comparant à une échelle.
– « inacceptable » : dans cette zone, il est nécessaire de mettre
Reprenant la philosophie du diagramme de Farmer, la matrice en place des actions qui visent à réduire la gravité et/ou la proba-
de criticité permet de juger de l’acceptabilité d’un risque. Mais con- bilité, en définissant de nouvelles mesures de prévention et/ou de
trairement au diagramme de Farmer, les matrices de criticité ne mitigation, afin de ramener si possible le risque dans la zone
font pas intervenir une frontière linéaire, mais un ensemble de acceptable, ou a minima dans la zone ALARP.
couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels La notion d’acceptabilité d’un risque peut sembler subjective,
le risque passe du domaine de l’acceptable à celui de l’inaccepta- surtout lorsque la vie d’individus est en jeu. En effet, la distinction
ble. Pour limiter les erreurs de jugement sur des événements dont entre les différentes zones de risque n’est pas aisée et dépend
le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de essentiellement des définitions données aux différents niveaux de
risque, dite « ALARP » (As Low As Reasonably Practicable), est fré- probabilité et de gravité qui constituent la matrice de criticité.
quemment utilisée.

Il est à noter que le nombre de niveaux de probabilité et de gra- 2.1.2 Matrice de criticité réglementaire en France
vité, constituant une matrice de criticité, n’a rien d’universel. Néan-
moins les matrices de criticité, dites 5 × 5, c’est-à-dire composées Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilité et de 5 niveaux de gravité, sont cou- laire du 10 mai 2010), relative aux critères d’appréciation de la
ramment utilisées. démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « Seveso », visés par l’arrêté du
La figure 1 présente un exemple de matrice de criticité. Le 10 mai 2000 modifié, il n’existait pas de matrice de criticité régle-
découpage entre les différentes catégories de risque est unique- mentaire. Les matrices utilisées étaient soit celles proposées par
ment donné à titre indicatif. les industriels eux-mêmes, soit celles réalisées par des sociétés

SE 4 055v2 – 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

expertes dans l’évaluation des risques. Dans un souci d’homogé- (/an). L’unité de temps associée à la notion de probabilité confirme
néité, le ministère de l’Environnement (MEDAD à l’époque) a donc que les notions de fréquence et de probabilité sont bien souvent
proposé une matrice de criticité 5 × 5 (grille d’appréciation des ris- confondues.
ques), telle que présentée en figure 2. Elle se subdivise en La fréquence est une grandeur observée issue d’une exploitation
25 cases, correspondant à des couples probabilité/gravité des con- d’un retour d’expérience. Elle s’exprime généralement en unité de
séquences identiques à ceux du modèle figurant à l’annexe V de temps–1 ou opération–1.
l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur étude Dans le cas où le temps est le critère d’observation, la fréquence
de dangers. Cette matrice délimite trois zones de risque est définie par le quotient entre le nombre d’événements observés
accidentel : sur la période d’observation et ce temps d’observation. Lorsque la
période d’observation est exprimée en années, les fréquences sont
– risque élevé, figuré par le mot « non » ; alors données en unité an–1.
– risque intermédiaire, figuré par le sigle « MMR » (mesures de
maîtrise des risques), dans laquelle une démarche d’amélioration La probabilité d’occurrence d’un accident est assimilée à sa fré-
continue est particulièrement pertinente, en vue d’atteindre, dans quence d’occurrence future estimée sur l’installation considérée.
des conditions économiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de l’état des connaissances,
des pratiques et de la vulnérabilité de l’environnement de En France, les accidents potentiels ou les phénomènes dan-
l’installation ; gereux identifiés dans les études de dangers sont étudiés sur
– risque moindre, qui ne comporte ni « non » ni « MMR ». un intervalle temporel donné. La période de temps retenue
La gradation des cases « non » ou « MMR » en « rangs », corres- dans le cadre réglementaire est celle rappelée dans l’échelle de
pond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc
les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les introduit la notion de probabilité d’occurrence annuelle (POA).
cases « MMR ». Cette gradation correspond à la priorité que l’on
peut accorder à la réduction des risques, en s’attachant d’abord à
réduire les risques les plus importants (rangs les plus élevés). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilité et de gravité retenus pour constituer suivante :
cette matrice sont respectivement présentés dans les tableaux 1 – fréquence d’occurrence pour les événements redoutés (ER) ;
et 2. – probabilité d’occurrence pour les événements redoutés secon-
Concernant l’échelle rapportée dans le tableau 1, on peut noter daires (ERS) et pour les phénomènes dangereux (PhD).
qu’il est fait mention de la notion de probabilité d’occurrence et Néanmoins, en toute rigueur, le produit entre une fréquence et
que les données quantitatives sont exprimées en unité de temps–1. une probabilité donne une fréquence.

Gravité des PROBABILITÉ (sens croissant de E vers A) (1)


conséquences
sur les personnes
exposées E D C B A
au risque (1)

Non partiel
(sites nouveaux : (2))
Désastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))

Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3

Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2

Sérieux MMR rang 1 MMR rang 2 Non rang 1

Modéré MMR rang 1

(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à
la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des
conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.
(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau
de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.
(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque
accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations.

Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 3

UQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005


Classe de probabilité
Type d’appréciation
E D C B A

« Événement
« Événement possi- improbable » : un
ble mais extrême- événement similaire « Événement
« Événement très
Qualitative ment peu déjà rencontré dans courant » : se produit
improbable » : s’est
(les définitions entre probable » : n’est pas le secteur d’activité « Événement proba- sur le site considéré
déjà produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site » : s’est et/ou peut se pro-
secteur d’activité,
valables que si le connaissances d’organisation au produit et/ou peut se duire à plusieurs
mais a fait l’objet de
nombre d’installa- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontré, au niveau que les éventuelles durée de vie des durée de vie des ins-
réduisant significati-
d’expérience sont mondial, sur un très corrections interve- installations tallations, malgré
vement sa probabi-
suffisants) grand nombre nues depuis appor- d’éventuelles mesu-
lité
d’années d’installa- tent une garantie de res correctives
tions réduction significa-
tive de sa probabilité

Semi-quantitative Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de maîtrise des risques mises en place

Quantitative
j 10−5 10–5 à 10–4 10–4 à 10–3 10–3 à 10–2 h 10−2
(par unité et par an)

Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations
pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications
techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particu-
lière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des
installations, ou de leur mode de gestion.
Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence
du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation
considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les don-
nées de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de
la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen
du retour d’expérience.

Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005


Zone délimitée par le seuil Zone délimitée par le seuil Zone délimitée par le seuil
Niveau de gravité
des effets létaux significatifs des effets létaux des effets irréversibles sur la vie humaine
des conséquences
(personnes exposées) (personnes exposées) (personnes exposées)
Désastreux Plus de 10 Plus de 100 Plus de 1 000
Catastrophique Moins de 10 Entre 10 et 100 Entre 100 et 1 000
Important Au plus 1 Entre 1 et 10 Entre 10 et 100
Sérieux Aucune Au plus 1 Moins de 10
Présence humaine exposée à des effets
Modéré Pas de zone de létalité hors établissement
irréversibles inférieure à 1
Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise
à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.

Pouvoir positionner des situations dangereuses dans une de causes, nécessite de recourir à des méthodologies qui permet-
matrice de criticité suppose qu’il soit possible d’évaluer la probabi- tent une analyse exhaustive :
lité d’occurrence et la gravité d’un événement, de sorte que se – des combinaisons de causes pouvant aboutir à la réalisation
tromper de zone de risque est exclu. Or, les événements les plus de tels accidents ;
graves sont aussi généralement les plus rares, l’accidentologie
révèle ainsi que ces accidents sont souvent la conséquence de – des conséquences en cas de survenue de tels accidents.
combinaisons de plusieurs événements. On parle alors de
« séquence accidentelle ». C’est donc lors de l’étape d’évaluation de la probabilité d’occur-
rence des événements redoutés et de leurs conséquences qu’il est
Évaluer la probabilité d’occurrence d’accidents « complexes », primordial de disposer d’une méthode « robuste » pour estimer au
c’est-à-dire dont l’origine peut être de nombreuses combinaisons plus juste ces valeurs.

SE 4 055v2 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

3. Présentation de la méthode Le point central du nœud papillon est constitué par un événe-
ment redouté qui peut être par exemple une perte de confinement.
La partie en amont de l’événement redouté est constituée par un
3.1 Principe arbre de défaillances qui permet d’analyser les combinaisons de
causes, et de valoriser les barrières de prévention mises en place
Le concept du nœud papillon a été introduit par la compagnie pour prévenir l’apparition de l’événement redouté. La partie en
ICI (Imperial Chemical Industries ). Après l’accident survenu sur la aval est, quant à elle, constituée par un arbre d’événements qui
plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a permet de différencier les conséquences en fonction du fonction-
développé cette technique d’analyse au début des années 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin d’améliorer la sécurité sur de telles installations. L’utilisation que, présenté en figure 3, présente la structure d’un nœud
de la méthode du nœud papillon tend aujourd’hui à se démocra- papillon. Le tableau 3 détaille les définitions associées à chacun
tiser et son application au secteur de l’industrie est de plus en plus des événements figurant sur le modèle du nœud papillon de la
répandue. Le programme de recherche européen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur l’évaluation des risques
dans le contexte de l’application de la directive Seveso II met en En France, différents groupes de travail nationaux ont tra-
avant les avantages de cette méthode. Pour rappel, ce programme vaillé sur la réalisation de nœuds papillons « génériques ». S’il
avait pour but : est possible de s’en inspirer, il est indispensable de les adapter
au cas étudié en prenant en compte les spécificités du site.
– le développement d’une méthodologie plus précise et harmo-
nisée d’analyse de risque pour les études de dangers (ou safety
reports ), dans le contexte de l’application de la directive En fonction de la nature de l’événement redouté, les événe-
Seveso II ; ments de base peuvent être dits « indésirables ». Citons, par exem-
ple, un choc mécanique sur une canalisation pouvant aboutir à
– l’identification et la qualification des principaux phénomènes
l’événement redouté : « brèche sur canalisation », ou bien la
accidentels majeurs (appréciation de la probabilité et de la gravité
combinaison entre un événement courant et une défaillance, tel
des effets physiques en utilisant, par exemple, la représentation
que le montage d’un bras de dépotage et l’absence de contrôle de
sous forme de nœud papillon) ;
bonne étanchéité pouvant aboutir à l’événement redouté
– l’évaluation de la performance des fonctions et éléments de « mauvaise étanchéité au niveau d’un bras de dépotage », en cas
sécurité liés à la prévention des phénomènes accidentels ; de montage défectueux.
– l’identification de la vulnérabilité de l’environnement des sites.
Le principal intérêt du nœud papillon est qu’il permet de visua-
liser l’ensemble des chemins conduisant des événements de base
jusqu’à l’apparition des phénomènes dangereux. Chaque chemin
Le fondement de la méthode du « nœud papillon » est rela-
décrit un scénario d’accident. Un scénario d’accident est défini
tivement simple. Elle propose pour un même événement
comme un enchaînement d’événements aboutissant à un événe-
redouté de réunir un arbre de défaillances pour expliciter les ment redouté, conduisant lui-même à des conséquences lourdes
causes et un arbre d’événements pour expliciter les
ou effets majeurs. Cette notion est présentée dans les articles rela-
conséquences.
tifs à la méthode MOSAR [SE 4 060] [SE 4 061].

Différenciation des
Valorisation des barrières phénomènes dangereux
de mitigation

PhD 1

EB1 ERS 1

EI1
PhD 2
EB2 ERS 2
ER

ERS 3

EI2

ERS 4

Arbre de défaillances Arbre d’événements Arbre des conséquences

Identification des Identification des événements Identification des


combinaisons de causes redoutés secondaires phénomènes dangereux

Figure 3 – Schéma d’un nœud papillon

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 5

US
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 3 – Définition des événements composant un nœud papillon

Identification Signification Définition Exemples

Dérive ou défaillance sortant du cadre des conditions


Événement dont la réalisation, seule d’exploitation usuelles définies
ou combinée, est susceptible d’abou- (montée en température, sur remplissage, etc.)
EB Événement de base
tir à la matérialisation d’un événement Événement courant survenant de façon récurrente
intermédiaire (EI) dans la vie d’une installation
(vibration, maintenance, etc.)

Événement dont la réalisation, seule


Événement ou combinée, est susceptible d’abou- Montée en température non détectée, corrosion non
EI
intermédiaire tir à la matérialisation de l’événement détectée lors de test d’inspection, etc.
redouté (ER)

Événement résultant de dérives de


paramètres de fonctionnement, ou de
Rupture de capacité, brèche sur canalisation,
ER Événement redouté défaillances d’éléments, pouvant avoir
décomposition de substance, etc.
des conséquences dommageables sur
l’environnement

Événement redouté Conséquence directe de l’événement Formation d’une nappe d’hydrocarbure, fuite de gaz
ERS
secondaire redouté toxique, sur une durée de 10 min, etc.

Libération d’énergie ou de substance


susceptible d’infliger un dommage à
PhD Phénomène dangereux Jet enflammé, BLEVE, Boil Over, explosion, etc.
des cibles (ou éléments vulnérables)
vivantes ou matérielles

Le nœud papillon permet alors de juger de la bonne maîtrise ou


La méthode du nœud papillon est habituellement réservée non des risques, en explicitant clairement le rôle de chacune des
pour l’analyse d’événements dont les combinaisons de causes barrières de sécurité sur le déroulement d’un accident.
sont complexes à identifier, et/ou lorsque des barrières de
mitigation/protection sont prévues pour limiter les consé- La figure 4 présente un exemple de ce type de représentation. Il
quences de l’événement redouté. est à noter que ces représentations simplifiées s’apparentent plus
à la combinaison d’un arbre des causes et d’un arbre des
conséquences qu’à un réel nœud papillon. En effet, pour la partie
En fonction de l’utilisation du nœud papillon, il est possible que avale du nœud papillon, les différents ERS ne sont généralement
ces nœuds soient plus ou moins complexes (arborescence plus ou pas tous détaillés et plus particulièrement ceux consécutifs au
moins développée). fonctionnement des barrières. Sur la représentation de la figure 4,
La complexité d’un nœud papillon tient en effet : les deux ERS possibles en fonction du fonctionnement ou non de
la BM1 sont envisagés.
– au niveau de développement de l’arbre de défaillances ;
– à la mise en évidence, explicite ou non, de la défaillance des
barrières de prévention dans l’arbre de défaillances ; Lorsque les ERS consécutifs au fonctionnement des barriè-
– à la mise en évidence, explicite ou non, de la défaillance des res sont susceptibles d’être à l’origine de phénomènes dange-
barrières de mitigation/protection dans l’arbre d’événements. reux pouvant avoir des conséquences non négligeables, il est
impératif de ne pas oublier de faire apparaître ces scénarios.
Ainsi, deux utilisations du nœud papillon sont à distinguer :
– l’analyse qualitative des risques qui vise à identifier les diffé-
rents scénarios d’accidents ; Lorsque le nœud papillon est élaboré dans l’objectif de quantifier
– l’analyse quantitative des risques qui vise à quantifier les les probabilités des phénomènes dangereux, cet outil peut s’avérer
probabilités des différents scénarios d’accidents. relativement lourd à mettre en place et son utilisation ne doit être
réservée qu’à des événements jugés particulièrement critiques pour
Lorsque le nœud papillon est réalisé uniquement dans le but de lesquels une analyse détaillée du risque est indispensable. En
formaliser une démarche d’analyse des risques, les barrières de d’autres termes, comme cet outil d’analyse peut être particulière-
sécurité sont le plus souvent représentées sous la forme de barres ment coûteux en temps, il doit être utilisé à bon escient.
verticales pour symboliser le fait qu’elles s’opposent au déve-
loppement d’un chemin critique aboutissant à un accident. De ce
fait, dans cette représentation, chaque chemin, conduisant d’une
Habituellement, les événements redoutés étudiés par un nœud
défaillance d’origine (événements de base de l’arbre de défaillan-
papillon sont présélectionnés lors d’une étape d’évaluation préli-
ces) jusqu’à l’apparition des phénomènes dangereux, désigne un
minaire qui permet de hiérarchiser les risques.
scénario d’accident particulier pour un même événement redouté.

SE 4 055v2 – 6 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR
Présentation de la méthode
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. Nécessité d’une méthode d’analyse des risques


d’une installation industrielle .............................................................. SE 4 060 - 2
1.1 Problématique.............................................................................................. — 2
1.2 Les besoins d’analyse de risques............................................................... — 3
1.3 Les outils existants ...................................................................................... — 3
1.4 Nécessité d’une méthode ........................................................................... — 3
2. Structure générale de la méthode MOSAR ...................................... — 4
2.1 Les deux modules et les dix étapes ........................................................... — 4
3. Modèles mis en œuvre : MADS............................................................ — 4
3.1 Description de MADS .................................................................................. — 4
3.2 Applications à une démarche méthodique ............................................... — 5
4. Différents modes de mise en œuvre de la méthode ...................... — 7
4.1 MOSAR comme boîte à outils .................................................................... — 7
4.2 Les parcours de MOSAR ............................................................................. — 8
4.3 Genèse de scénarios dans l’analyse de risques d’un site industriel ....... — 9
4.4 Extraits d’exemple d’analyse en conception d’une installation .............. — 10
4.5 Extrait d’exemple d’analyse en diagnostic d’une installation existante . — 13
5. Avantages de la méthode ...................................................................... — 14
5.1 La réponse aux besoins .............................................................................. — 14
5.2 Exhaustivité.................................................................................................. — 15
5.3 Coordination des outils ............................................................................... — 15
5.4 Souplesse ..................................................................................................... — 15
5.5 Mise en œuvre en situation opérationnelle et pédagogique ................... — 15
Références bibliographiques ......................................................................... — 16
Pour en savoir plus........................................................................................... Doc. SE 4 062
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPS@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ッ」エッ「イ・@RPQX

’analyse des risques d’une installation industrielle est une démarche


L complexe car cette dernière est elle-même une structure complexe constituée
de machines, de stockages, en interaction entre eux, avec les opérateurs ainsi
qu’avec l’environnement. Pour se donner le maximum de chances de mettre en
évidence la majorité des risques d’une installation, une méthode logique est
proposée : la méthode organisée systémique d’analyse des risques ou MOSAR.
Elle fait appel à la modélisation systémique [1] car après avoir décomposé l’instal-
lation en sous-systèmes et recherché systématiquement les dangers présentés
par chacun d’entre eux, ces sous-systèmes sont remis en relation pour faire appa-
raître des scénarios de risques majeurs. Cette partie de l’analyse est une APR
(Analyse préliminaire des risques) évoluée car elle ne se contente pas de passer
l’installation au crible de grilles préétablies issues du retour d’expérience. Elle
construit, à partir d’une modélisation des différents types de dangers par le
modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes), les
scénarios possibles. La négociation d’objectifs permet de hiérarchiser ces scéna-
rios. La recherche systématique de barrières permet de neutraliser ces scénarios

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 1

UU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR ______________________________________________________________________________________________________________________________

et leur qualification dans le temps en assure la pérennité. La démarche peut se


poursuivre par une analyse détaillée de type sûreté de fonctionnement avec mise
en œuvre d’outils comme les AMDEC (Analyse des modes de défaillance, de leurs
effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité
l’Entreprise industrielle), les arbres de défaillances (cf. article Arbres de
défaillance, des causes et d’événement [SE 4 050] dans ce traité), HAZOP (Hazard
and Operability study) [4].
Sa constitution modulaire permet une grande souplesse d’utilisation. Elle se
termine sur la construction des plans d’intervention.
Le modèle MADS, élaboré dans les années 1980 par un groupe d’ingénieurs
du CEA (Commissariat à l’énergie atomique) et d’universitaires de l’IUT de
sécurité de Bordeaux, est une modélisation systémique générale du danger
mise en œuvre ici de manière spécifique dans la méthode MOSAR.
La méthode MOSAR complète fait l’objet d’un support [5], d’un résumé [8] et
d’un logiciel d’apprentissage [6].

Cet article constitue la première partie d’une série consacrée à la méthode MOSAR :
— MOSAR - Présentation de la méthode [SE 4 060] ;
— MOSAR - Cas industriel [SE 4 061].

Terminologie
Problématique Une certaine façon de poser un ou des problèmes propres à une notion
ou à un domaine de connaissance.
Méthodologie Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des
matériaux avec lesquels nous pouvons construire notre connaissance
en vue de déterminer à quels usages ils sont propres ou impropres.
Méthode Programme réglant d’avance une suite d’opérations à accomplir et
signalant certains errements à éviter, en vue d’atteindre un résultat
déterminé.
Outils Procédés techniques de calcul ou d’expérimentation utilisés pour le
développement d’une méthode.
Analyse de risques Toute démarche structurée permettant d’identifier, évaluer, maîtriser,
manager et gérer des risques et notamment les risques industriels.

1. Nécessité d’une méthode


d’analyse des risques
d’une installation industrielle M1
O1

O4
M2
1.1 Problématique
O3
Une installation industrielle peut être modélisée comme un sys-
tème ouvert sur son environnement, et composé essentiellement de M3
O2
matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec l’environnement (figure 1).
Les matériels (machines, stockages, appareils, bâtiments...)
peuvent :
Figure 1 – Modélisation d’une installation industrielle
— interagir de manière séquentielle (séquences linéaires, paral-
lèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrica-
tion ; Analyser les risques d’une installation va consister essentiel-
— ou être isolés. lement à identifier les dysfonctionnements de nature technique et
Les opérateurs sont tous les acteurs de l’installation depuis le opératoire (opérationnelle, relationnelle, organisationnelle) dont
responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en l’enchaînement peut conduire à des événements non souhaités par
relation à travers des hiérarchies linéaires ou parallèles, des groupes rapport à des cibles (individus, populations, écosystèmes, systèmes
en réseau ou des structures diverses. matériels ou symboliques).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

UV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

______________________________________________________________________________________________________________________________ MOSAR

Ces dysfonctionnements proviennent des matériels, de leurs — de faciliter la communication avec le public ;
liaisons et de leur proximité, ainsi que des opérateurs, de leurs — indispensable pour la construction des Plans d’Intervention : le
liaisons entre eux et avec les matériels. Plan d’Opération Interne (POI) qui gère l’organisation des secours en
Il est possible d’imaginer analyser les risques d’une installation à cas d’accident à l’intérieur du périmètre de l’installation, sous la
un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a responsabilité du directeur de cette dernière ; le Plan Particulier
travaillé dans une coupe synchronique de l’installation. Mais entre d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur
les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc du périmètre de l’installation, si les conséquences de l’accident fran-
impossible de faire l’analyse des risques d’une installation dans sa chissent ce périmètre, sous l’autorité du Préfet.
diachronie. Tout au plus pourra-t-on la pratiquer à certains moments
discrets de cette dernière, que nous allons identifier, et l’on pourra
éventuellement mettre en évidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte d’une analyse de risques peut être défini par deux
Ces moments de vie d’une installation ou phases de vie sont les situations principales :
suivants :
— on s’intéresse à un objet technique, par exemple un avion, un
— conception (CO). C’est le travail de bureau d’études qui définit véhicule, une machine ;
un cahier des charges, un dossier d’appel d’offre, un descriptif, un — on s’intéresse à un milieu plus complexe, par exemple un
dossier de réalisation. Il est évidemment très intéressant d’analyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intégrer leur maîtrise dès le cole, urbaine... Ce milieu comportera bien sûr des objets comme des
départ et cela est moins coûteux que de modifier par la suite l’instal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de sécurité ; de manutention..., mais il y aura beaucoup de relations entre ces
— montage (MO). C’est la phase de réalisation qui correspond au objets et avec leur environnement.
chantier avec des risques très spécifiques notamment de manu-
tention ; Les méthodes et outils mis en œuvre pour l’analyse de risques ne
— essais (ES) ou recette. C’est la phase qui permet de faire les seront pas les mêmes dans chacun des deux cas :
vérifications de conformité par rapport au cahier des charges. Elle — dans le premier cas ce sont plutôt les outils classiques de la
est souvent l’objet de risques spécifiques car les éléments de l’ins- Sûreté de fonctionnement qui seront utilisés (consulter à ce propos
tallation peuvent être testés jusqu’à leurs performances maximales les articles Analyse préliminaire des risques [SE 4 010] et Arbres
voire au-delà ; de défaillance, des causes et d’événement [SE 4 050] et la réfé-
— exploitation. Cette phase correspond aux périodes de mise en rence [4]) ;
œuvre de l’installation. On peut la diviser en : — dans le deuxième cas, ces outils seuls ne permettront qu’une
• fonctionnement normal (on la symbolisera par EX) : l’installa- analyse parcellaire, notamment des objets de l’installation, et il
tion fonctionne dans le cadre de ses caractéristiques nomina- sera nécessaire de disposer de méthodes, c’est-à-dire de démar-
les. Elle peut alors générer des nuisances et être la source ches complètes incluant bien sûr les outils, mais capables d’en
d’accidents, organiser la mise en œuvre.
• maintenance qui comprend : Les outils disponibles peuvent être classés en deux catégories :
l’entretien (EN), préventif ou curatif, — des outils semi-empiriques comme l’APR (Analyse Préliminaire
le dépannage (DE), des Risques) qui a donné lieu au développement de grilles issues du
• arrêt (AR). L’installation peut présenter des dangers spéci- retour d’expérience, l’AMDE (Analyse des modes de défaillance et de
fiques à l’arrêt ; leurs effets) et l’AMDEC (bien que normalisé il reste dans cette caté-
— transformation. Cette phase concerne les transformations gorie), HAZOP, l’Analyse Fonctionnelle ;
générant des risques spécifiques liés aux chantiers nécessaires — des outils logiques comme les arbres logiques (arbre de
pour les réaliser ou à l’installation transformée ; défaillances, arbres causes conséquences ou arbres d’événement) et
— démantèlement (DEM) ou déconstruction. Cette phase cor- des outils de type réseaux comme les chaînes de Markov (cf. article
respond aussi à une phase de chantier très spécifique. Relations entre probabilités et équations aux dérivées partielles
[A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri
Il est donc nécessaire de préciser la phase de vie de l’installation
(cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et
dans laquelle l’analyse est réalisée. Il est aussi possible de se situer
Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité
dans une phase et de faire apparaître les risques principaux des
Informatique industrielle et la Sûreté de fonctionnement : méthodes
autres phases.
pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systémique consiste par exemple à prévoir et à notamment en matière de probabilité.
maîtriser les risques apparaissant dans les autres phases dès la La mise en œuvre de ces outils présente un certain nombre de dif-
phase de conception. ficultés. Ce sont en effet pour la plupart des outils dont l’origine est
liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et
leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs,
leur mise en œuvre nécessite de l’information et l’outil en lui-même
1.2 Les besoins d’analyse de risques n’est pas générique de cette dernière.

Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans
l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle. 1.4 Nécessité d’une méthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la maîtrise des risques de l’entreprise sont tout d’abord un problème On voit donc apparaître une double nécessité :
d’éthique, ce sont aussi un moyen : — essayer de rationaliser les outils à caractère empirique. Le modèle
— d’accroître la confiance du public, du personnel, des investis- MADS (Méthodologie d’analyse de dysfonctionnement des systèmes)
seurs et de conserver une bonne image de marque ; tente de répondre à ce besoin. Modélisation systémique générale du
— de satisfaire les contraintes réglementaires multiples : Code du danger, le modèle MADS constitue la structure conceptuelle des outils
travail, installations classées pour la protection de l’environnement, et méthodes empiriques ou semi-empiriques qui se sont développés
circulaire Seveso, règles des services de prévention des CRAM sur le terrain. MADS permet par exemple de faire apparaître les
(Caisses régionales d’assurance maladie) et des assurances ; concepts de l’AMDEC ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 3

UW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR ______________________________________________________________________________________________________________________________

— construire des méthodes qui assurent à la fois une cohérence blir un consensus sur les risques acceptables sous forme d’une
dans le déroulement de la démarche analytique, qui facilitent et arti- grille Gravité-Probabilité ;
culent la mise en œuvre des outils précités, et qui participent à la — une vision microscopique conduisant à un module B qui consiste
genèse de l’information nécessaire à la bonne utilisation de ces der- à faire une analyse détaillée et complémentaire des dysfonctionne-
niers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, ments techniques et opératoires identifiés dans le module A. C’est en
MADS permet de faire apparaître la structuration des dangers et fait une approche de type « sûreté de fonctionnement » qui vient faire
par conséquent de les identifier de manière rationnelle. foisonner l’analyse précédente. Dans les scénarios établis dans le
module A, on va développer les dysfonctionnements de nature opéra-
toire et ceux de nature technique. C’est à ce niveau que l’on mettra en
œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure générale module se termine par le rassemblement et l’organisation de l’infor-
mation acquise pour la gestion des risques c’est-à-dire des scénarios
de la méthode MOSAR identifiés s’ils surviennent.

2.1 Les deux modules et les dix étapes 3. Modèles mis en œuvre :
La méthode s’articule autour de deux visions, d’où les deux MADS
modules qui la composent (figure 2) :
— une vision macroscopique conduisant à un module A qui
consiste à faire une analyse des risques de proximité ou analyse prin- 3.1 Description de MADS
cipale de sécurité ou analyse des risques principaux. C’est parce
que les éléments qui constituent l’installation (stockages, machines, Le modèle MADS (Méthodologie de dysfonctionnement des sys-
chaînes de fabrication, opérateurs) sont à proximité les uns des autres tèmes, figure 3), appelé aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces éléments sont lement à vocation pédagogique qui permet de construire et de
modélisés sous forme de systèmes ce qui va permettre d’identifier en comprendre la problématique de l’analyse des risques. Il est
quoi ils peuvent être sources de danger. On recherche ensuite construit sur les bases des principes de la modélisation systémique
comment ils peuvent interférer entre eux et avec leur environnement développés par Jean-Louis Le Moigne dans « La Théorie du Sys-
pour générer des scénarios d’accidents. Ce travail nécessite la mise tème général » [1].
en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonction- L’univers du danger est formé de deux systèmes appelés système
nement des Systèmes) [2] [3]. Ce module comporte aussi une phase source de danger et système cible, en interaction et immergés dans
de négociation avec les acteurs concernés, qui va permettre d’éta- un environnement dit actif.

À partir
d'une Identifier les Module A : vision macroscopique de l'installation
modélisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation

Identifier les
scénarios de
dangers

Évaluer les
scénarios de
risques
Identifier les
risques de Négocier des
fonctionnement objectifs et
hiérarchiser
Évaluer les risques les scénarios
en construisant
des ADD et en Définir les
les quantifiant moyens de
prévention et
les qualifier
Négocier des
objectifs précis
de prévention

Module B : vision microscopique de l'installation Affiner les


Analyse des risques de fonctionnement ou moyens de
Sûreté de fonctionnement prévention

ADD : arbre de défaillance Gérer


les
risques

Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR
Cas industriel
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. Définition de l’exemple. Modélisation ............................................... SE 4 061 - 2


1.1 Décomposition du système étudié et des systèmes environnement
et opérateurs en sous-systèmes................................................................. — 2
2. Le module A de la méthode et ses cinq étapes............................... — 3
2.1 Identification des sources de danger ......................................................... — 3
2.2 Identifier les scénarios de danger .............................................................. — 5
2.3 Évaluation des scénarios à risques ............................................................ — 9
2.4 Négociation d’objectifs et hiérarchisation des scénarios......................... — 9
2.5 Définition et qualification des moyens de prévention et de protection.. — 11
2.6 Conclusion sur le module A........................................................................ — 12
3. Le module B de la méthode et ses cinq étapes ............................... — 13
3.1 Identifier les risques de fonctionnement ................................................... — 13
3.2 Évaluer les risques en construisant des arbres de défaillances
et en les quantifiant ..................................................................................... — 17
3.3 Négocier des objectifs précis de prévention ............................................. — 18
3.4 Affiner les moyens de prévention .............................................................. — 18
3.5 Gérer les risques.......................................................................................... — 21
4. L’organisation des barrières dans une stratégie de défense
en profondeur ........................................................................................... — 22
Références bibliographiques ......................................................................... — 24
Pour en savoir plus........................................................................................... Doc. SE 4 062

a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la


L méthode [SE 4 060], est ici développée à partir d’un exemple concret.
Le choix de ce dernier répond à plusieurs contraintes :
— difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le
p。イオエゥッョ@Z@。カイゥャ@RPPT@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ッ」エッ「イ・@RPQX

domaine public ;
— nécessité de choisir un exemple que l’on peut mettre sous forme
pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni
trop compliqué et doit cependant montrer toute l’amplitude de la méthode ;
— impossibilité de développer complètement l’exemple mais obligation d’en
détailler suffisamment certaines phases pour en montrer l’efficacité.
Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs
suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche
pour en retenir l’attention.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 1

UY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR ______________________________________________________________________________________________________________________________

1. Définition de l’exemple. tions pour lesquelles une telle décomposition n’a pas d’intérêt,
voire est impossible.
Modélisation C’est le cas d’un laboratoire qui comprend une multitude d’objets sans
sous-systèmes clairement identifiables.
Nous prendrons comme exemple une installation de dépotage Elle permet cependant de générer des scénarios d’interférence
de propane alimentant des ateliers présentée sur la figure 1. ou de proximité entre les sous-systèmes si ces derniers peuvent
Les manières de segmenter le contexte sont multiples mais il être identifiés.
faut remarquer que pour un découpage donné définissant le sys- Il existe plusieurs manières de décomposer une installation en
tème à analyser, le reste du contexte se trouve dans l’environne- sous-systèmes :
ment du système. Ainsi, quelle que soit la situation de la frontière — décomposition hiérarchique en fonction des relations des
retenue entre le système et son environnement, la somme des éléments de l’installation entre eux ;
deux redonne toujours l’ensemble du contexte. — décomposition topologique en fonction de la position des
Le système le plus dangereux dans ce contexte est l’installation éléments de l’installation dans l’espace ;
de dépotage de propane. Elle sera donc le système sur lequel va — décomposition fonctionnelle de par la situation des éléments
porter l’analyse (figure 2). de l’installation dans la chaîne de fonctionnement de cette der-
nière.
Nous utiliserons une association des deux dernières en répon-
1.1 Décomposition du système étudié dant à trois conditions :
et des systèmes environnement — les sous-systèmes répondent aux cinq critères d’un système
(structure, fonction, finalité, évolution et environnement selon le
et opérateurs en sous-systèmes modèle canonique de Le Moigne [1]) ;
— chacun doit être homogène ;
La décomposition du système étudié (ici, le système de dépo- — leur nombre doit être le plus limité possible, en tout cas infé-
tage) en sous-systèmes n’est pas obligatoire. Il existe des installa- rieur ou égal à 12.

Lotissement Lotissement

30 m
Voie ferrée 45 m

Dépotage
120 m

Ateliers

250 m

Parking

90 m

70 m Bâtiment administratif

30 m

Route 20 m
10 m
250 m 300 m

Rivière

Figure 1 – L’installation étudiée

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

______________________________________________________________________________________________________________________________ MOSAR

Soupape

Sphère

Systèmes de Bras mobile


connexion Tuyau souple

Opérateur
Wagon Canalisations fixes

Pompe Vanne trois voies pour


prélèvement contrôle qualité

Figure 2 – Le système étudié

Dans le cas de l’installation de dépotage de propane, ceci


conduit à cinq sous-systèmes (figure 3) : 2. Le module A de la méthode
— SS1 - la sphère et ses équipements ; et ses cinq étapes
— SS2 - les tuyauteries de remplissage et d’équilibrage ;
— SS3 - le wagon et ses équipements ; Le lecteur consultera la figure 2 de l’article [SE 4 060].

— SS4 - le bras mobile ;


— SS5 - la pompe.
2.1 Identification des sources de danger
Pour ce qui concerne l’environnement on considère que celui-ci 2.1.1 Identification des sources de danger de
est constitué d’un ensemble d’environnements emboîtés [environ- chaque sous-système du système dépotage
nement spécifique directement lié à l’installation, environnement
proche (ville, campagne), environnement lointain (département, Il s’agit d’identifier en quoi chaque sous-système peut être
régional)]. source de danger.
Pour effectuer ce travail, on lit chaque sous-système à travers la
On ne prend en compte, dans l’exemple, que l’environnement grille de typologie des systèmes sources de danger décrite au
spécifique que l’on appellera pour simplifier, sous-système envi- § 2.2, encadré 1 de l’article [SE 4 060].
ronnement. On remplit la première colonne du tableau A (figure 4).
Il en est de même pour les opérateurs. Ils sont constitués en En faisant cette identification pour tous les sous-systèmes, on
équipes, structures hiérarchiques (services, départements...). Dans obtient donc une liste exhaustive des dangers de l’installation
l’exemple, pour simplifier aussi, et d’une manière générale dans la dépotage.
méthode d’analyse, on ne modélisera dans un premier temps, La colonne phases de vie permet de préciser certains dangers.
d’une manière globale, qu’un opérateur que l’on appellera : Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la
sous-système opérateur. phase d’exploitation normale, il n’y a pas de danger de manuten-
tion. En revanche, dans les phases montage et entretien il apparaît
Dans l’exemple, en ajoutant le sous-système opérateur et le un danger de manutention avec les organes tels que les vannes et
sous-système environnement (figure 3), on arrive pour le contexte la soupape.
au total à sept sous-systèmes, dont on étudie d’abord l’interaction
des cinq qui constituent le système dangereux (système étudié) et Il est donc possible de faire l’analyse soit phase par phase, soit
à partir du résultat obtenu dont on étudiera l’interaction avec les en cherchant à identifier les principaux dangers apparaissant dans
deux autres sous-systèmes. les différentes phases.

Remarque : Deux phrases mnémotechniques pour s’aider à


On pourrait aussi étudier les interactions des éléments qui trouver des réponses dans la recherche des processus de danger
composent les sous-systèmes environnement et opérateurs et et stimuler son imagination :
faire apparaître ainsi les interférences internes à ces systèmes — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple,
avant d’étudier les interférences avec les autres sous-systèmes. il y a du courant électrique et il pourrait ne pas y en avoir ;
C’est une approche complémentaire qui n’est pas développée — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile.
dans ce document. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 3

VQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR ______________________________________________________________________________________________________________________________

SS1 Sphère est ses SS2 tuyauteries d'équilibrage


équipements et de remplissage

SS5 Wagon et ses SS4 Bras SS3


SS6 sous-système
équipements mobile Pompe opérateur

Système analysé

Route

Parking
CONTEXE

Lotissement

Ateliers

Bâtiments administratifs

Voie ferrée

Rivière

SS7 Sous-système
environnement
SS : Sous-système

Figure 3 – La décomposition du contexte en sept sous-systèmes

2.1.2 Identification des processus de danger comme tel. Il nous aide à faire apparaître des événements et leurs
enchaînements pouvant avoir des effets non souhaités sur des
Ce travail se fait ligne par ligne en recherchant les événements cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient
qui constituent les processus de danger. On utilise le tableau A à l’analyste de se servir des identifications d’événements pour
(figure 4) en commençant par la colonne des événements initiaux. construire des chaînes plus ou moins longues d’enchaînements.
Ces derniers peuvent provenir soit du contenant, c’est-à-dire de
l’enveloppe du système source, soit de son contenu. Exemple : l’événement surpression apparaît à deux endroits diffé-
On recherche ensuite les événements initiateurs qui peuvent rents dans la recherche des processus de danger liés à la pression :
engendrer les événements initiaux et on les note dans la colonne — c’est un événement initiateur interne d’une rupture ou d’une fis-
correspondante du tableau A. Ces événements peuvent être d’ori- sure de l’enveloppe ;
gine interne ou externe au système source de danger. Dans ce — c’est un événement initial interne dont l’événement initiateur
dernier cas ils sont générés par les champs. interne est un dysfonctionnement de soupape et l’événement initia-
La chaîne événements initiateurs – événements initiaux génère teur externe un flux thermique. La chaîne complète devient :
des événements principaux que l’on note dans la dernière colonne
à droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture

2.1.3 Remarques
&
Dysfonctionnement de soupape

Cette technique nous donne un outil de génération d’un Dans l’identification des événements principaux, il faut prendre
ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser garde à ne pas noter des interférences avec les autres sous-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

______________________________________________________________________________________________________________________________ MOSAR

Phases de vie : Influence des champs : Événements renforçateurs :


Conception CO Conditions météo Sources d'allumage
Montage MO Corrosivité de l'air Densité de population
Essais ES Productivité Densité de circulation de trains et de véhicules
Exploitation : EX Réglementation
Entretien EN Maintenance
Dépannage DE Organisation des équipes
Arrêt AR Qualité de formation du personnel
Transformation TR
Démantèlement DEM

Événements initiateurs Événements initiaux


(3) (2)
Types de systèmes
Phases Événements
sources de danger (1)
de vie Externes principaux
Application de la grille Liés Liés
(environnement Internes
au contenant au contenu
actif)
Corrosion
A 1 - sphère Choc
Surpression Rupture Fuite de propane :
et ses EX Corrosion Surpression
Dysfonctionnement Fissure gaz liquide
équipements Flux thermique
soupape
Déformation
Corrosion Rupture
A 2 - support EX Corrosion Effondrement
Surcharge Déformation
Renversement
Erreur de
A 3 - propane Dysfonctionnement
remplissage Débit Sphère trop pleine
vannes, EX de la vanne Blocage
Choc, Givrage trop grand Fuite
soupape Prélèvement
Obstacle
Choc manutention
A 4 - vannes, EN en cours de Déformation
Fuite
soupape MO montage ou de Fissuration
remontage
Diminution
Montée en
A 5 - sphère EX Énergie thermique de résistance BLEVE
température
mécanique
EN Pluie Structure
Accès en hauteur
A 6 - sphère DE Gel glissante
dangereux
EX Maladresse Accès hauteur
EN
A 7 - cuvette Maladresse Circulation à pied
DE Dénivellement
de rétention Fatigue dangereuse
EX
EN
Possibilité
A 8 - équipements DE Maladresse Aspérités
de blessures
EX
B 2 - sphère EX Entrée d'air Explosion Explosion de la sphère
D 3 - propane EX Électricité statique Fuite Fuite enflammée
E 2 - électricité Mauvaise mise Déplacement
EX Électricité statique
statique à la terre propane

Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère

systèmes sinon la génération de scénarios deviendra confuse par 2.2 Identifier les scénarios de danger
la suite.
Ne pas écrire explosion dans l’événement principal du processus Dans les installations industrielles, notamment celles présentant
de danger lié à la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scénarios d’acci-
générée par la fuite rencontre une source d’allumage (dans une cible) dents majeurs sont connus notamment grâce au retour d’expé-
pour qu’il y ait explosion. rience. On en retient généralement six principaux [2] :
De la même manière, ne pas écrire chute de hauteur dans le — incendie ;
processus de danger lié à l’accès en hauteur de la sphère car encore — explosion ;
faut-il qu’un opérateur ait à accéder sur la sphère pour que cela — libération de produits toxiques ;
entraîne sa chute.
— libération de produits inflammables ;
— pollution des sols ;
On ne tient pas compte des barrières de prévention et de pro- — pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intéressant, voire indispensable de pouvoir générer des
nement. En effet, si l’on veut pouvoir juger de la pertinence des scénarios d’accidents possibles [ou plus généralement des scéna-
barrières prévues (projet) ou existantes (diagnostic), il est néces- rios d’événement non souhaité (ENS)] et notamment de faire appa-
saire de faire un point zéro sans barrières. raître les principaux. Ceci permet en effet :

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 5

VS
VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWP

Analyse des risques des systèmes


dynamiques : préliminaires
par Jean-Pierre SIGNORET
Maître ès sciences. Ingénieur fiabiliste Total
Ancien Président de European Safety & Reliability Society (ESRA)
Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF

1. Notion de « Risque »............................................................................... SE 4 070 - 2


2. Démarche générale.................................................................................. — 2
3. Sécurité versus disponibilité (de production).................................. — 2
4. Méthodes et outils................................................................................... — 4
5. Systèmes dynamiques ............................................................................ — 5
Références bibliographiques ......................................................................... — 5

nalyse des risques des systèmes dynamiques : choisi pour ne comporter


A que des mots du langage courant, un tel titre ne devrait générer aucune
ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de
termes font l’objet d’une certaine dérive sémantique qui brouille les propos à
l’insu même des interlocuteurs.
Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse
des risques, mais ce terme restant encore très fortement connoté sécurité, cela
n’aurait pas correspondu complètement à l’esprit de cet article où nous nous
préoccupons aussi d’aspects économiques comme la disponibilité de produc-
tion, par exemple. En effet, défini comme une grandeur à deux dimensions
(probabilité × conséquences), le risque a l’immense avantage d’appréhender,
dans le même concept, des risques de nature complètement différente et, dans
cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus
de méthodes et d’outils fiabilistes développés ces cinquante dernières années
permet de faire face aux divers types de risques rencontrés.
De même, tout système industriel étant peu ou prou « dynamique », l’appel-
lation système dynamique constitue un raccourci pour désigner les méthodes
et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le
comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabi-
liste s’inscrivent en effet dans une démarche d’analyse systématique, systé-
mique et probabiliste mettant en œuvre toute une batterie de méthodes et
d’outils que l’on peut globalement répartir en trois grandes classes :
— méthodes de base pour aborder et dégrossir les problèmes ;
— méthodes statiques pour analyser les systèmes d’un point de vue structurel
(topologique) ;
— méthodes dynamiques pour appréhender les aspects comportementaux.
Cette classification traduit une certaine gradation dans le degré d’expertise
nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent
de plus en plus l’allure de boîtes noires dont les limitations échappent souvent
à ceux qui les utilisent.

Le but de cet article introductif est de discuter rapidement des différentes classes de métho-
des et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des pro-
blèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche
générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs :
— processus de Markov (méthode analytique) [SE 4 071] ;
p。イオエゥッョ@Z@。カイゥャ@RPPU

— réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 070 − 1

VU
VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

Méthode MADS-MOSAR
Pour en favoriser la mise en œuvre

par Olivier GRANDAMAS


Docteur en génie de l’environnement
Directeur d’Asphaleia

1. Problématique ........................................................................................... SE 4 062 - 2


2. Modèle de référence ................................................................................ — 2
3. Mise en œuvre de MADS-MOSAR ........................................................ — 3
4. Mises en œuvre complémentaires ....................................................... — 8
5. Adéquation méthode/problématique .................................................. — 9
6. Autre champs d’application .................................................................. — 9
7. Exemple d’application............................................................................. — 9
8. Avantages et inconvénients .................................................................. — 14
9. Mise en œuvre ........................................................................................... — 15
10. Conclusion.................................................................................................. — 15
Pour en savoir plus ........................................................................................... Doc. SE 4 062

’objectif de cette présentation est d’apporter, en complément des


L articles [SE 4 060] et [SE 4 061] sur la méthode MOSAR, un regard très
« pratique » sur la mise en œuvre de MADS-MOSAR.
Force est de constater à ce jour que, si cette méthode est toujours enseignée,
elle est très peu appliquée. On retient aujourd’hui que ses principes sont bons
mais que sa mise en œuvre est lourde et fastidieuse, qu’elle est réservée à des
experts et que le rapport temps passé sur travail produit est beaucoup trop
important.
L’objectif est donc ici d’inverser cette perception et de convaincre le lecteur
des très nombreux avantages de MADS-MOSAR, en comparaison notamment
avec d’autres méthodologies.
Ce travail est le fruit d’une expérience de près de 20 ans dans la mise en
œuvre de MADS-MOSAR pour analyser les risques de systèmes divers et
variés. Utiliser cette méthodologie comme support pour assurer des presta-
tions dans un bureau d’études oblige à se poser beaucoup de questions et à
trouver obligatoirement des réponses permettant de produire une analyse
conforme aux attentes, notamment réglementaires, tout en étant rentable.
Toute cette expérience et ce travail vont être restitués dans cet article, avec le
souci permanent d’axer la présentation de la méthode sous un aspect
« pratique », indispensable à son appropriation.
Certains y trouveront probablement une rupture avec ce qui est classique-
ment présenté sur MADS-MOSAR, notamment dans les articles précédents.
Une telle rupture semble être le prix de son opérationnalité.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQP

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 062 – 1

VW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

1. Problématique tème industriel. Les responsables de ces systèmes doivent assurer


la protection de leur personnel et de l’environnement, mais doi-
vent également assurer la pérennité de leurs installations et de
MADS-MOSAR est une méthode d’analyse de risques élaborée leur production. Ce sont sur ces fondements que sont nés les
par Pierre Périlhon [1] [2]. plans de continuité d’activité (PCA). Quels sont tous les risques qui
peuvent se produire et in fine entraîner la perte d’exploitation de
L’analyse de risques est « née » au début des années 1960. Le
tout ou partie du système ? Y répondre nécessite la réalisation
besoin d’analyser les risques est parti de la nécessité de fiabiliser
d’une analyse de risques.
des systèmes, militaires à l’origine. On a donc mis en œuvre des
méthodologies pour assurer la sûreté de fonctionnement de La perte d’activité a également des effets domino sur les
systèmes complexes. Ces méthodologies liées à la sûreté de fonc- finances. Il y a donc obligatoirement un lien entre analyse de
tionnement ont été ensuite appliquées à des systèmes plus indus- risques et risques financiers.
triels pour répondre notamment à des exigences réglementaires. Enfin, avec la conjoncture actuelle et son lot de mutations, de
La loi de 1977 sur les installations classées, renforcée par la pre- reclassements, de fermetures de sites, de préretraites, savoir ana-
mière réglementation européenne dite « Seveso » ont poussé les lyser les risques psycho-sociaux entre également dans le spectre
industriels à produire des analyses de risques afin de démontrer de l’analyse de risques sur des systèmes industriels.
qu’ils avaient non seulement identifié les risques liés à l’exploita-
tion de leur système, mais qu’ils avaient également pris toutes les La nécessité de réaliser des analyses de risques ne se limite
dispositions pour en assurer la maîtrise. cependant pas aux risques industriels.
Pour produire ces analyses, les industriels, accompagnés par les Les risques naturels, les risques urbains et leurs interactions
bureaux d’études, ont utilisé les méthodes qu’ils maîtrisaient pour avec les risques industriels nécessitent également de mener à bien
la sûreté de fonctionnement. Par des analyses HAZOP ou AMDEC, des analyses de risques. Pour établir son plan communal de sau-
deux méthodologies issues de la sûreté de fonctionnement, ils ont vegarde, un maire doit avoir au préalable analysé les risques
produit les études de danger réglementairement demandées. auxquels ses administrés peuvent être exposés. Il doit aussi et sur-
Jusqu’à la fin du siècle dernier, 99 % de ces analyses de risques tout avoir pris les mesures de prévention et de protection pour les
étaient produites à partir de ces méthodes. protéger.
Les retours d’expériences ont démontré des lacunes dans ces En conclusion, il n’y a pas aujourd’hui un système industriel,
analyses de risques. Un certain nombre de pré-accidents, voire naturel ou urbain qui échappe à l’analyse de risques.
d’accidents, se sont produits sur des sites à risques. Leur analyse a Compte tenu de ce spectre, il existe presque autant de méthodo-
montré que des scénarios non étudiés dans les analyses de logies que de problématiques.
risques produites se matérialisaient. Un manque d’exhaustivité et
de systématisme était mis en évidence. Ne peut-on pas utiliser une seule et même référence méthodolo-
gique pour analyser les risques de ces différents systèmes avec
Les législateurs ont fait évoluer la réglementation et, pour les
différents objectifs ?
installations classées pour la protection de l’environnement (ICPE),
« Seveso 2 » a vu le jour. Une des évolutions de la réglementation Le modèle de référence de MADS-MOSAR le permet, encore
est de réaliser une analyse de risques systématique d’un site, sans faut-il le démontrer.
se focaliser uniquement sur les potentiels de danger les plus
importants. La notion d’effets domino en est la concrétisation.
Force est de constater que les méthodes utilisées jusqu’ici ne
sont plus pleinement adaptées. Réaliser une HAZOP est faire l’ana- 2. Modèle de référence
lyse de risques d’un procédé. Son application, de par sa logique,
ne permet pas de prendre en compte systématiquement les inte-
Afin de bien situer la méthode MADS-MOSAR, il est nécessaire
ractions de ce procédé avec son environnement. L’HAZOP doit être
de faire le point sur la problématique de la maîtrise des risques.
complétée par une approche plus macroscopique. L’AMDEC, de
par son formalisme ne permet pas une prise en compte systémati- La maîtrise des risques est le corps de connaissances transver-
que des effets domino. C’est à celui qui utilise cette méthodologie sales qui a pour objectif de traiter (identifier, maîtriser, gérer et
de bien identifier les « causes » et les « conséquences » des poten- manager) des événements non souhaités ou indésirés (des dys-
tiels de danger qu’il a identifiés. fonctionnements) issus de la structure, de l’activité, de l’évolution,
On constate dès lors que les analyses de risques réalisées de la finalité ou de l’environnement des systèmes naturels ou arti-
aujourd’hui sont des patchworks de méthodologies différentes ficiels.
dans l’objectif de couvrir l’ensemble des exigences réglementaires. Ces événements provoquent ou sont susceptibles de provoquer
Il faut dire que la réglementation en la matière a des impacts sur des installations et/ou êtres vivants tels que les
considérablement évolué, et qu’aujourd’hui, produire une analyse individus, les populations, les écosystèmes.
de risques en bonne et due forme ne s’invente pas. L’application de cette connaissance au problème des analyses
Cette vision des analyses de risques dans le contexte des instal- de risques nécessite au préalable une réflexion épistémologique
lations classées pour la protection de l’environnement est cepen- afin de dégager un langage unitaire, des concepts transversaux.
dant très restrictive. L’approche systémique propose des principes méthodologiques
L’analyse de risques est donc devenue omniprésente dans nos d’investigation des systèmes naturels et artificiels pour améliorer
problématiques actuelles. leur conception, leur fonctionnement et leur gestion.
Dans le monde industriel et les sites de production, il est Sur la base de la systémique et en particulier du concept de sys-
aujourd’hui nécessaire de réaliser une analyse de risques pour tèmes proposé par J.L. Lemoigne [3], le groupe MADS (Méthode
produire le document unique né de l’évaluation des risques profes- d’analyse du dysfonctionnement des systèmes) a développé un
sionnels conformément au Code du travail (réglementation remise modèle de référence appelé processus qui s’adapte à la probléma-
au goût du jour en novembre 2001). Réaliser une étude ATEX tique de la maîtrise des risques [4] [5].
(atmosphère explosible) nécessite également de réaliser une ana- Pour établir ce modèle, on appelle flux des transactions non
lyse de risques. désirées d’un système avec son environnement et champ, l’envi-
Ces besoins en analyse de risques vont également au-delà des ronnement actif dont les fluctuations produisent des ruptures de
problématiques hygiène, sécurité et environnement de tout sys- stabilité du système.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 062 – 2 est strictement interdite. – © Editions T.I.

VX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

_____________________________________________________________________________________________________________ MÉTHODE MADS-MOSAR

miner la recherche de processus source-flux-cible par simple


Source Cible positionnement des sous-systèmes les uns par rapport aux autres.
Source Effets La méthode MADS-MOSAR n’impose pas de règle de modélisa-
de flux du flux tion. La personne qui réalise l’analyse de risques avec
Flux MADS-MOSAR est libre de modéliser comme bon lui semble.
Cependant, par expérience, il est important de donner quelques
Figure 1 – Modèle de référence conseils.
■ Conseils pratiques
L’origine du flux sera appelée source ; la rupture d’équilibre • La modélisation est réalisée indépendamment de la probléma-
concernant sa forme et/ou son comportement sera nommée tique de risques. On ne se dit pas : « Je ne prends pas en compte
source de flux. La partie influée par le flux sera appelée cible ; sa ce sous-système parce qu’il n’y a pas de risque ». Un tel raison-
rupture d’équilibre sera nommée effet. nement s’avérerait dangereux. Modéliser un sous-système sans lui
Il est à noter que cet effet peut lui-même être source (transfor- associer de source signifie que ce système a bien été étudié et
mant ainsi une cible en une source), ce qui traduit le phénomène qu’il ne comporte pas de source.
d’enchaînement d’événements non désirés que l’on appelle scéna- • La modélisation est indépendante de la problématique analy-
rio. sée. Que je fasse du document unique ou de l’étude de danger, je
Une analyse de risque consiste donc à étudier le processus, dois disposer de la même modélisation.
c’est-à-dire la mise en relation d’une source avec une cible au • Si possible, la modélisation doit reprendre les termes qui
moyen de phénomènes appelés flux dans un environnement actif caractérisent le système étudié et qui sont communément utilisés
appelé champ. par les personnes qui exploitent le système.
Le modèle de référence est présenté figure 1. • Il faut privilégier une modélisation géographique et fonction-
nelle à une modélisation organisationnelle. En effet, une organisa-
tion, cela évolue sans cesse. Si à chaque fois que l’organisation
changeait, il fallait actualiser l’analyse de risques, cette contrainte
3. Mise en œuvre serait rédhibitoire. En revanche, l’organisation peut se greffer à la
modélisation. On peut associer un service, une personne à un
de MADS-MOSAR sous-système modélisé.
• Il faut privilégier une modélisation géographique à une modé-
En appliquant MADS-MOSAR, pour réaliser une analyse de lisation fonctionnelle. Une modélisation géographique est beau-
risques avec ce moteur de référence, il est nécessaire de procéder coup plus parlante. Elle peut être couplée à un plan. Une
étape par étape : modélisation fonctionnelle est à réserver pour des réseaux. On ne
va pas créer un sous-système « Réseau d’air comprimé » dans
1. modélisation du système étudié en le découpant en
chaque local desservi. On va prendre en compte un seul et même
sous-systèmes ;
système.
2. identification des sources ;
• Les sous-systèmes modélisés peuvent être regroupés par fina-
3. association des événements ; lité. On va créer un système « Réseaux » et dans ce sous-système,
4. construction des processus ; créer « Réseau d’air comprimé », « Réseau de vapeur ». Les
mêmes règles peuvent être appliquées aux véhicules, aux engins.
5. construction des scénarios ;
• Quel que soit le système étudié, quelle que soit son échelle, il
6. construction des arbres logiques ;
est conseillé de prendre en compte par défaut trois sous-systèmes,
7. identification des mesures de maîtrise des risques ; indépendamment du système étudié : sous-systèmes « Environne-
8. identification des mesures de pérennité. ment naturel », « Environnement technologique » et « Environne-
ment urbain ». La prise en compte systématique de ces sous-
systèmes garantit l’exhaustivité dans la prise en compte des effets
3.1 Modélisation domino entre le système étudié et son environnement.
• Toujours par souci de simplification, il est préconisé de
La modélisation du système à étudier consiste en une prendre en compte systématiquement un système « Hommes » et
décomposition sous forme de sous-systèmes à partir : de le décomposer en sous-systèmes : « Personnel », « Entreprises
– de représentations du système (descriptions, schémas, plans, extérieurs », « Visiteurs » et « Population ». Une telle décomposi-
etc.) ; tion se justifie pour un système industriel, mais serait différente
– d’une visite du système ; pour un système naturel ou urbain. L’homme est omniprésent
– d’échanges avec les acteurs du système. dans le système étudié et son environnement. Considérer l’homme
comme une source et une cible est un minimum. Malheureuse-
La modélisation du système étudié permet d’atteindre deux ment, si l’on considère l’homme seulement comme une source et
objectifs cruciaux en analyse de risques : l’exhaustivité et l’optimi- une cible, on va obligatoirement le retrouver dans tous les systè-
sation. mes modélisés. On va alors démultiplier l’analyse et considérable-
Le fait de ne pas oublier de sous-systèmes est primordial ; c’est ment l’alourdir en répétant à chaque système des mesures de
le garant de l’exhaustivité. Dans la suite de l’analyse, il va falloir maîtrise des risques pour l’homme qui, finalement s’avèrent géné-
identifier les sources. Cette identification se fera sous-système par riques. Rien n’empêche de décomposer le sous-système «
sous-système, de manière systématique, indépendamment les uns Personnel » en « Personnel administratif » et « Personnel tech-
des autres. Oublier un sous-système, c’est oublier des sources ou nique », ce dernier pouvant encore être décomposé en « Cariste »,
des cibles, c’est donc oublier des scénarios et donc occulter la « Pontier », « Soudeur ». Une telle modélisation s’applique parfai-
mise en œuvre des mesures de maîtrise des risques nécessaires. tement aux objectifs de l’évaluation des risques professionnels.
Quant à l’optimisation, elle est liée au simple fait que des • La modélisation peut s’envisager par étapes. On peut la faire
sous-systèmes physiquement éloignés ne pourront pas être à l’ori- évoluer, non pas dans sa transversalité, ce qui est plus délicat,
gine de flux susceptibles de les impacter. On va donc pouvoir éli- mais dans sa profondeur. On réalise une étude de danger, on

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 062 – 3

VY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

modélise un sous-système « Local transformateur ». Compte tenu


des objectifs de l’analyse, il ne s’avère pas nécessaire de le redé- Tableau 1 – Typologie associée aux sources
composer en sous-systèmes. Les risques identifiés seront liés à Code Type de danger
l’incendie et à la pollution. En revanche, si l’on a pour objectif une
évaluation du risque professionnel ou un plan de continuité d’acti- A.1 Appareils sous pressions
vité, il va être nécessaire de décomposer ce système.
A.2 Éléments sous contraintes mécaniques
A.3 Éléments en mouvement
3.2 Identification des sources
A.4 Éléments nécessitant une manutention
La première étape dans la construction des processus A.5 Systèmes sources d’explosions d’origine
source-flux-cible est bien évidemment l’identification des sources physique autres que A.1
à l’origine potentielle des flux susceptibles d’impacter une cible.
La source est le potentiel de danger susceptible de générer un A.6 Systèmes sources de chute de hauteur
flux pouvant impacter une cible. A.7 Systèmes sources de chute de plain-pied
La méthodologie MADS-MOSAR consiste à identifier toutes les
sources, sous-système par sous-système. A.8 Autres systèmes sources de blessures
Cette identification peut être réalisée de différentes manières : A.9 Systèmes sources de bruit et de vibrations
en groupe de travail, à travers des documents (fiches de données
de sécurité), par retour d’expérience, etc. B.1 Systèmes sources de réactions chimiques
MADS-MOSAR met à la disposition de ses utilisateurs une liste B.2 Systèmes sources d’explosion
de typologie des sources.
B.3 Systèmes sources de toxicité et d’agressivité
La grille de typologie des sources, présentée dans le tableau 1
distingue les systèmes sources de danger d’origine mécanique (A), B.4 Systèmes sources de pollution de l’atmosphère
chimique (B), électrique (C), les systèmes sources de danger et d’odeurs
d’incendie (D), radiologiques (E), les systèmes sources de danger
biologique (F), sources de perte d’activité (G) et les systèmes B.5 Systèmes sources de manque d’oxygène
sources d’origine humaine (H). C.1 Électricité à courant continu ou alternatif
Cette grille a pour premier objectif d’aider dans l’identification
des sources. Pour ce faire, sous-système par sous-système, on par- C.2 Électricité statique
court cette grille en se posant systématiquement les questions C.3 Condensateurs de puissance
suivantes : dans ce sous-système, y a-t-il des éléments sous
pression ? Y a-t-il des éléments sous contraintes mécaniques ? Y D Systèmes sources d’incendie
a-t-il des éléments en mouvement ?
E.1 Systèmes sources radiologiques
Si oui, on associe au sous-système étudié les noms des sources
correspondantes, avec leur typologie : bouteille d’azote – A.1, pou- E.2 UV – IR – Visible
tre du pont-roulant – A.2, chariot élévateur – A.3... On peut identi-
fier plusieurs sources pour un même système. Une source peut E.3 Lasers
porter le même nom mais pas la même typologie. Une bouteille de E.4 Micro-ondes
gaz sous pression présente une source du fait qu’elle soit sous
pression (A.1) mais aussi du fait qu’elle soit source de chute de E.5 Champs magnétiques
hauteur (A.6). On notera alors : bouteille de gaz – A.1 et bouteille F.1 Virus – Bactéries
de gaz – A.6.
Cette typologie a aussi pour objectif de classer les sources et en F.2 Toxines
faciliter ainsi l’exploitation. Il est possible alors de rechercher par G Source de par sa fonction
exemple toutes les sources d’explosion présentes dans un
sous-système donné. H Source d’origine humaine
■ Conseils pratiques
• L’identification des sources ne doit s’envisager qu’une fois la
modélisation terminée. On procède ainsi étape par étape. L’ana- 3.3 Association des événements
lyse n’en sera que plus cohérente et plus efficace.
• Il est plus aisé de regrouper les sous-systèmes par probléma- Une fois les sources identifiées, il faut leur associer des événe-
tique. On va identifier les sources dans tous les réseaux, puis dans ments, conformément au modèle MADS. On distingue (figure 2) :
tous les engins, puis dans tous les véhicules, etc. – l’événement initial (EI) ;
• Au couple source-typologie, il est indispensable d’associer – les événements initiateurs internes (EII) ;
une phase de vie. En effet, on peut retrouver une source qualifiée – les événements initiateurs externes (EIE) ;
par un même nom et par une même typologie, mais identifiée – les événements principaux (EP).
dans une phase de vie du système différente. Par exemple, un L’événement initial (EI) : c’est l’événement redouté lié à la source
chariot élévateur en mouvement (A.3) peut être identifié en (rupture de confinement, incendie, explosion, etc.).
« Exploitation », mais aussi en « Maintenance ». Il est crucial de les
distinguer ainsi car ils ne présenteront pas les mêmes risques ; on Les événements initiateurs internes (EII) : ce sont les événe-
ne mettra pas en œuvre les mêmes mesures de maîtrise des ments internes propres à la source et qui peuvent initier à eux
risques. En conséquence, une source doit être obligatoirement seuls l’occurrence EI (usure, corrosion, dysfonctionnement, etc.).
définie par un nom, une typologie et une phase de vie. Ce conseil Les événements initiateurs externes (EIE) : ce sont les événe-
trouve toute sa raison d’être quand on constate que la réglementa- ments extérieurs à la source de danger et qui peuvent initier à eux
tion sur les ICPE impose de réaliser une analyse de risques dans seuls l’occurrence EI (flux thermique chaud, flux liquide, action
toutes les phases de vie du système. involontaire, etc.).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 062 – 4 est strictement interdite. – © Editions T.I.

WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT

Évaluations qualitative
et quantitative des risques
d’effet domino dans l’industrie

par André LAURENT


Laboratoire réactions et génie des procédés
Université de Lorraine, CNRS, LRGP, ENSIC
1 rue Grandville BP 20451, 54001 Nancy-Cedex, France

1. Revue de quelques accidents impliquant des effets dominos ... SE 4 064 - 2


1.1 Feyzin, France (1966) .................................................................................. — 2
1.2 Mexico, Mexique (1984) ............................................................................. — 2
1.3 Kolontar, Hongrie (2010) ............................................................................ — 3
1.4 Buncefield, UK (2005) ................................................................................. — 3
1.5 Viareggio, Italie (2009) ................................................................................ — 3
1.6 Töhoku – Fukushima, Japon (2011)........................................................... — 3
1.7 Ouragan Sandy, USA (2012) ...................................................................... — 4
2. Retour d’expérience (REX) .................................................................... — 4
3. Définitions de l’effet domino............................................................... — 5
4. Caractéristiques des effets dominos ................................................. — 7
5. Vecteurs d’escalade générés par l’accident primaire ................... — 7
6. Méthodes qualitatives d’analyse des effets dominos................... — 7
6.1 Méthode de Delvosalle [1].......................................................................... — 9
6.2 Méthode MICADO ....................................................................................... — 9
7. Méthode quantitative actuelle ............................................................ — 10
7.1 Données nécessaires .................................................................................. — 10
7.2 Identification des événements primaires.................................................. — 10
7.3 Identification des vecteurs d’escalade ...................................................... — 11
7.4 Identification des cibles potentielles ......................................................... — 12
7.5 Évaluation des fréquences potentielles des scénarios d’effet domino .. — 12
7.6 Estimation des conséquences des scénarios d’effet domino ................. — 14
7.7 Calcul du risque........................................................................................... — 19
8. Conclusion................................................................................................. — 19
9. Glossaire .................................................................................................... — 20
Pour en savoir plus .......................................................................................... Doc. SE 4 064

es directives européennes dites « Seveso II » et « Seveso III », dont les


L transpositions en droit français, qui sont entre autres assurées par les
décrets respectifs n° 99-1220 du 28 décembre 1999, n° 2000-258 du 20 mars
2000, n° 2014-284 et 285 du 3 mars 2014 et les arrêtés respectifs du 10 mai
2000 et du 26 mai 2014, ont introduit des obligations liées à la prise en compte
de l’effet domino dans la prévention des accidents majeurs impliquant des
substances ou des préparations dangereuses présentes dans certaines catégo-
ries d’installations classées pour la protection de l’environnement (ICPE)
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQY

soumises à autorisation. Les directives imposent donc la nécessité d’examiner

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 064 – 1

WQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT

ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________

les conséquences d’un accident sur des installations voisines (concept d’effet
domino), soit par interaction entre les équipements ou installations d’un même
établissement, soit par interaction entre des établissements voisins ou
proches. Il en résulte que le contenu de l’étude de dangers doit contenir une
bonne description et approche des possibles effets dominos.
Cet article rapporte d’abord une revue de quelques accidents impliquant des
effets dominos. Les définitions et caractéristiques d’un effet domino sont
ensuite présentées. Les notions de vecteurs d’escalade et de vecteurs seuils
d’endommagement sont examinées. Deux méthodes qualitatives pratiques
fondées sur les distances d’effet sont décrites. Enfin, une méthode quantitative
d’estimation des risques par effet domino est détaillée étape par étape.

1. Revue de quelques limite de site. Ce terminal distribuait du GPL qu’il recevait de trois
raffineries. Au moment de l’accident, il y avait entre 11 000 et
accidents impliquant 12 000 m3 de GPL stockés sur le site. D’après les résultats des
enquêtes [11] et [12], la chronologie des séquences de l’accident
des effets dominos est la suivante :

■ Perte de confinement et rupture de canalisation


Cette section présente quelques exemples d’accidents passés
impliquant des effets dominos, qu’il est intéressant de décrire Le matin du 18 novembre 1984, alors que le site était vide, il se
brièvement pour identifier la complexité et la variété des phéno- faisait approvisionner par une raffinerie située à 400 km. À envi-
mènes et des effets constatés. Le lecteur intéressé pourra trouver ron 5 h 30, les astreintes de la salle de contrôle ainsi que d’une
dans la littérature ouverte des revues chronologiques très com- station de pompage située à 40 km du site remarquent une chute
plètes des accidents industriels par effets dominos [1] à [9]. de pression. Une canalisation de 200 mm de diamètre et sous
24 bar disposée entre une sphère et une série de cylindres venait
de se rompre. Le personnel se trouvant dans la salle de contrôle a
1.1 Feyzin, France (1966) tenté d’identifier la cause de la chute de pression mais n’a mal-
heureusement pas réussi. La fuite dura cinq à dix minutes.
Le mardi 4 janvier 1966, la sphère de stockage 443 de la raffine-
rie de Feyzin, qui contient 693 m3 de propane liquéfié sous une ■ Explosion de nuage et incendie
pression de 17 bar et à une température de –40 ˚C est l’objet en À 5 h 40, le nuage de gaz s’enflamma au niveau de la torchère
pied de sphère d’une procédure de prélèvement par trois opéra- alors qu’il occupait une surface de 200 m par 150 m avec une hau-
teurs. Lors du prélèvement et à la suite d’une fausse manœuvre teur estimée à 2 m. Le nuage, qui avait vraisemblablement péné-
d’une vanne du dispositif de purge et de son blocage consécutif tré dans les maisons environnantes, causa leur destruction suite à
par givrage, une importante fuite se produit, générant une grande son inflammation. Cette inflammation, suivie d’une explosion du
nappe gazeuse se dirigeant vers l’autoroute A7. L’alerte est don- nuage, généra une forte onde de surpression. Simultanément,
née et malgré l’interdiction à la circulation sur l’autoroute, une plusieurs autres incendies se sont déclenchés (incendies dans
voiture particulière circulant sur une voie départementale encore dix maisons, un feu au niveau du sol et au niveau de la canalisa-
libre à la circulation enflamme la nappe de propane gazeux. Le feu tion rompue).
se propageant, la sphère de stockage 443 est soumise à un feu
intense. Après ouverture en tête du jeu des soupapes de sécurité ■ BLEVE
et allumage instantané du jet, et malgré la mise en place des
moyens de lutte contre l’incendie, une gigantesque explosion À 5 h 45, a eu lieu le premier BLEVE sur l’une des petites
déchire l’air. Quatre autres explosions consécutives se produisent sphères. Environ une minute après, un autre BLEVE est survenu
le matin sur des sphères adjacentes et l’incendie a tendance à se sur une autre petite sphère. Il constitua l’une des explosions les
généraliser, et plusieurs réservoirs de carburants sont en feu. Le plus violentes observées lors de cet accident. L’un de ces deux
bilan humain de la catastrophe de Feyzin est de 18 décès dont BLEVEs a engendré la formation d’une boule de feu d’un diamètre
11 pompiers, 12 brûlés graves et 80 blessés. Cet accident techno- d’environ 300 m ainsi que l’éjection d’un ou de deux réservoirs
logique majeur a été initié par le BLEVE (boiling liquid expanding cylindriques.
vapour explosion) de la sphère 443 de propane [10].
■ Série de BLEVEs
En plus des effets de surpression et de la projection de frag-
1.2 Mexico, Mexique (1984) ments causés par les deux premiers BLEVEs, la boule de feu géné-
rée enflamma la nappe au sol de gouttelettes de GPL, ce qui
Le terminal PEMEX GPL situé à San Juan Ixhuatepec (Mexico) provoqua des effets thermiques. La combinaison de ces trois
au Mexique comptait six sphères de GPL (quatre sphères avec un effets physiques généra dans un intervalle de temps d’environ
volume unitaire de 1 600 m3, et deux sphères de 2 400 m3 cha- une heure et demie une série de BLEVEs (environ quinze explo-
cune) et quarante-huit réservoirs cylindriques horizontaux de sions au total).
diverses capacités (36 à 270 m3). Le site, créé en 1961, a été
agrandi avec de nouvelles constructions. En 1984, le site, dont la En résumé, la séquence domino a donc été : explosion de
densité d’implantation était très importante avec des distances nuage – feux – BLEVEs – feux et BLEVEs. Le bilan officiel, difficile
entre les réservoirs trop faibles, se trouvait quasiment en proche à établir, de cette catastrophe industrielle a été estimé à
zone urbaine, puisque certaines maisons étaient à 130 m de la 600 morts, 7 000 blessés et 39 000 personnes évacuées.

SE 4 064 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT

_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE

1.3 Kolontar, Hongrie (2010) ■ Incendie


Juste après l’explosion principale, un incendie s’est déclenché
L’usine de production d’aluminium est située au Sud-Ouest de et a embrasé vingt et un grands réservoirs.
Budapest à proximité de la ville d’Ajka. Le site déverse les boues
rouges, déchets résultant du processus Bayer de traitement de la ■ Explosions secondaires
bauxite, dans des bassins de décantation construits à l’ouest de
Enfin, à 6 h 27 et 6 h 28, deux explosions subséquentes se sont
l’usine dans la vallée de la rivière Torna. Le réservoir, dans lequel
produites.
a eu lieu l’accident, a une capacité de 4 500 000 m3 et sa base
occupe 19 hectares. Les murs de son enceinte sont hauts de 21 à Au regard de l’importance (violence) de l’accident, le bilan
25 m et larges de 10 m à leur sommet. humain est miraculeux. En effet, les dommages humains auraient
pu être dramatiques, car la zone industrielle est habituellement
Le 4 octobre 2010 vers 12 h, une fissure d’environ 150 m de très fréquentée. Cependant, le jour et l’heure de l’accident (un
long apparaît sur le mur d’enceinte du bassin de rétention que dimanche très tôt le matin), peu de personnes se trouvaient à
constitue le réservoir. L’effluent de boues rouges résultant, conte- proximité. De ce fait, le bilan humain a été limité à 43 blessés,
nant de l’hydroxyde de sodium, des résidus d’aluminium, de dont un gravement. En ce qui concerne les conséquences environ-
l’oxyde de fer, d’autres composés métalliques et de métaux lourds nementales, la nappe phréatique sous le site et à plus de 2 km au
toxiques, inonde immédiatement en aval la ville de Kolontar, puis Nord, à l’Est et au Sud-Est a été polluée par les hydrocarbures et
celle de Devecser, d’autres villes et des zones agricoles et de res- les eaux d’extinction. Le coût total engendré par l’accident a été
sources naturelles. La rivière Torna et sa vallée sont contaminées estimé à environ 1 000 000 000 £.
par plus d’un million de mètre cube de boues rouges alcalines. Le
panache de pollution atteint à 18 h le jour même la rivière Marcal,
alors en phase de décrue suite à une récente inondation, ce qui
ralentit le transport de la pollution. Le 5 octobre au matin, la Hon- 1.5 Viareggio, Italie (2009)
grie envoie un message d’alerte à tous les pays du bassin du
Danube et l’état d’urgence est déclaré. De nombreuses mesures Le lundi 29 juin 2009 à 23 h 48, un train de fret, comportant qua-
d’atténuation des dommages potentiels sont mises en œuvre torze wagons-citernes contenant 630 tonnes de GPL, déraille à
(épandage massif de gypse, mise en place de barrages artificiels, 1 km en amont de la gare de Viareggio, une ville côtière de
neutralisation à l’acide acétique des eaux polluées…). Les consé- 60 000 habitants située au Nord-Ouest de Pise, en Toscane. Le
quences ont été considérables. L’inventaire a dénombré 10 morts, train circulait alors à une vitesse de 90 km.h−1, inférieure à la
286 blessés (dont 121 hospitalisés), 365 maisons polluées par les vitesse limite autorisée de 100 km.h−1. Le déraillement a été pro-
boues rouges (dont 284 irrécupérables et à détruire), un millier voqué par la rupture de l’essieu avant du premier wagon. Celui-ci
d’hectares de sol contaminé (dont 400 hectares de terre agricole) s’est détaché de la locomotive, puis s’est renversé sur la voie en
et des écosystèmes gravement touchés [13]. entraînant le déraillement consécutif de huit autres wagons. Une
fissure de l’enveloppe du wagon citerne renversé a provoqué une
ouverture de forme trapézoïdale orientée vers le sol d’une surface
d’environ 90 à 220 cm2. Le déversement complet du contenu GPL
1.4 Buncefield, UK (2005) du wagon citerne génère la formation d’un nuage dense inflam-
mable, qui enveloppe progressivement l’environnement urbain,
Le dépôt terminal pétrolier de Buncefield est situé à environ en particulier le rez-de-chaussée des habitations proches. Une
4 km du centre-ville d’Hemel Hempstead (40 km au Nord de ignition de nature indéterminée entraîne l’inflammation du nuage
Londres). Il hébergeait trois entreprises qui stockaient habituelle- suivi d’un flash fire. Le bilan des conséquences de l’accident est
ment jusqu’à 150 000 tonnes de carburants (essence, gasoil, kéro- lourd avec 31 décès, 40 blessés graves et 32 000 000 € de dom-
sène). Ce dépôt alimentait notamment en kérosène, via un mages d’infrastructures matérielles. Les détails de l’analyse post-
oléoduc, les aéroports londoniens de Luton et d’Heathrow. Selon accidentelle sont accessibles dans les références [16] à [18].
les rapports Barpi [14] et Newton [15], le déroulement des
séquences accidentelles peut être résumé comme suit :

■ Perte de confinement initial due à un sur-remplissage 1.6 Töhoku – Fukushima, Japon (2011)
Le samedi 10 décembre 2005, à partir de 19 h, le bac 912 situé Le vendredi 11 mars 2011, à 14 h 46 heure locale, un séisme de
au niveau de la rétention A de l’entreprise ouest 1, est approvi- magnitude 9,0 s’est produit à 80 km à l’Est de l’île d’Honshu au
sionné en essence sans plomb à un débit de 550 m3/h. Le Japon à environ 25 km de profondeur. Ce séisme a généré un tsu-
dimanche 11 décembre 2005 à 5 h 20, le bac 912 commence à nami de grande ampleur, qui a fortement impacté l’ensemble de
déborder, car les deux systèmes automatiques de détection de la côte Est de la région de Tohoku au Nord de l’île d’Honshu. Le
niveau n’ont pas fonctionné. Un nuage explosif (mélange air-car- tsunami a pénétré dans les terres sur près de 5 km ; localement
burant) se forme alors. À 5 h 38, le nuage, qui s’est formé au pied l’eau est montée de plus de 20 m.
du bac 912, est visible sur les enregistrements vidéo, qui montrent
qu’il a atteint 1 m d’épaisseur, puis 2 m à 5 h 46. Le nuage explosif Plusieurs centrales nucléaires se situent sur la façade orientale
formé s’est répandu sur le site sur une surface de 80 000 m2, puis de l’île d’Honshu, dont celle de Fukushima Daïchi. L’ASN – IRSN
à 5 h 50 le nuage se propagea hors du site. [19] a décrit pour cette centrale, exploitée par TEPCO, le déroule-
ment de l’accident, classé au niveau 7 de l’échelle INES par l’auto-
■ Première explosion rité de sûreté japonaise. La perception du séisme a entraîné
immédiatement l’arrêt automatique des trois réacteurs en fonc-
À 6 h 01, la surface au sol du nuage explosif a été réestimée à
tionnement à pleine puissance, les trois autres réacteurs étant à
environ 120 000 m2 avec une hauteur de 2 m. Le dimanche
l’arrêt pour maintenance.
11 décembre 2005 à 6 h 01, la première et principale explosion se
produit au niveau des parkings de Fuji et Northgate. L’onde de Le tremblement de terre a entraîné :
suppression provoquée par l’explosion fut extrêmement élevée
• la perte des alimentations électriques externes au site des
(entre 700 et 1 000 mbar), par rapport à ce que peut prévoir la
réacteurs ;
modélisation du phénomène dangereux UVCE dans ces condi-
tions. L’hypothèse d’une accélération du front de flamme par les • le démarrage automatique des groupes électrogènes à
turbulences créées au passage au niveau de la végétation des moteur diesel internes au site pour maintenir le fonctionne-
allées (arbres) permettrait d’expliquer cette surpression élevée. ment des pompes de refroidissement ;

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 064 – 3

WS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT

ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________

• l’arrêt automatique des réacteurs par insertion des grappes un risque d’explosion en cas d’inondation. Le métro est inondé
de commande dans les cœurs étouffant la réaction de fission sous l’effet conjugué de la houle et de la marée. Le bilan humain
par absorption des neutrons ; pour la seule ville de New York est de 72 décès. Globalement,
• l’arrivée cinquante minutes plus tard de la vague de tsunami plus de 305 000 habitations ont été endommagées ou détruites
de 14 m de hauteur. dans l’état de New York et près de 6 000 000 d’Américains de la
côte Est des USA ont été affectés par les différentes coupures, et
La vague du tsunami a eu pour conséquences : surtout l’importance des dommages provoquées par la catas-
• l’endommagement des prises d’eau en mer conduisant à la trophe.
perte de la source froide nécessaire pour évacuer en perma-
nence toute la chaleur produite par les réacteurs ; Les quelques exemples sélectionnés d’accidents par effet
domino de cette revue montrent la diversité des cascades d’évé-
• la perte des diesels de secours de deux des réacteurs. nements, la spécificité des chemins de propagation, la nature
La perte successive et progressive des moyens de refroidisse- variée des facteurs d’aggravation et surtout l’importance des
ment de secours a entraîné un échauffement du combustible, dommages constatés.
dont l’emballement de température a provoqué la décomposi-
tion de l’eau au contact des gaines en zirconium, puis leur écla-
tement, leur fusion et la liquéfaction du combustible avec
production d’hydrogène et relâchement de produits radioactifs.
Malgré la pratique difficile de dépressurisations volontaires, une 2. Retour d’expérience (REX)
accumulation d’hydrogène a provoqué plusieurs explosions et
incendies, qui ont endommagé les bâtiments des réacteurs. Le
bilan de cet accident a entre autres conduit à la fusion partielle L’analyse statistique des accidents passés permet de recenser
des trois cœurs des réacteurs et au percement de la cuve de l’un les séquences accidentelles les plus fréquentes et les types de
d’eux. phénomènes dangereux les plus susceptibles d’initier un effet
Les rejets radioactifs atmosphériques ont conduit les autorités domino. Plusieurs articles ont été compilés à ce sujet dans la litté-
japonaises à évacuer, quelques heures après le début de la rature [2], [3], [5] à [8], [22] à [24]. En raison de sa plus grande
catastrophe, 80 000 personnes dans une zone de 20 km autour représentativité, il est proposé d’examiner essentiellement les
de la centrale, à mettre à l’abri la population située dans la zone résultats de l’article d’Hemmatian [8].
de 20 à 30 km de rayon, puis d’étendre l’évacuation de la popu-
La figure 1 présente la répartition en pourcentage des causes
lation de la zone entre 20 et 40 km en raison de la contamina-
générales, selon la nomenclature de la base de données MHIDAS,
tion des sols.
ayant généré des accidents par effet domino pour un échantillon
La gestion d’importants volumes de rejets d’effluents liquides de 330 accidents.
radioactifs n’a pas permis d’éviter rapidement la saturation des
capacités d’entreposage du site, entraînant le déversement en mer L’examen de la figure 1 montre que les défaillances méca-
avant l’installation de nouveaux réservoirs supplémentaires. niques, les événements externes et les facteurs humains consti-
Un panorama complet des principaux accidents, consécutifs au tuent les causes générales principales. Chacune des causes
séisme et au tsunami, classés par secteurs industriels a été publié générales résulte de la contribution de différentes causes spéci-
en mars 2013 par le BARPI [20]. fiques détaillées dans l’article [8]. À titre d’exemple, le tableau 1
récapitule les causes spécifiques relatives à la cause générale des
facteurs humains.
1.7 Ouragan Sandy, USA (2012) L’analyse de séquences accidentelles a été réalisée à travers
l’arbre des phénomènes dangereux, où chaque séquence acciden-
Le 22 octobre 2012, une dépression tropicale (1 003 hPa) se
telle (enchaînement d’accidents) est représentée par une branche,
forme au Sud-Ouest de la mer des Caraïbes. Le 23 octobre, cette
son événement initiateur et le nombre d’événements. La fré-
dépression tropicale évolue en une tempête tropicale nommée
quence finale relative de chaque branche a été calculée en divi-
Sandy. Le 24 octobre, la tempête se renforce, Sandy devient un
sant le nombre final d’accidents de chaque niveau par celui du
ouragan, puis le 25 octobre un cyclone avec des vents atteignant
niveau initial. Les résultats sont présentés sur la figure 2, les fré-
au moins 165 km/h et des rafales plus puissantes encore, accom-
quences d’occurrence globales d’une séquence étant données à la
pagnées d’une houle dépassant les 5 à 7 m sur le littoral. Les
fin de la branche.
côtes Nord-Est américaines sont atteintes dans la nuit du 29 au
30 octobre 2012, où l’ouragan provoque de nombreux dégâts.
Il faut remarquer que les accidents initiateurs sont soit des feux,
Plusieurs installations industrielles sont impactées. Le Barpi a soit des explosions. La dispersion de nuage n’est pas représentée
identifié plusieurs de ces conséquences [21]. À Linden, dans le sur la figure 2, car si le nuage s’enflamme, cette dernière est natu-
New Jersey, une fuite de fioul se produit dans une raffinerie dont rellement assimilée à un feu ou une explosion, selon les effets
deux quais sont endommagés. La raffinerie perd son alimenta- thermiques et/ou mécaniques observés. La dispersion de toxiques
tion électrique et son réseau vapeur, la centrale de cogénération y est considérée comme ne causant pas l’endommagement maté-
voisine étant inondée. À Sewaren, dans le New Jersey, deux riel d’un autre équipement.
réservoirs de gazole sont détruits, causant le rejet de 1 135 m3
d’hydrocarbures dans un affluent de la rivière Arthur Kill, où des Cette remarque peut être enrichie par la revue d’autres études
barrages flottants sont mis en place. À Salem, dans le New de cas désastreux, comme ceux rapportés par Kletz [25].
Jersey, un réacteur de la centrale nucléaire est mis à l’arrêt le
30 octobre 2012 à la suite de l’endommagement de quatre des six En complément, depuis les attentats meurtriers du 11 septembre
pompes d’eau de refroidissement. Les dommages aux raffineries 2001 sur les tours jumelles du World Trade Center à Manhattan
et aux installations portuaires couplés à l’arrêt préalable par (New York), le renforcement de la législation antiterroriste a
mesure de précaution entraînent une pénurie de carburant les entraîné la nécessité d’identifier et d’évaluer dans les installations
jours suivants. La ville de New York n’est pas épargnée. L’inonda- industrielles les événements initiateurs de risques dûs à la crimina-
tion provoque l’explosion d’une centrale électrique. La coupure lité, à la malveillance (vol, intrusion), au terrorisme, à la cyber-
consécutive impacte 250 000 abonnés pour plusieurs jours. Le criminalité et aux agressions externes en termes de sûreté
réseau de distribution de vapeur de la ville est arrêté pour éviter industrielle [26].

SE 4 064 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT

_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE

2,5 1,4
3,6
Défaillance mécanique
6,9

Événement externe
28,4

Facteur humain

13,5
Défaillance par impact

Emballement réactionnel

Défaillance instrumentale
19,9

Dérive des conditions procédé


23,7

Défaillance des services

Figure 1 – Répartition en pourcentage des causes générales des accidents par effet domino (adaptée d’après Hemmatian et al. [8])

Plusieurs définitions, notamment en ce qui concerne l’industrie


Tableau 1 – Les causes spécifiques chimique sont récapitulées dans la littérature [3], [24], [27] et
relatives aux facteurs humains [G 4 218]. Toutes ces définitions, qui reposent sur des bases
(adapté d’après Hemmatian et al. [8]) scientifiques et techniques, sont acceptables mais incomplètes.
Le choix d’une définition intégrant à la fois les aspects de pro-
Cause générale Causes spécifiques pagation et d’aggravation des conséquences s’avère donc néces-
saire.
Erreur de maintenance générale
Erreur opératoire
Erreur de sur-remplissage En France, le glossaire utilisé par le ministère gérant les
Erreur de conception Risques technologiques et industriels a retenu la définition
Facteurs humains Erreur de procédure suivante :
(76 accidents) Erreur de gestion L’effet domino résulte de l’action d’un phénomène acciden-
(21,8 %) Erreur de purge tel affectant une ou plusieurs installations d’un établissement
Erreur d’isolement ou de purge avant qui pourrait déclencher un phénomène accidentel sur une ins-
découplage tallation ou un établissement voisin conduisant à une aggra-
Erreur de décharge accidentelle vation générale des conséquences. L’analyse des effets
Erreur de connection ou de déconnection dominos doit donc concerner non seulement des unités d’un
même établissement, mais aussi des établissements entre
eux.

3. Définitions de l’effet La figure 3 illustre un exemple simple de l’application de la défi-


domino nition précédente pour hiérarchiser les effets observés en termes
d’aggravation ou non. Considérons un événement initiateur de
l’installation ou de la capacité A, dont la limite potentielle de la
Le terme « effet domino » est utilisé dans son sens le plus zone d’effet domino est matérialisée par le cercle en trait plein.
simple dans plusieurs domaines pour décrire un événement qui L’installation ou la capacité B présente une zone des effets induite
en cause un autre. L’origine du terme provient du jeu de renverse- par des phénomènes dangereux, qui est incluse dans la zone A
ment des dominos. Basé sur cette analogie, l’effet domino décrit d’effet domino. L’interaction entre A et B représente un effet
un phénomène, habituellement indésirable, qui est à l’origine de domino, qu’il n’est pas nécessaire d’examiner car l’effet résultant
l’occurrence d’autres événements indésirables. Il est aussi com- de B n’entraîne pas une aggravation globale de la situation géné-
munément employé par les politologues et les économistes pour rée par A. En revanche, les phénomènes dangereux générés par
décrire l’impact d’une action qui a la propension de causer ou qui l’installation ou la capacité C induisent une aggravation de la situa-
cause une crise après une autre. tion constatée pour A. L’effet domino de l’événement initiateur
généré par A impactant C doit donc être considéré.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 064 – 5

WU
WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

˜>ÞÃiÊ`iÃÊÀˆÃµÕiÃÊ`iÃÊÃÞÃÌm“iÃÊ
`ޘ>“ˆµÕiÃÊ\Ê>««ÀœV…iʓ>ÀŽœÛˆi˜˜i

«>À i>˜‡*ˆiÀÀi - ", /


>ŠÌÀiÊmÃÊÃVˆi˜Viðʘ}j˜ˆiÕÀÊw>LˆˆÃÌiÊ/œÌ>
˜Vˆi˜ÊۈVi‡«ÀjÈ`i˜ÌÊ`iʏ½˜Ã̈ÌÕÌÊ`iÊ-×ÀiÌjÊ`iÊœ˜V̈œ˜˜i“i˜ÌÊ­-`®
˜Vˆi˜Ê*ÀjÈ`i˜ÌÊ`iÊ ÕÀœ«i>˜Ê->viÌÞÊEÊ,iˆ>LˆˆÌÞÊÃÜVˆ>̈œ˜Ê­ -,®
˜ˆ“>ÌiÕÀÊ`ÕÊ}ÀœÕ«iÊ`iÊÌÀ>Û>ˆÊÊ,iV…iÀV…iʓj̅œ`œœ}ˆµÕiʂÊ`iʏ½`,‡-`

£°
œ˜ÃÌÀÕV̈œ˜Ê}À>«…ˆµÕiÊ`½Õ˜Ê}À>«…iÊ`iÊ>ÀŽœÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°° - Ê{ÊäǣʇÊÓ
Ó° ««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊV>ÃȵÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°£ +ÕiµÕiÃÊ`jw˜ˆÌˆœ˜ÃÊ`iÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°Ó À>«…iÊ`iÊ>ÀŽœÛÊÛiÀÃÕÃÊ«>À>“mÌÀiÃÊV>ÃȵÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p {
Ó°Î +ÕiµÕiÃÊjj“i˜ÌÃÊ̅jœÀˆµÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p x
ΰ ««ÀœV…iʁʓՏ̈jÌ>Ìʂ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
ΰ£ ˜ÌÀœ`ÕV̈œ˜°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
Î°Ó Ýi“«iÃÊ`iÊ}À>«…iÃÊ`iÊ>ÀŽœÛÊ«œÕÀÊ`iÃÊÃÞÃÌm“iÃÊȓ«ið°°°°°°°°°°°°°°° p £Ó
ΰΠ,j`ÕV̈œ˜Ê`iʏ>ÊÌ>ˆiÊ`iÃÊ}À>«…ià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £{
{° *ÀœViÃÃÕÃʓՏ̈«…>Ãià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°£ ˜ÌÀœ`ÕV̈œ˜°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°Ó Ýi“«iÃÊȓ«iÃÊ`iÊÃÞÃÌm“iÃʓՏ̈«…>Ãið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
x° ˆ“ˆÌ>̈œ˜Ã °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°£ />ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ÊVœ˜ÃÌ>˜Ìð°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°Ó ˆ}>˜ÌˆÃ“iÊ`Õʘœ“LÀiÊ`½jÌ>ÌÃÊiÌÊ`ˆvwVՏÌjÃÊ`iÊVœ˜ÃÌÀÕV̈œ˜°°°°°°°°°°°°°°°°°° p ÓÓ
È°
œ˜VÕȜ˜ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
,jvjÀi˜ViÃÊLˆLˆœ}À>«…ˆµÕià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ

 ½>««ÀœV…iÊ “>ÀŽœÛˆi˜˜iÊ iÃÌÊ >Ê `œÞi˜˜i]Ê `œ˜VÊ >Ê «ÕÃÊ Vœ˜˜ÕiÊ iÌÊ >Ê «ÕÃ
ṎˆÃji]Ê`iÃʓj̅œ`iÃʓˆÃiÃÊi˜Ê ÕÛÀiÊ«œÕÀʏiÊÌÀ>ˆÌi“i˜ÌÊ«ÀœL>LˆˆÃÌiÊ`iÃ
ÃÞÃÌm“iÃÊÃiÊVœ“«œÀÌ>˜ÌÊ`ޘ>“ˆµÕi“i˜Ì°
iÊi˜ÌÀiÊ`>˜Ãʏ>ÊV>ÃÃiÊ`iÃʁÊ>««ÀœV…iÃÊ>˜>Þ̈µÕiÃÊ«>ÀÊjÌ>Ìà ‚ÊL>ÃjiÃÊÃÕÀ
½ˆ`i˜ÌˆwV>̈œ˜Ê `iÃÊ `ˆvvjÀi˜ÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌm“iÊ Vœ˜ViÀ˜jÊ «ÕˆÃÊ ÃÕÀÊ ½>˜>ÞÃiÊ `i
½jۜṎœ˜Ê`Õ`ˆÌÊÃÞÃÌm“iÊi˜ÌÀiʏiÃ`ˆÌÃÊjÌ>Ìð
1˜iÊ `iÊ ÃiÃÊ V>À>VÌjÀˆÃ̈µÕiÃÊ >Ê «ÕÃÊ ˆ˜ÌjÀiÃÃ>˜ÌiÊ iÃÌÊ Ã>Ê «œÃÈLˆˆÌjÊ `iÊ Ài«Àj‡
Ãi˜Ì>̈œ˜Ê }À>«…ˆµÕiÊ µÕˆÊ >Õ̜ÀˆÃiÊ Ãœ˜Ê ṎˆÃ>̈œ˜Ê Ã>˜ÃÊ >ۜˆÀÊ Àjii“i˜ÌÊ D
Vœ˜˜>ŠÌÀiʏiÊ`jÌ>ˆÊ`iʏ>ʓ>̅j“>̈µÕiÊÜÕǍ>Vi˜Ìi°Ê
i«i˜`>˜Ì]ÊVœ““iʈÊv>ÕÌ
ÃiÊ}>À`iÀÊ`iʓˆÃiÃÊi˜Ê ÕÛÀiÊ`ÕÊÌÞ«iʁÊLœŠÌiʘœˆÀiʂÊÜÕÛi˜ÌÊÜÕÀViÃÊ`½iÀÀiÕÀÃ
iÌÊ`iÊVœ˜ÌÀiÃi˜Ã]ÊViÊ`œÃÈiÀÊý>ÌÌ>V…iÊDÊ`j}>}iÀ]Êi˜Êˆ>ˆÃœ˜Ê>ÛiVʏiÃÊ«ÀœLm“iÃ
Vœ˜VÀiÌÃÊ Ài˜Vœ˜ÌÀjÃÊ «>ÀÊ iÃÊ >˜>ÞÃÌiÃ]Ê iÃÊ «Àˆ˜Vˆ«iÃÊ iÃÃi˜ÌˆiÃÊ `iÊ ViÌÌi
“>̅j“>̈µÕi°
"ÕÌÀiÊ Ãœ˜Ê ṎˆÃ>̈œ˜Ê VœÕÀ>˜ÌiÊ «œÕÀÊ iÃÊ V>VՏÃÊ `iÊ w>LˆˆÌjÊ iÌÊ `ˆÃ«œ˜ˆLˆˆÌj
V>ÃȵÕiÃ]Ê ViÌÌiÊ >««ÀœV…iÊ ÀiVmiÊ `iÃÊ ÀiÃÜÕÀViÃÊ Lˆi˜Ê ÜÕÛi˜ÌÊ ˆ˜ÃœÕ«Xœ˜˜jiÃ
“k“iÊ`iÊÃiÃÊṎˆÃ>ÌiÕÀÃʏiÃÊ«ÕÃÊ>ÃÈ`ÕðÊ
½iÃÌÊ«œÕÀµÕœˆÊViÊ`œÃÈiÀÊý>««ˆµÕi
DÊ “iÌÌÀiÊ i˜Ê Õ“ˆmÀiÊ iÃÊ V>«>VˆÌjÃÊ `iÊ ViÌÌiÊ >««ÀœV…iÊ DÊ Àj«œ˜`ÀiÊ >ÕÊ ÌÀ>ˆÌi“i˜Ì
`iÃÊ ÃÞÃÌm“iÃÊ «ÀjÃi˜Ì>˜ÌÊ `iÃÊ jÌ>ÌÃÊ `j}À>`jÃÊVœ““iÊ iÃÊ ÃÞÃÌm“iÃÊ `iÊ «Àœ`ÕV‡
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPU

̈œ˜Ê ­ÃÞÃÌm“iÃÊ Ê“Տ̈jÌ>ÌÃʂ®]Ê «>ÀÊ iÝi“«i]Ê œÕÉiÌÊ «ÕÈiÕÀÃÊ «…>ÃiÃÊ `i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vª£

WW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

Ì>ÌÃ

/i“«Ã

ˆ}ÕÀiÊ q *ÀœViÃÃÕÃÊÃ̜V…>Ã̈µÕi

vœ˜V̈œ˜˜i“i˜ÌÊ Vœ““iÊ iÃÊ ÃÞÃÌm“iÃÊ `iÊ ÃjVÕÀˆÌjÊ «jÀˆœ`ˆµÕi“i˜ÌÊ ÌiÃÌjÃÊ ­ÃÞÇ


Ìm“iÃʁʓՏ̈«…>ÃiÃʂ®°
Շ`iDÊ`iʏ½jÛ>Õ>̈œ˜Ê…>LˆÌÕiiÊ`iÃÊ«ÀœL>LˆˆÌjÃÊ`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃÊ`ÕÊÃÞÇ
Ìm“iÊ jÌÕ`ˆj]Ê ViÊ `œÃÈiÀÊ “œ˜ÌÀiÊ Vœ““i˜ÌÊ ½jÛ>Õ>̈œ˜Ê `iÃÊ Ìi“«ÃÊ “œÞi˜ÃÊ `i
ÃjœÕÀÃÊ VՓՏjÃÊ ­/-
®Ê «>ÃÃjÃÊ `>˜ÃÊ iÃÊ `ˆÛiÀÃÊ jÌ>ÌÃÊ œÕÛÀiÊ >Ê ÛœˆiÊ >ÕÊ ÌÀ>ˆÌi‡
“i˜ÌÊ`iÊ̜ÕÌiÊ՘iÊV>ÃÃiÊ`½jÌÕ`iÃʜÀˆi˜ÌjiÊÛiÀÃʏ½jVœ˜œ“ˆiÊ«Õ̞ÌʵÕiÊÛiÀÃʏ>
ÃjVÕÀˆÌjÊiÌÊVœ““i˜Ì]Ê«>ÀÊiÝi“«i]ʏ>ʘœÌˆœ˜Ê`iÊ`ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊÃiÊ«Àœ‡
œ˜}iʘ>ÌÕÀii“i˜ÌÊi˜Ê`ˆÃ«œ˜ˆLˆˆÌjÊ`iÊ«Àœ`ÕV̈œ˜°
ˆi˜ÊµÕiÊÌÀmÃÊyi݈LiÊiÌʫՈÃÃ>˜Ìi]ÊViÌÌiÊ>««ÀœV…iʘ½i˜ÊÜÕvvÀiÊ«>Ãʓœˆ˜ÃÊ`i
µÕiµÕiÃʏˆ“ˆÌ>̈œ˜ÃʵՈʫÀœÛˆi˜˜i˜ÌÊ«Àˆ˜Vˆ«>i“i˜ÌÊ`iʏ½ˆ“«œÃÈLˆˆÌjÊDÊṎˆÃiÀ
`½>ÕÌÀiÃÊ œˆÃÊ µÕiÊ `iÃÊ œˆÃÊ iÝ«œ˜i˜ÌˆiiÃÊ iÌÊ `iÊ ½iÝ«œÃˆœ˜Ê Vœ“Lˆ˜>̜ˆÀiÊ `Õ
˜œ“LÀiÊ `iÃÊ jÌ>ÌÃÊ œÀõÕiÊ iÊ ˜œ“LÀiÊ `iÊ Vœ“«œÃ>˜ÌÃÊ jj“i˜Ì>ˆÀiÃÊ >Õ}“i˜Ìi°

i>ʏˆ“ˆÌiÊÃ>ʓˆÃiÊi˜Ê ÕÛÀiÊÀˆ}œÕÀiÕÃiÊ>ÕÝÊ«ïÌÃÊÃÞÃÌm“iÃ]ʓ>ˆÃʏiÃʓj̅œ‡
`iÃÊ >««ÀœV…jiÃÊ `jVÀˆÌiÃÊ `>˜ÃÊ ViÊ `œÃÈiÀÊ «iÀ“iÌÌi˜ÌÊ `iÊ Ài«œÕÃÃiÀÊ ViÃÊ ˆ“ˆÌiÃ
`>˜ÃÊ՘iÊViÀÌ>ˆ˜iʓiÃÕÀi°
iÊ `œÃÈiÀÊ «ÀjVj`i˜ÌÊQ- Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ Vœ˜Ãˆ`jÀ>̈œ˜ÃÊ «Àjˆ“ˆ˜>ˆÀiÃ
Vœ˜ViÀ˜>˜Ìʏ½>˜>ÞÃiÊ`iÃÊÀˆÃµÕiÃÊ`iÃÊÃÞÃÌm“iÃÊ`ޘ>“ˆµÕiÃÊ`j}>}iʏiÃÊ}À>˜`iÃ
ˆ}˜iÃÊ`iÃÊjj“i˜ÌÃÊDÊ«Ài˜`ÀiÊi˜ÊVœ“«ÌiÊ«œÕÀÊivviVÌÕiÀÊ՘ÊV…œˆÝÊ«iÀ̈˜i˜ÌÊ`i
>ʓj̅œ`iÊDʓiÌÌÀiÊi˜Ê ÕÛÀiÊ«œÕÀÊÀj>ˆÃiÀÊ՘iÊjÌÕ`iÊw>LˆˆÃÌi°Ê œÕÃʘ½ÞÊÀiۈi˜‡
`Àœ˜ÃÊ«>ÃʈVˆÊiÌʘœÕÃÊÃÕ««œÃiÀœ˜ÃʵÕiʏ½>˜>ÞÃiÊ`ÕÊVœ“«œÀÌi“i˜ÌÊ`ÕÊÃÞÃÌm“i
Vœ˜ViÀ˜jÊ>ʍÕÃ̈wjʏ>ʓˆÃiÊi˜Ê ÕÛÀiÊ`½Õ˜iʓœ`jˆÃ>̈œ˜Ê«>ÀÊ«ÀœViÃÃÕÃÊÃ̜V…>Ç
̈µÕiÊ­w}ÕÀiÊ®°
j̅œ`iÊ>˜>Þ̈µÕiÊL>ÃjiÊÃÕÀʏiÃÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>̈µÕji
`>˜ÃÊ ˜œÃÊ Õ˜ˆÛiÀÈÌjÃÊ iÌÊ iÊ LÕÌÊ `iÊ ViÊ `œÃÈiÀÊ iÃÌÊ `iÊ v>ˆÀiÊ >Ê «ÀjÃi˜Ì>̈œ˜Ê `iÊ ÃiÃ
`ˆvvjÀi˜ÌiÃÊV>À>VÌjÀˆÃ̈µÕið

£°
œ˜ÃÌÀÕV̈œ˜Ê}À>«…ˆµÕiÊ
`½Õ˜Ê}À>«…iÊ`iÊ>ÀŽœÛ *£
£ääʯ

ÕÊ «œˆ˜ÌÊ `iÊ ÛÕiÊ `iÊ ½ˆ˜}j˜ˆiÕÀ]Ê ½ˆ˜ÌjÀkÌÊ vœ˜`>“i˜Ì>Ê `i


˜ÌÀji -œÀ̈i
½>««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊiÃÌÊܘÊ>ëiVÌÊ}À>«…ˆµÕiʵՈʫiÀ“iÌÊ`iʏ>
“iÌÌÀiÊ i˜Ê  ÕÛÀiÊ Ã>˜ÃÊ >ۜˆÀÊ Àjii“i˜ÌÊ Li܈˜Ê `½i˜Ê Vœ˜˜>ŠÌÀiÊ i˜ *ÀˆœÀˆÌ>ˆÀi
«Àœvœ˜`iÕÀÊ̜ÕÃʏiÃÊ>ëiVÌÃÊ̅jœÀˆµÕið
£ääʯ
*œÕÀÊ ˆÕÃÌÀiÀÊ Vi>]Ê iÊ «ÕÃÊ Ãˆ“«iÊ iÃÌÊ `iÊ ÀiVœÕÀˆÀÊ DÊ ½iÝi“«i *Ó
V>ÃȵÕiÊQ£R Q™RÊ «ÀjÃi˜ÌjÊ w}ÕÀiÊ£Ê iÌÊ vœÀ“jÊ `iÊ `iÕÝÊ «œ“«iÃÊ *£Ê iÌ
*ÓÊ ˆ˜ÌiÀ`j«i˜`>˜ÌiÃÊ «>ÀÊ iÊ Lˆ>ˆÃÊ `½Õ˜iÊ jµÕˆ«iÊ `iÊ Àj«>À>ÌiÕÀÃÊ Õ˜ˆ‡
µÕiÊ «œÕÀÊ i˜Ê >ÃÃÕÀiÀÊ >Ê “>ˆ˜Ìi˜>˜Vi°Êˆ˜Ãˆ]Ê œÀõÕiÊ *£Ê iÌÊ *ÓÊ Ãœ˜Ì ˆ}ÕÀiÊ£ q
ˆÀVՈÌÊ`iÊ«œ“«>}i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
- Ê{ÊäÇ£ vªÓ ^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ

WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ  9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6

Ã>˜Ãʓj“œˆÀi°Ê
i>ʈ“«ˆµÕiʵսˆÊVœ˜ÛiÀ}iÊ>ÕÊLœÕÌÊ`½Õ˜Ê`j>ˆÊ«ÕÃ
œÕʓœˆ˜Ãʏœ˜}ÊÛiÀÃÊ՘ÊjÌ>ÌÊ`½jµÕˆˆLÀiʈ˜`j«i˜`>˜ÌÊ`iÃÊVœ˜`ˆÌˆœ˜Ã
Î ˆ˜ˆÌˆ>ið
o£ *£ oÓ

Êý>}ˆÌʈVˆÊ`iÃÊV>À>VÌjÀˆÃ̈µÕiÃÊvœ˜`>“i˜Ì>iÃÊ`iÃÊ«ÀœViÃÃÕÃ
`iÊ>ÀŽœÛʅœ“œ}m˜iÃÊ`œ˜ÌʈÊVœ˜Ûˆi˜ÌÊ`iÊLˆi˜ÊÃiÊÜÕÛi˜ˆÀ°
x£ xÓ
*ÓÊ«ÀˆœÀˆÌ>ˆÀi œÀõÕiÊ iÃÊ Ì>ÕÝÊ `iÊ ÌÀ>˜ÃˆÌˆœ˜ÃÊ ˜iÊ Ãœ˜ÌÊ «>ÃÊ Vœ˜ÃÌ>˜ÌÃ]Ê œ˜Ê «>Ài
*£ «œÕÀʏ> Àj«>À>̈œ˜ *£
£ { `iÊ «ÀœViÃÃÕÃÊ Ãi“ˆ‡“>ÀŽœÛˆi˜Ã°Ê œÕÃÊ ˜iÊ iÃÊ >LœÀ`iÀœ˜ÃÊ «>ÃÊ `>˜Ã
*Ó *Ó
ViÊ`œÃÈiÀÊV>ÀʏiÕÀÊÌÀ>ˆÌi“i˜ÌÊ>˜>Þ̈µÕiÊiÃÌÊLi>ÕVœÕ«Ê“œˆ˜ÃÊv>Vˆi
µÕiÊ iÃÊ «ÀœViÃÃÕÃÊ “>ÀŽœÛˆi˜ÃÊ …œ“œ}m˜iÃ°Ê *œÕÀÊ `iÃÊ ÃÞÃÌm“iÃÊ `i

Ì>ˆiÊ ˆ˜`ÕÃÌÀˆii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>À̈VՏˆiÀÃ]Ê ÃiՏiÊ >Ê Ãˆ“Տ>̈œ˜Ê `i
œ˜Ìi‡
>ÀœÊ «iÀ“iÌÊ `iÊ iÃÊ ÌÀ>ˆÌiÀÊ Àjii“i˜Ì°Ê
i>Ê ÃiÀ>Ê `jVÀˆÌÊ i˜
oÓ o£
`jÌ>ˆÊ `>˜ÃÊ iÊ `œÃÈiÀÊ Vœ˜ViÀ˜>˜ÌÊ ½ṎˆÃ>̈œ˜Ê `iÃÊ ÀjÃi>ÕÝÊ `iÊ *iÌÀˆ

Ã̜V…>Ã̈µÕið

Ó
>ÀV…i *>˜˜i

*£] *Ó «œ“«ià i˜ jÌ>ÌÊ`i “>ÀV…i Ó° ««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊ


*£]Ê*Ó «œ“«ià i˜Ê«>˜˜i
V>ÃȵÕi
ˆ}ÕÀiÊÓ q Ýi“«iÊ`iÊ}À>«…iÊ`iÊ>ÀŽœÛ

Ó°£ +ÕiµÕiÃÊ`jw˜ˆÌˆœ˜ÃÊ`iÊL>Ãi
ȓՏÌ>˜j“i˜ÌÊ i˜Ê «>˜˜i]Ê ˆÊ `iۈi˜ÌÊ ˜jViÃÃ>ˆÀiÊ `iÊ `jw˜ˆÀÊ >Ê «œˆÌˆ‡
µÕiÊ`iʓ>ˆ˜Ìi˜>˜ViÊDʓiÌÌÀiÊi˜Ê ÕÛÀiÊiÌ]Ê`>˜ÃÊ՘ʫÀi“ˆiÀÊÌi“«Ã] Û>˜ÌÊ `½>iÀÊ «ÕÃÊ œˆ˜]Ê ˆÊ Vœ˜Ûˆi˜ÌÊ `iÊ À>««iiÀÊ µÕiµÕiÃÊ ˜œÌˆœ˜Ã
˜œÕÃÊVœ˜Ãˆ`jÀiÀœ˜ÃʵÕiÊ*ÓÊiÃÌÊ«ÀˆœÀˆÌ>ˆÀiÊ«œÕÀʏ>ÊÀj«>À>̈œ˜° jj“i˜Ì>ˆÀiÃÊ `ÕÊ `œ“>ˆ˜iÊ `iÊ >Ê Ã×ÀiÌjÊ `iÊ vœ˜V̈œ˜˜i“i˜Ì°Ê iÃ
`iÛÀ>ˆi˜ÌÊ kÌÀiÊ «>Àv>ˆÌi“i˜ÌÊ Vœ˜˜ÕiÃÊ “>ˆÃ]Ê DÊ ½iÝ«jÀˆi˜Vi]Ê œ˜Ê iÃ
>Ê Vœ˜ÃÌÀÕV̈œ˜Ê `ÕÊ }À>«…iÊ `iÊ >ÀŽœÛÊ Ài>̈vÊ DÊ Õ˜Ê ÌiÊ ÃÞÃÌm“i `jVœÕÛÀiÊ՘ʫiÕʜÕLˆjiÃʜÕʓ>Ê>ÃȓˆjiÃÊ«>ÀʏiÃʈ˜}j˜ˆiÕÀÃʵՈ
ýivviVÌÕiÊi˜Ê`iÕÝÊjÌ>«iÃÊ­w}ÕÀiÊÓ®Ê\ iÃÊṎˆÃi˜ÌÊ\
p ˆ`i˜ÌˆvˆV>̈œ˜Ê`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃʵÕiʏiÊÃÞÃÌm“iÊ«iÕÌʜVVÕ«iÀ p vˆ>LˆˆÌjÊ , ­Ì ®Ê\Ê «ÀœL>LˆˆÌjÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀÊ Õ˜
>ÕÊVœÕÀÃÊ`iÊܘÊiÝ«œˆÌ>̈œ˜ ˆ˜ÌiÀÛ>iÊ`iÊÌi“«ÃÊ`œ˜˜jÊQä]ÊÌ RÊiÌÊ`>˜ÃÊ`iÃÊVœ˜`ˆÌˆœ˜ÃÊ`œ˜˜jiÃÊÆ
p `ˆÃ«œ˜ˆLˆˆÌjÊ  ­Ì ®Ê\Ê «ÀœL>LˆˆÌjÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ DÊ Õ˜
U ˆÊÞÊi˜Ê>ʵÕ>ÌÀiÊ`j˜œ““jÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÆ ˆ˜ÃÌ>˜ÌÊ`œ˜˜jÊÌÊiÌÊ`>˜ÃÊ`iÃÊVœ˜`ˆÌˆœ˜ÃÊ`œ˜˜jið
p Vœ˜ÃÌÀÕV̈œ˜Ê`ÕÊ}À>«…iÊ`iÊ>ÀŽœÛÊ«Àœ«Ài“i˜ÌÊ`ˆÌÊ\ Ê ÀjÃՏÌiÊ `iÊ ViÃÊ `jw˜ˆÌˆœ˜ÃÊ µÕiÊ >Ê w>LˆˆÌj]Ê >ÕÊ Ãi˜ÃÊ “>̅j“>̈‡
µÕiÊ `ÕÊ ÌiÀ“i]Ê VœÀÀi뜘`Ê DÊ Õ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ Ã>˜ÃÊ ˆ˜ÌiÀÀի̈œ˜
U Ài«ÀjÃi˜Ì>̈œ˜Ê`iÊV…>V՘Ê`iÃÊjÌ>ÌÃÊ«>ÀÊ՘ÊViÀVi]
ÃÕÀÊ Õ˜iÊ ViÀÌ>ˆ˜iÊ «jÀˆœ`i°Ê >Ê ˜œÌˆœ˜Ê `iÊ w>LˆˆÌjÊ iÃÌÊ `œ˜VÊ ÌÀmÃÊ Ṏi
U Ài«ÀjÃi˜Ì>̈œ˜Ê`iÃÊÌÀ>˜ÃˆÌˆœ˜ÃÊi˜ÌÀiʏiÃÊjÌ>ÌÃÊ«>ÀÊ`iÃÊymV…i𠫜ÕÀÊ ÌÀ>ˆÌiÀÊ `iÃÊ «ÀœLm“iÃÊ ˆjÃÊ DÊ >Ê ÃjVÕÀˆÌj]Ê V>ÀÊ iiÊ Ã½ˆ˜ÌjÀiÃÃiÊ D
½œVVÕÀÀi˜ViÊ `iÊ >Ê «Ài“ˆmÀiÊ «>˜˜iÊ ­œÕÊ «Ài“ˆiÀÊ >VVˆ`i˜Ì®Ê `Õ

…>µÕiÊÌÀ>˜ÃˆÌˆœ˜ÊÃޓLœˆÃiʏ>Êv>Xœ˜Ê`œ˜ÌʏiÊÃÞÃÌm“iÊÃ>ÕÌiÊ`½Õ˜ ÃÞÃÌm“iÊVœ˜ViÀ˜j°
jÌ>ÌÊÛiÀÃÊ՘Ê>ÕÌÀi°

i>Ê ˜œÕÃÊ Vœ˜`ՈÌÊ DÊ ˆ˜ÌÀœ`ՈÀiÊ Õ˜iÊ >ÕÌÀiÊ ˜œÌˆœ˜Ê `iÊ L>ÃiÊ ˆ˜`ˆÃ‡
Ýi“«i \ `iʏ½jÌ>ÌÊ`iʓ>ÀV…iÊ«>Àv>ˆÌÊ £]ʜ˜Ê«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ ÓÊœÕ ÃœVˆ>LiÊ`iÊViiÊ`iÊw>LˆˆÌjÊ\
ÎÊ«>ÀÊ`jv>ˆ>˜ViÊ`iÊ*ÓʜÕÊ*£]Ê`iʏ½jÌ>ÌÊ Óʜ˜Ê«iÕÌÊ>iÀÊ܈ÌÊÛiÀÃʏ½jÌ>Ì
`iÊ«>˜˜iÊ̜Ì>iÊ {Ê«>ÀÊ`jv>ˆ>˜ViÊ`iÊ*£ÊœÕÊÀiÛi˜ˆÀÊDʏ½jÌ>ÌÊ £Ê«>ÀÊÀj«>‡ p //Ê\Ê Ìi“«ÃÊ “œÞi˜Ê >Û>˜ÌÊ >Ê «Ài“ˆmÀiÊ `jv>ˆ>˜ViÊ ­i>˜
À>̈œ˜Ê`iÊ*Ó]Ê°°°]ÊiÌÊw˜>i“i˜ÌÊ`iʏ½jÌ>ÌÊ {ʜ˜Ê«iÕÌÊÀiÛi˜ˆÀÊ՘ˆµÕi“i˜Ì /ˆ“iÊ/œÊ>ˆ ®°
ÛiÀÃÊ ÎÊ«>ÀÊÀj«>À>̈œ˜Ê`iÊ*ÓʵՈÊiÃÌÊ«ÀˆœÀˆÌ>ˆÀiÊ«œÕÀʏ>ÊÀj«>À>̈œ˜° Ê iÃÌÊ DÊ ˜œÌiÀÊ µÕi]Ê «œÕÀÊ Õ˜Ê Vœ“«œÃ>˜ÌÊ jj“i˜Ì>ˆÀiÊ Àj}ˆÊ «>ÀÊ Õ˜i
œˆÊ iÝ«œ˜i˜ÌˆiiÊ `iÊ Ì>ÕÝÊ `iÊ `jv>ˆ>˜ViÊ o]Ê iÊ //Ê iÃÌÊ >œÀÃÊ j}>
ʏ>Êw˜Ê`iÊViÌÊiÝiÀVˆVi]ʜ˜ÊÃiÊÀiÌÀœÕÛiÊi˜Ê«ÀjÃi˜ViÊ`½Õ˜Ê}À>«…i DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>À̈VՏˆiÀ]ÊViÌÌiÊ«Àœ«ÀˆjÌjʘ½iÃÌÊi˜Ê}j˜jÀ>Ê«>Ã
`½jÌ>ÌÃÊ µÕˆÊ “œ`jˆÃiÊ iÊ Vœ“«œÀÌi“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ vœÀ“jÊ `iÊ `iÕÝ ÛÀ>ˆiÊ >ÕÊ ˜ˆÛi>ÕÊ `ÕÊ ÃÞÃÌm“iÊ }œL>]Ê “k“iÊ ÃˆÊ ViÕˆ‡VˆÊ ˜iÊ Vœ“«œÀÌi
«œ“«iÃ°Ê *œÕÀÊ µÕ½ˆÊ Ài«ÀjÃi˜ÌiÊ >ÕÃÃˆÊ iÊ «ÀœViÃÃÕÃÊ `iÊ >ÀŽœÛ µÕiÊ`iÃÊVœ“«œÃ>˜ÌÃÊÀj}ˆÃÊ«>ÀÊ`iÃʏœˆÃÊiÝ«œ˜i˜ÌˆiiÃ°Ê ½>ÕÌÀiÊ«>ÀÌ
>ÃÜVˆj]ʈÊÀiÃÌiÊDÊ«ÀjVˆÃiÀʵÕiiÃÊܘÌʏiÃÊV…>˜ViÃʵÕiÊV…>V՘iÊ`i iÊ //Ê iÃÌÊ Õ˜Ê «>À>“mÌÀiÊ µÕˆÊ «iÕÌÊ kÌÀiÊ iÃ̈“jÊ ÃÌ>̈Ã̈µÕi“i˜ÌÊ D
ViÃÊÌÀ>˜ÃˆÌˆœ˜ÃÊ܈ÌÊÀjii“i˜ÌÊi“«À՘ÌjiÊ>ÕÊVœÕÀÃÊ`iʏ>ÊۈiÊ`ÕÊÃÞÇ «>À̈ÀÊ `iÊ `œ˜˜jiÃÊ œLÃiÀÛjiÃÊ `>˜ÃÊ iÊ “œ˜`iÊ «…ÞȵÕiÊ ­Ài̜ÕÀ
Ìm“i°Ê
i>ÊiÃÌʜLÌi˜ÕÊi˜Ê>vviVÌ>˜ÌÊ`iÃÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ o ˆÊDÊV…>‡ `½iÝ«jÀˆi˜Vi®°Ê Ê «iÀ“iÌÊ `œ˜VÊ `iÊ v>ˆÀiÊ iÊ ˆi˜Ê i˜ÌÀiÊ iÃÊ “>̅j‡
V՘iÊ`½iið “>̈µÕiÃÊiÌʏiʓœ˜`iÊÀji°

>̅j“>̈µÕi“i˜Ì]Ê o ˆ ±Ê`ÌÊ iÃÌÊ >Ê «ÀœL>LˆˆÌjÊ Vœ˜`ˆÌˆœ˜˜iiÊ `i Ê ½œ««œÃjÊ `iÊ >Ê w>LˆˆÌj]Ê >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ Ã½ˆ˜ÌjÀiÃÃiÊ DÊ >Ê «ÀœL>‡
Ã>ÕÌiÀÊ `iÊ ˆÊ ÛiÀÃÊ Ê i˜ÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ œÀõսœ˜Ê iÃÌÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ D LˆˆÌjÊ µÕiÊ iÊ ÃÞÃÌm“iÊ vœ˜V̈œ˜˜iÊ DÊ Õ˜Ê ˆ˜ÃÌ>˜ÌÊ `œ˜˜jÊ Ã>˜ÃÊ ÃiÊ «Àj‡
½ˆ˜ÃÌ>˜ÌÊÌ°Ê >˜ÃʏiÊV>ÃÊÕÃÕi]ʏiÃÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ÊܘÌÊ Vœ˜ÃÌ>˜Ìà œVVÕ«iÀÊ`iÊViʵՈÊýiÃÌÊ«>ÃÃjÊ>Õ«>À>Û>˜Ì°Ê iÊV>À>VÌjÀˆÃiÊ`œ˜VÊ՘
iÌÊVœÀÀi뜘`i˜ÌÊ>ÕÝÊÌ>ÕÝÊ`iÊ`jv>ˆ>˜ViʜÕÊ>ÕÝÊÌ>ÕÝÊ`iÊÀj«>À>̈œ˜ vœ˜V̈œ˜˜i“i˜ÌÊ«œÕÛ>˜ÌÊkÌÀiʈ˜ÌiÀÀœ“«ÕʫՈÃÊÀi«ÀˆÃ°
`iÃÊVœ“«œÃ>˜ÌÃʵՈÊV>ÕÃi˜ÌʏiÃÊV…>˜}i“i˜ÌÃÊ`½jÌ>Ì°Ê/œÕÌiÃʏiÃʏœˆÃ >Ê`ˆÃ«œ˜ˆLˆˆÌjÊ ­Ì ®Ê>ÊÃÕÀ̜ÕÌÊ՘ʈ˜ÌjÀkÌÊ̅jœÀˆµÕiÊiÌ]Êi˜Ê«À>̈µÕi]
`iÊ «ÀœL>LˆˆÌjÃÊ µÕˆÊ Àj}ˆÃÃi˜ÌÊ iÃÊ `ˆÛiÀÃÊ «…j˜œ“m˜iÃÊ «ÀˆÃÊ i˜ V½iÃÌÊ«Õ̞ÌÊDÊÃ>ÊÛ>iÕÀʓœÞi˜˜iʵÕiʏ½œ˜Êýˆ˜ÌjÀiÃÃi°Ê ½œÙʏ½ˆ˜ÌÀœ‡
Vœ“«ÌiÊܘÌÊ`œ˜VÊ`iʘ>ÌÕÀiÊiÝ«œ˜i˜ÌˆiiÊiÌÊ՘ÊÌiÊ«ÀœViÃÃÕÃÊÃ̜‡ `ÕV̈œ˜Ê`iÊ`iÕÝÊ>ÕÌÀiÃÊ`jw˜ˆÌˆœ˜ÃÊ\
V…>Ã̈µÕiÊiÃÌÊ`j˜œ““jÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛʅœ“œ}m˜i° p `ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊ«œÕÀÊ՘iʓˆÃȜ˜Ê ­Ì £ ]ÊÌ Ó®Ê\

œ““i]Ê `>˜ÃÊ ViÊ V>Ã]Ê >Ê «ÀœL>LˆˆÌjÊ `iÊ Ã>ÕÌiÀÊ `iÊ ˆÊ ÛiÀÃÊ Ê ˜i U “œÞi˜˜iÊ`iÊ ­Ì ®ÊÃÕÀʏ½ˆ˜ÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR]
`j«i˜`Ê µÕiÊ `iÊ >Ê «ÀjÃi˜ViÊ `>˜ÃÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ ÌÊ “>ˆÃÊ «>ÃÊ `iÊ > U À>̈œÊÌi“«ÃʓœÞi˜Ê`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÉ­Ì Ó qÊÌ £®]
“>˜ˆmÀiÊ`œ˜Ìʜ˜ÊÞÊiÃÌÊ>ÀÀˆÛjÊi˜ÌÀiÊäÊiÌÊÌ]ʏiÊ`iÛi˜ˆÀÊ`ÕÊÃÞÃÌm“iʘi U «œÕÀVi˜Ì>}iÊ `ÕÊ Ìi“«ÃÊ “œÞi˜Ê `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀ
`j«i˜`Ê µÕiÊ `iÊ Ãœ˜Ê jÌ>ÌÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ Ì°Ê Ê ý>}ˆÌÊ `œ˜VÊ `½Õ˜Ê «ÀœViÃÃÕà QÌ £ ]ÊÌ ÓRÊÆ

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vªÎ

WY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

p `ˆÃ«œ˜ˆLˆˆÌjʏˆ“ˆÌiÊ \
/>Li>ÕÊ£ÊqÊ ˆÃ«œ˜ˆLˆˆÌjÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊ­£®
U Û>iÕÀʏˆ“ˆÌiÊ`iÊ ­Ì ®ÊµÕ>˜`ÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ]
U Û>iÕÀʓœÞi˜˜iÊ`iÊ ­Ì ®ÊÃÕÀÊ՘iÊ`ÕÀjiʈ˜w˜ˆi] Q£ £]Êä ÊqÊäx R£ £]Êä ÊqÊä£
U Û>iÕÀʏˆ“ˆÌiÊ`iÊ ­ä]ÊÌ ®ÊµÕ>˜`ÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ] *>À>“mÌÀiÃ
U Û>iÕÀʏˆ“ˆÌiÊ`ÕÊÀ>̈œÊ“œÞi˜Ê`ÕÊÌi“«ÃÊ`iʓ>ÀV…iÉÌi“«ÃÊ̜Ì>] QÓ x]Êä ÊqÊä{ RÓ {]ÊÓ ÊqÊäÓ
U «œÕÀVi˜Ì>}iÊ`ÕÊÌi“«ÃʓœÞi˜Ê`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÊÃÕÀÊ՘i
`ÕÀjiʈ˜w˜ˆi° /i“«Ã Ì>ÌÃ
­…® £ Ó Î {
ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊiÌÊ`ˆÃ«œ˜ˆLˆˆÌjʏˆ“ˆÌiÊ«œÃÃm`i˜ÌÊ`œ˜VÊ`ˆv‡
vjÀi˜ÌiÃÊ ˆ˜ÌiÀ«ÀjÌ>̈œ˜Ã°Ê Ê v>ÕÌÊ v>ˆÀiÊ Õ˜iÊ “i˜Ìˆœ˜Ê ëjVˆ>iÊ «œÕÀ ä £]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää
ViiÊ VœÀÀi뜘`>˜ÌÊ >ÕÊ À>̈œÊ `ÕÊ Ìi“«ÃÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜Ì
À>««œÀÌjÊ >ÕÊ Ìi“«ÃÊ `½œLÃiÀÛ>̈œ˜Ê V>ÀÊ iiÊ «iÀ“iÌÊ `iÊ Àj>ˆÃiÀÊ `ià Óä ™]ʙÎÓ ÊqÊä£ È]ÊÇÎx ÊqÊäÎ n]Êx™x ÊqÊäx £]Êäää ÊqÊäÈ
iÃ̈“>̈œ˜ÃÊ ÃÌ>̈Ã̈µÕiÃÊ DÊ «>À̈ÀÊ `iÊ `œ˜˜jiÃÊ œLÃiÀÛjiÃÊ `>˜ÃÊ i {ä ™]ʙäÎ ÊqÊä£ ™]ÊȣΠÊqÊäÎ ™]ÊÇxn ÊqÊäx Ó]ÊÓә ÊqÊäÈ
“œ˜`iÊ «…ÞȵÕi°Ê "˜Ê ÀiÌÀœÕÛiÊ >ÕÃÃˆÊ ˆVˆÊ iÊ ˆi˜Ê i˜ÌÀiÊ iÃÊ “>̅j‡
“>̈µÕiÃÊiÌʏiʓœ˜`iÊÀji° Èä ™]Ên™£ ÊqÊä£ £]Êän{ ÊqÊäÓ ™]ʙÎ{ ÊqÊäx Î]ÊäÎn ÊqÊäÈ
iÃÊ «ÀœL>LˆˆÌjÃÊ Vœ“«j“i˜Ì>ˆÀiÃÊ ­Ì ®Ê iÌÊ 1 ­Ì ®Ê `iÊ >Ê w>LˆˆÌjÊ iÌ nä ™]Ênnx ÊqÊä£ £]Ê£ÎÇ ÊqÊäÓ ™]ʙÇÓ ÊqÊäx Î]Ê{™n ÊqÊäÈ
`iÊ >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ Ãœ˜ÌÊ `j˜œ““jiÃÊ Ê`jw>LˆˆÌjÊ‚Ê iÌ £ää ™]ÊnnÎ ÊqÊä£ £]Ê£x™ ÊqÊäÓ ™]ʙnÈ ÊqÊäx Î]ÊÇ{Î ÊqÊäÈ
Êˆ˜`ˆÃ«œ˜ˆLˆˆÌjʂ \
£Óä ™]ÊnnÓ ÊqÊä£ £]ʣș ÊqÊäÓ ™]ʙ™Ó ÊqÊäx Î]Ênș ÊqÊäÈ
p ­Ì ®ÊrÊ£ÊqÊ, ­Ì ®ÊÆ
p 1 ­Ì ®ÊrÊ£ÊqÊ ­Ì ®° £{ä ™]ÊnnÓ ÊqÊä£ £]Ê£ÇÎ ÊqÊäÓ ™]ʙ™È ÊqÊäx Î]ʙΣ ÊqÊäÈ
£Èä ™]Ênn£ ÊqÊä£ £]Ê£Çx ÊqÊäÓ ™]ʙ™Ç ÊqÊäx Î]ʙÈÓ ÊqÊäÈ
£nä ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™n ÊqÊäx Î]ʙÇÇ ÊqÊäÈ
Ó°Ó À>«…iÊ`iÊ>ÀŽœÛÊÛiÀÃÕÃ
Óää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙn{ ÊqÊäÈ
«>À>“mÌÀiÃÊV>ÃȵÕiÃ
Îää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙ™ä ÊqÊäÈ
,iÛi˜œ˜ÃÊ >ÕÊ }À>«…iÊ `iÊ >ÀŽœÛÊ `iÊ >Ê w}ÕÀiÊÓ°Ê œÕÃÊ ˜½>ۜ˜Ã {ää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙ™£ ÊqÊäÈ
i˜VœÀiÊ Àˆi˜Ê `ˆÌÊ ÃÕÀÊ >Ê ˜>ÌÕÀiÊ `iÃÊ jÌ>ÌÃÊ Ài˜Vœ˜ÌÀjÃ°Ê >˜ÃÊ iÊ V>`Ài
V>ÃȵÕi]Ê >Ê «Ài“ˆmÀiÊ jÌ>«iÊ iÃÌÊ `iÊ iÃÊ Àj«>À̈ÀÊ i˜Ê `iÕÝÊ V>ÃÃià ­£® "˜ÊÀ>««iiʵÕiʏ>ʘœÌ>̈œ˜Ê ‡äx]Ê«>ÀÊiÝi“«i]ÊÈ}˜ˆwiÊy £äqx°
`ˆÃ̈˜VÌiÃÊ qÊ >ÀV…iÉ*>˜˜iÊ qÊ >w˜Ê `iÊ «œÕۜˆÀÊ “i˜iÀÊ DÊ Lˆi˜Ê iÃ
V>VՏÃÊ`iÊw>LˆˆÌjÉ`ˆÃ«œ˜ˆLˆˆÌjʜÀ`ˆ˜>ˆÀið

œ““iʏiÃÊ`iÕÝÊ«œ“«iÃÊܘÌÊÀi`œ˜`>˜ÌiÃ]ÊViÌÌiÊÀj«>À̈̈œ˜ÊiÃÌ Ó°Ó°Ó ˆ>LˆˆÌjÊ«ÀjۈȜ˜˜ii
ÌÀmÃÊ Ãˆ“«iÊ\Ê iÃÊ jÌ>ÌÃÊ O £]Ê Ó]Ê ÎPÊ VœÀÀi뜘`i˜ÌÊ >ÕÊ Lœ˜Ê vœ˜V̈œ˜‡
˜i“i˜ÌÊiÌʏ½jÌ>ÌÊO {PÊDʏ>Ê«>˜˜iÊ`ÕÊÃÞÃÌm“i° *ՈõÕiʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÓÊ«iÀ“iÌÊ`½jÛ>ÕiÀʏ>Ê`ˆÃ«œ˜ˆLˆˆÌj
`ÕÊ ÃÞÃÌm“i]Ê Vœ““i˜ÌÊ v>Õ̇ˆÊ iÊ “œ`ˆwiÀÊ «œÕÀÊ œLÌi˜ˆÀÊ Õ˜Ê “œ`mi
«iÀ“iÌÌ>˜ÌÊ`½jÛ>ÕiÀʏ>Êw>LˆˆÌjÊ`Õ`ˆÌÊÃÞÃÌm“iʶ
Ó°Ó°£ ˆÃ«œ˜ˆLˆˆÌjÊ«ÀjۈȜ˜˜ii >Ê Àj«œ˜ÃiÊ ÃiÊ ÌÀœÕÛiÊ `>˜ÃÊ >Ê `jw˜ˆÌˆœ˜Ê “k“iÊ `iÊ >Ê w>LˆˆÌjÊ\Ê ˆ
v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê Vœ˜Ìˆ˜ÕˆÌjÊ `ÕÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ ÃÕÀ
1˜iÊ vœˆÃÊ >Ê `ˆV…œÌœ“ˆiÊ Àj>ˆÃjiÊ i˜ÌÀiÊ iÃÊ jÌ>ÌÃÊ `iÊ “>ÀV…iÊ iÌÊ `i
½ˆ˜ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`œ˜VʘjViÃÃ>ˆÀiÊ`iʓœ`ˆwiÀʏiÊ}À>«…iÊ`iʏ>
«>˜˜i]Ê œ˜Ê «iÕÌÊ ÃiÊ `i“>˜`iÀÊ ViÊ µÕiÊ «iÀ“iÌÊ `iÊ V>VՏiÀÊ ivviV̈‡
w}ÕÀiÊÓÊ`iʓ>˜ˆmÀiʵս>ÕV՘ÊV…i“ˆ˜Ê>LœṎÃÃ>˜ÌÊDʏ½Õ˜ÊœÕʏ½>ÕÌÀi
Ûi“i˜ÌʏiÊ}À>«…iÊ`iÊ>ÀŽœÛÊ`iÃȘjÊ«ÀjVj`i““i˜ÌÊiÌÊÀi«ÀjÃi˜Ìj
`iÃÊjÌ>ÌÃÊ`iʓ>ÀV…iÊ £]Ê ÓʜÕÊ ÎÊDʏ½ˆ˜ÃÌ>˜ÌÊÌʘiÊ܈Ìʍ>“>ˆÃÊ«>ÃÃj
w}ÕÀiÊÓ°
«>ÀÊ ½jÌ>ÌÊ `iÊ «>˜˜iÊ {Ê `>˜ÃÊ ½ˆ˜ÌiÀÛ>iÊ Qä]Ê Ì RÊ œÕ]Ê ViÊ µÕˆÊ Àiۈi˜ÌÊ >Õ
*œÕÀÊ Àj«œ˜`ÀiÊ DÊ ViÌÌiÊ µÕiÃ̈œ˜]Ê ˆÊ ÃÕvwÌÊ `iÊ Ài“>ÀµÕiÀÊ µÕ½Õ˜Ê Ìi “k“i]Êv>ˆÀiÊi˜ÊÜÀÌiʵս>ÕV՘ÊV…i“ˆ˜Ê«>ÃÃ>˜ÌÊ«>Àʏ½jÌ>ÌÊ`iÊ«>˜˜i
}À>«…iÊ Ài«ÀjÃi˜Ìi]Ê `iÊ “>˜ˆmÀiÊ Ãޘ̅j̈µÕi]Ê ÌœÕÃÊ iÃÊ V…i“ˆ˜Ã {ʘiÊÀiۈi˜˜iʍ>“>ˆÃÊÛiÀÃÊ՘Ê`iÃÊjÌ>ÌÃÊ`iʓ>ÀV…iÊ £]Ê ÓʜÕÊ Î°
­ÃjµÕi˜ViÃÊ`½jÛj˜i“i˜ÌîʵÕiʏiÊÃÞÃÌm“iÊ«iÕÌÊi“«À՘ÌiÀÊDÊ«>À̈À
>Ê “œ`ˆwV>̈œ˜Ê `iÊ ˜œÌÀiÊ }À>«…iÊ iÃÌÊ >œÀÃÊ ÌÀmÃÊ Ãˆ“«iÊ DÊ Àj>ˆÃiÀ
`iÊܘÊjÌ>Ìʈ˜ˆÌˆ>Ê`ÕÀ>˜ÌÊܘÊjۜṎœ˜Ê>ÕÊVœÕÀÃÊ`ÕÊÌi“«Ã°
«ÕˆÃµÕ½ˆÊ ÃÕvwÌÊ `iÊ ÃÕ««Àˆ“iÀÊ iÃÊ ÌÀ>˜ÃˆÌˆœ˜ÃÊ `iÊ O {PÊ ÛiÀÃÊ O £]Ê Ó]
1˜Ê ÌiÊ V…i“ˆ˜Ê ÃiÀ>Ê «>ÀÊ iÝi“«iÊ £]Ê Ó]Ê £]Ê Î]Ê {]Ê Ó]Ê £°°°Ê
i ÎP°Ê ˜Ê v>ˆÌ]Ê ˆÊ ˜½ÞÊ i˜Ê >Ê µÕ½Õ˜iÊ ÃiՏiÊ DÊ ÃÕ««Àˆ“iÀÊ `iÊ {Ê ÛiÀÃÊ ÎÊ iÌ
}À>«…iÊ Ài˜viÀ“iÊ `œ˜VÊ `iÃÊ V…i“ˆ˜ÃÊ «iÀ“iÌÌ>˜ÌÊ >ÕÊ ÃÞÃÌm“iÊ `i Vi>ʘœÕÃÊVœ˜`ՈÌÊ>ÕÊ}À>«…iÊ«ÀjÃi˜ÌjÊÃÕÀʏ>Êw}ÕÀiÊΰ
«>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ `iÊ «>˜˜iÊ {Ê «ÕˆÃÊ `iÊ ÀiÛi˜ˆÀÊ `>˜ÃÊ Õ˜Ê jÌ>ÌÊ `i À@ViÊ DÊ ViÌÌiÊ ÌÀ>˜ÃvœÀ“>̈œ˜]Ê * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê Ài«ÀjÃi˜Ìi
“>ÀV…iÊ Ó°Ê Ê `jVÀˆÌÊ `œ˜VÊ iÊ Vœ“«œÀÌi“i˜ÌÊ `½Õ˜Ê ÃÞÃÌm“iÊ µÕˆÊ «iÕÌ “>ˆ˜Ìi˜>˜Ìʏ>Ê«ÀœL>LˆˆÌjÊ`½kÌÀiÊi˜Ê“>ÀV…iÊDʏ½ˆ˜ÃÌ>˜ÌÊÌÊÃ>˜Ãʍ>“>ˆÃ
kÌÀiÊ i˜Ê “>ÀV…iÊ DÊ Õ˜Ê ˆ˜ÃÌ>˜ÌÊ `œ˜˜jÊ i˜Ê >Þ>˜ÌÊ jÌjÊ Õ˜iÊ œÕÊ «ÕÈiÕÀà kÌÀiÊ Ìœ“LjÊ i˜Ê «>˜˜iÊ >Õ«>À>Û>˜Ì]Ê V½iÃ̇D‡`ˆÀiÊ >Ê «ÀœL>LˆˆÌjÊ `½kÌÀi
vœˆÃÊi˜Ê«>˜˜iÊ>Õ«>À>Û>˜Ì°ÊÊý>}ˆÌÊ`œ˜VÊÌÞ«ˆµÕi“i˜ÌÊ`½Õ˜Ê“œ`mi ÀiÃÌjÊ i˜Ê Lœ˜Ê jÌ>ÌÊ `iÊ vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀÊ ÌœÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ œÕ
`iÊ`ˆÃ«œ˜ˆLˆˆÌj° >ÕÌÀi“i˜ÌÊ`ˆÌʏ>Êw>LˆˆÌjÊ`ÕÊÃÞÃÌm“iÊjÌÕ`ˆj°
>Ê`ˆÃ«œ˜ˆLˆˆÌjÊ ­Ì ®Ê`ÕÊÃÞÃÌm“iÊjÌÕ`ˆjÊiÃÌÊ`œ˜VÊj}>iÊDʏ>Ê«Àœ‡ iʓk“iʵÕiÊ«ÀjVj`i““i˜Ì]ʜ˜Ê>Ê`œ˜VÊ\
L>LˆˆÌjÊ`iÊÃiÊÌÀœÕÛiÀÊDʏ½ˆ˜ÃÌ>˜ÌÊÌÊ`>˜Ãʏ½Õ˜ÊœÕʏ½>ÕÌÀiÊ`iÃÊÌÀœˆÃÊjÌ>ÌÃ
`iÊ “>ÀV…iÊ £]Ê ÓÊ œÕÊ ÎÊ iÌÊ Ãœ˜Ê ˆ˜`ˆÃ«œ˜ˆLˆˆÌjÊ 1 ­Ì ®Ê iÃÌÊ j}>iÊ DÊ > p * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê³Ê* { ­Ì ®ÊrÊ£ÊÆ
«ÀœL>LˆˆÌjÊ`iÊÃiÊÌÀœÕÛiÀÊ`>˜Ãʏ½jÌ>ÌÊ`iÊ«>˜˜iÊ {° p , ­Ì ®ÊrÊ* £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®ÊÆ
p ­Ì ®ÊrÊ* { ­Ì ®°
*œÃœ˜ÃÊ* ˆ ­Ì ®ÊrÊ«ÀœL>LˆˆÌjÊ`½kÌÀiÊ`>˜Ãʏ½jÌ>ÌÊ ˆÊDʏ½ˆ˜ÃÌ>˜ÌÊÌ°
­ä®

iÃÊ vœÀ“ՏiÃÊ Vˆ‡`iÃÃÕÃÊ Ãœ˜ÌÊ ˆ`i˜ÌˆµÕiÃÊ DÊ ViiÃÊ «iÀ“iÌÌ>˜ÌÊ `i



œ““iÊ iÊ ÃÞÃÌm“iÊ ˜iÊ «iÕÌÊ «>ÃÊ ÃiÊ ÌÀœÕÛiÀÊ `>˜ÃÊ «ÕÈiÕÀÃÊ jÌ>Ìà V>VՏiÀÊ >Ê `ˆÃ«œ˜ˆLˆˆÌj°Ê
iÊ µÕˆÊ iÃÌÊ `ˆvvjÀi˜Ì]Ê V½iÃÌÊ iÊ }À>«…iÊ µÕˆ
Dʏ>ÊvœˆÃ]ʏiÃÊjÌ>ÌÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊܘÌÊ`ˆÃœˆ˜ÌðʏÊi˜ÊÀjÃՏÌiÊ\ «iÀ“iÌÊ `½jÛ>ÕiÀÊ iÃÊ «ÀœL>LˆˆÌjÃÊ `iÃÊ `ˆvvjÀi˜ÌÃÊ jÌ>ÌðÊ
i«i˜`>˜Ì]
p * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê³Ê* { ­Ì ®ÊrÊ£ÊÆ “>ˆ˜Ìi˜>˜Ì]Ê ˆÊ ˜½iÃÌÊ «ÕÃÊ «œÃÈLiÊ `iÊ ÃœÀ̈ÀÊ `iÊ ½jÌ>ÌÊ {Ê Õ˜iÊ vœˆÃ
p  ­Ì ®ÊrÊ* £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®ÊÆ µÕ½œ˜Ê ÞÊ iÃÌÊ i˜ÌÀjÊ\Ê œ˜Ê `ˆÌÊ µÕiÊ ViÕˆ‡VˆÊ iÃÌÊ `iÛi˜ÕÊ >LÜÀL>˜Ì°Ê
iÌÌi
`ˆvvjÀi˜Vi]Ê µÕˆÊ «iÕÌÊ «>À>ŠÌÀiÊ “ˆ˜ˆ“i]Ê i˜ÌÀ>Š˜iÊ Vi«i˜`>˜ÌÊ Õ˜
p 1 ­Ì ®ÊrÊ* { ­Ì ®°
Vœ“«œÀÌi“i˜ÌÊ ÌÀmÃÊ `ˆvvjÀi˜ÌÊ `ÕÊ «ÀœViÃÃÕÃÊ `iÊ >ÀŽœÛ°Ê
œ““iÊ ˆ
iÊ Ì>Li>ÕÊ£Ê “œ˜ÌÀiÊ ½jۜṎœ˜Ê `iÊ >Ê «ÀœL>LˆˆÌjÊ `iÃÊ `ˆvvjÀi˜Ìà ˜½i݈ÃÌiÊ «ÕÃÊ `iÊ «œÃÈLˆˆÌjÊ `iÊ ÃœÀ̈ÀÊ `iÊ {]Ê ÌœÕÌiÊ >Ê «ÀœL>LˆˆÌjÊ Û>
jÌ>ÌÃÊ`ÕÊÃÞÃÌm“iÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊiÌʏ>Ê«ÀœL>LˆˆÌjÊ`iʏ½jÌ>ÌÊ{ ÃiÊ ÀiÌÀœÕÛiÀÊ Vœ˜Vi˜ÌÀjiÊ `>˜ÃÊ ViÌÊ jÌ>ÌÊ œÀõÕiÊ iÊ Ìi“«ÃÊ Û>Ê Ìi˜`Ài
`œ˜˜iÊ`ˆÀiVÌi“i˜Ìʏ½ˆ˜`ˆÃ«œ˜ˆLˆˆÌjʈ˜ÃÌ>˜Ì>˜jiÊ1 ­Ì ®° ­ä® ÛiÀÃÊ ½ˆ˜w˜ˆ°Ê
i>Ê ˜iÊ v>ˆÌÊ µÕiÊ ÌÀ>`ՈÀiÊ >Ê ViÀ̈ÌÕ`iÊ µÕiÊ iÊ ÃÞÃÌm“i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
- Ê{ÊäÇ£ v { ^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ

XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ  9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6

ViÌÌiÊ«jÀˆœ`i°ÊÊÃÕvwÌÊ`œ˜VÊ`iÊ`ˆÛˆÃiÀÊViÌÌiÊܓ“iÊ«>Àʏ>Ê`ÕÀjiÊ`i
>`ˆÌiÊ«jÀˆœ`iÊ«œÕÀʜLÌi˜ˆÀʏ>Ê`ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊ`ÕÊÃÞÃÌm“iÊi˜
Î µÕiÃ̈œ˜°
o£ *£ oÓ iÊ “k“i]Ê >Ê Ãœ““iÊ `iÃÊ/-
Ê «>ÃÃjÃÊ `>˜ÃÊ iÃÊ jÌ>ÌÃÊ `iÊ «>˜˜i
*Ó qÊ ˆVˆÊ ÃiՏi“i˜ÌÊ {Ê qÊ Vœ˜`ՈÌÊ DÊ ½jÛ>Õ>̈œ˜Ê `iÊ ½ˆ˜`ˆÃ«œ˜ˆLˆˆÌj
“œÞi˜˜iÊ`ÕÊÃÞÃÌm“iÊVœ˜ViÀ˜j°
xÓ -ÕÀʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÎ]ʏ>Êܓ“iÊ`iÃÊ/-
Ê«>ÃÃjÃÊ`>˜ÃʏiÃ
x£ -Õ««ÀiÃȜ˜ jÌ>ÌÃÊ £]Ê ÓÊ iÌÊ ÎÊ VœÀÀi뜘`Ê >ÕÃÃˆÊ DÊ Õ˜iÊ `ÕÀjiÊ “œÞi˜˜iÊ `iÊ Lœ˜
vœ˜V̈œ˜˜i“i˜ÌÊ “>ˆÃ]Ê ˆVˆ]Ê ˆÊ ý>}ˆÌÊ `iÊ >Ê `ÕÀjiÊ “œÞi˜˜iÊ `iÊ Lœ˜
*£ *£ vœ˜V̈œ˜˜i“i˜ÌÊ Ã>˜ÃÊ œLÃiÀÛiÀÊ `iÊ `jv>ˆ>˜ViÊ ÃÕÀÊ >Ê «jÀˆœ`iÊ Qä]Ê Ì R°
£ Ì>ÌÊ>LÜÀL>˜Ì {
*Ó *Ó œÀõÕiÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ]ÊViÌÌiÊ`ÕÀjiʓœÞi˜˜iʘ½iÃÌÊ>ÕÌÀiʵÕiʏi
V>ÃȵÕiÊ//Ê­i>˜Ê/ˆ“iÊ/œÊ>ˆ ®Ê`ÕÊÃÞÃÌm“iÊjÌÕ`ˆj°
xÓ œÀõÕiÊÌʘ½iÃÌÊ«>Ãʈ˜w˜ˆ]ʏ>Ê`ÕÀjiʓœÞi˜˜iÊÃ>˜ÃÊ`jv>ˆ>˜ViÊiÃÌ
՘iÊ >ÕÌÀiÊ “>˜ˆmÀiÊ `½>««Àj…i˜`iÀÊ iÃÊ V…>˜ViÃÊ `½œLÃiÀÛiÀÊ Õ˜i
oÓ o£ `jv>ˆ>˜ViÊÃÕÀʏ>Ê«jÀˆœ`iÊ`½iÝ«œˆÌ>̈œ˜Ê­œÕʏ>Ê«jÀˆœ`iÊ`iÊ}>À>˜Ìˆi®
*£ `ÕÊ ÃÞÃÌm“iÊ Vœ˜ViÀ˜j°Ê iÊ «iÕÌÊ `œ˜VÊ i˜ÌÀiÀÊ `>˜ÃÊ iÃÊ VÀˆÌmÀiÃÊ `i
*Ó Vœ˜Vi«Ìˆœ˜Ê >ÕÊ “k“iÊ ÌˆÌÀiÊ µÕiÊ >Ê w>LˆˆÌj]Ê >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ œÕÊ i
//°
Ó
ˆi˜Êi˜Ìi˜`Õ]ÊVœ““iʈÊiÃÌÊ>LÜÀL>˜Ì]ʏiÊ/-
Ê`iʏ½jÌ>ÌÊ {ÊÌi˜`
>ÀV…iÊVœ˜Ìˆ˜Õi £ÀiÊ«>˜˜i ÛiÀÃʏ½ˆ˜w˜ˆÊœÀõÕiʏ>Ê`ÕÀjiÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ°

ˆ}ÕÀiÊÎ q À>«…iÊ`iÊ>ÀŽœÛÊ«œÕÀʏiÊV>VՏÊ`iʏ>Êw>LˆˆÌj
Ó°Î +ÕiµÕiÃÊjj“i˜ÌÃÊ̅jœÀˆµÕiÃ
1˜iÊvœˆÃʏiÊ}À>«…iÊ`iÊ>ÀŽœÛÊVœ˜ÃÌÀՈÌ]ʈÊiÃÌʘjViÃÃ>ˆÀiÊ`½jÌ>LˆÀ
/>Li>ÕÊÓÊqʈ>LˆˆÌjÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«Ã iÃÊ µÕiµÕiÃÊ vœÀ“ՏiÃÊ Ì…jœÀˆµÕiÃÊ `iÊ L>ÃiÊ «iÀ“iÌÌ>˜ÌÊ `iÊ Àj>ˆÃiÀ
ivviV̈Ûi“i˜ÌÊ iÃÊ V>VՏÃÊ «ÀœL>LˆˆÃÌiÃÊ jۜµÕjÃÊ `>˜ÃÊ iÃÊ «>À>‡
/i“«Ã Ì>ÌÃ
­>˜Ã® }À>«…iÃÊ«ÀjVj`i˜Ìð
£ Ó Î { œÌœ˜ÃÊ`mÃʏiÊ`j«>ÀÌʵÕi]ÊÃ>ÕvÊ«œÕÀÊ`iÊÌÀmÃÊ«ïÌÃÊÃÞÃÌm“iÃ]ʈÊiÃÌ
ä £]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää «>Àv>ˆÌi“i˜ÌÊ ˆÕ܈ÀiÊ `½i˜ÛˆÃ>}iÀÊ `iÊ Vœ˜`ՈÀiÊ iÃÊ V>VՏÃÊ “>˜Õi‡
i“i˜Ì°Ê œÕÃʘiÊ`jVÀˆÀœ˜ÃÊ`œ˜VʈVˆÊµÕiʏiÃÊvœÀ“ՏiÃʓ>̅j“>̈µÕiÃ
xä ™]Ê£n£ ÊqÊä£ £]Ê£ä£ ÊqÊäÓ ™]Ê£Îx ÊqÊäx Ç]Êän£ ÊqÊäÓ
ˆ˜`ˆÃ«i˜Ã>LiÃÊ «œÕÀÊ Vœ“«Ài˜`ÀiÊ >Ê «…ˆœÃœ«…ˆiÊ `iÊ >Ê “j̅œ`iÊ iÌ
£ää n]ÊxΣ ÊqÊä£ £]ÊäÓÎ ÊqÊäÓ n]Ê{nn ÊqÊäx £]ÊÎÈÈ ÊqÊä£ i˜ÊViÀ˜iÀʏiÃÊ>Û>˜Ì>}iÃÊiÌʏiÃʈ˜Vœ˜Ûj˜ˆi˜Ìð
£xä Ç]ʙÓÇ ÊqÊä£ ™]Êx£ä ÊqÊäÎ Ç]ÊnnÇ ÊqÊäx £]ʙÇn ÊqÊä£ *œÕÀÊ iÊ ÌÀ>ˆÌi“i˜ÌÊ `iÊ ÃÞÃÌm“iÃÊ Êˆ˜`ÕÃÌÀˆiÃʂ]Ê iÃÊ V>VՏÃÊ «Àœ‡
«Ài“i˜ÌÊ `ˆÌÃÊ ˜jViÃÈÌi˜ÌÊ >Ê “ˆÃiÊ i˜Ê  ÕÛÀiÊ `iÊ œ}ˆVˆiÃÊ `œ˜ÌÊ ˆ
Óxä È]Ên{{ ÊqÊä£ n]ÊÓ£ä ÊqÊäÎ È]Ên£ä ÊqÊäx Î]ÊäÇ{ ÊqÊä£ i݈ÃÌiÊ Õ˜Ê ViÀÌ>ˆ˜Ê ˜œ“LÀiÊ ÃÕÀÊ iÊ “>ÀV…j°Ê iÃÊ V>À>VÌjÀˆÃ̈µÕiÃ]
{ää x]Ê{™ä ÊqÊä£ È]ÊxnÇ ÊqÊäÎ x]Ê{ÈÎ ÊqÊäx {]Ê{{Î ÊqÊä£ «œÃÈLˆˆÌjÃÊ iÌÊ «iÀvœÀ“>˜ViÃÊ i˜Ê ܘÌÊ `ˆÛiÀÃiÃÊ iÌÊ ˜œÕÃÊ ˜œÕÃ
i“«œˆiÀœ˜Ã]Ê `>˜ÃÊ ViÌÌiÊ «>À̈iÊ Ì…jœÀˆµÕi]Ê DÊ `jVÀˆÀiÊ «ÕÃÊ «>À̈VՏˆm‡
xää {]ÊÇ{ä ÊqÊä£ x]ÊÈnÇ ÊqÊäÎ {]ÊÇ£Ç ÊqÊäx x]ÊÓäÎ ÊqÊä£ Ài“i˜ÌÊ ViÊ µÕˆÊ iÃÌÊ ˆ“«j“i˜ÌjÊ `>˜ÃÊ iÊ œ}ˆVˆiÊQÓRÊ µÕiÊ ˜œÕÃÊ >ۜ˜Ã
Çää Î]ÊxÎÎ ÊqÊä£ {]ÊÓΙ ÊqÊäÎ Î]Êx£È ÊqÊäx È]Ê{Ó{ ÊqÊä£ `jÛiœ««jÊiÌʓ>ˆ˜Ìi˜ÕÊ`i«ÕˆÃʓ>ˆ˜Ìi˜>˜ÌÊ՘iÊۈ˜}Ì>ˆ˜iÊ`½>˜˜jið
£äää Ó]ÊÓÇ{ ÊqÊä£ Ó]ÊÇÓn ÊqÊäÎ Ó]ÊÓÈÎ ÊqÊäx Ç]Êșn ÊqÊä£
Îäää £]ÊÓäx ÊqÊäÓ £]Ê{{x ÊqÊä{ £]Ê£™™ ÊqÊäÈ ™]ÊnÇn ÊqÊä£ Ó°Î°£ œÀ“ՏiÊ`iÊL>Ãi
xäää È]ÊÎn£ ÊqÊä{ Ç]ÊÈxx ÊqÊäÈ È]ÊÎ{™ ÊqÊän ™]ʙ™{ ÊqÊä£ >ÊvœÀ“ՏiÊ`iÊ`j«>ÀÌÊ`iÃÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛÊiÃÌÊÌÀmÃÊȓ«iÊD
`jw˜ˆÀ°Ê iÊ Vœ˜ÃˆÃÌiÊ Ãˆ“«i“i˜ÌÊ DÊ jÌ>LˆÀÊ >Ê «ÀœL>LˆˆÌjÊ * ˆ ­Ì ³Ê`Ì ®
`½kÌÀiÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ Ì ³Ê`ÌÊ i˜Ê vœ˜V̈œ˜Ê `iÃÊ «ÀœL>LˆˆÌjÃ
* Ž ­Ì ®Ê`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃÊ­Ž ®ÊDʏ½ˆ˜ÃÌ>˜ÌÊÌ°
̜“LiÊi˜Ê«>˜˜iÊÃÕÀÊ՘iÊ`ÕÀjiʈ˜w˜ˆi°ÊÊi˜ÊÀjÃՏÌiʵÕiÊ ­Ì ®ÊÌi˜`
ÛiÀÃÊ£ÊiÌÊ, ­Ì ®ÊÛiÀÃÊäʏœÀõÕiʏiÊÌi“«ÃÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ°
iÌÌiÊ «ÀœL>LˆˆÌjÊ ÃiÊ `ˆÛˆÃiÊ i˜Ê `iÕÝÊ «>À̈iÃÊ Vœ“«j“i˜Ì>ˆÀiÃ
­w}ÕÀiÊ{®Ê\
iÊ Ì>Li>ÕÊÓÊ “œ˜ÌÀiÊ ½jۜṎœ˜Ê `iÊ >Ê «ÀœL>LˆˆÌjÊ `iÃÊ `ˆvvjÀi˜ÌÃ
£® œ˜Ê>ÀÀˆÛiÊ`>˜Ãʏ½jÌ>ÌʈÊi˜ÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ
jÌ>ÌÃÊ`ÕÊÃÞÃÌm“iÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊiÌʏ>Ê«ÀœL>LˆˆÌjÊ`iʏ½jÌ>ÌÊ{
Ó® œ˜Ê iÃÌÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ ÌÊ iÌÊ œ˜Ê ˜½i˜Ê ÜÀÌÊ «>ÃÊ i˜ÌÀiÊ ÌÊ iÌ
`œ˜˜iÊ`ˆÀiVÌi“i˜Ìʏ>Ê`jw>LˆˆÌjÊ ­Ì ®°
Ì ³Ê`Ì°
>Ê `iÕ݈m“iÊ «>À̈iÊ jÌ>˜ÌÊ Ãˆ“«i“i˜ÌÊ iÊ Vœ“«j“i˜ÌÊ DÊ £Ê `iÊ >
Ó°Ó°Î /i“«ÃʓœÞi˜ÃÊ`iÊÃjœÕÀÃÊVՓՏjð «ÀœL>LˆˆÌjÊ `iÊ ÃœÀ̈ÀÊ `iÊ ˆ]Ê œ˜Ê >LœṎÌÊ v>Vˆi“i˜ÌÊ DÊ >Ê vœÀ“Տi
ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊiÌÊ// ÃՈÛ>˜ÌiÊ\

ÕÊ VœÕÀÃÊ `iÊ Ãœ˜Ê jۜṎœ˜]Ê iÊ ÃÞÃÌm“iÊ Ã>ÕÌiÊ `½jÌ>ÌÊ i˜Ê jÌ>ÌÊ iÌ
ÃjœÕÀ˜iÊ`>˜ÃÊV…>V՘Ê`½iÕÝÊ«i˜`>˜ÌÊ՘iÊViÀÌ>ˆ˜iÊ`ÕÀji°Ê
œ““iʈ
* ˆ „ Ì ´ `Ì ˆ r ­ *Ž „ Ì ˆ oŽˆ `Ì ´ *ˆ „ Ì ˆ M£ q ­ oˆŽ `Ì N ­£®
Ž|ˆ Ž|ˆ
«iÕÌÊ «>ÃÃiÀÊ «ÕÈiÕÀÃÊ vœˆÃÊ «>ÀÊ iÊ “k“iÊ jÌ>Ì]Ê ˜œÕÃÊ «>ÀiÀœ˜ÃÊ `i
Ìi“«ÃʓœÞi˜ÃÊ`iÊÃjœÕÀÊVՓՏjÃÊ­/-
®Ê>w˜Ê`½jۈÌiÀʏ>ÊVœ˜vÕȜ˜ Ê ˜œÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ˆÌÊ µÕiÊ iÊ ÃÞÃÌm“iÊ ÀiÃÌiÊ `>˜Ã
>ÛiVÊ iÊ Ìi“«ÃÊ “œÞi˜Ê `iÊ ÃjœÕÀÊ ­/-®Ê œLÃiÀÛjÊ DÊ V…>µÕiÊ «>ÃÃ>}i ½jÌ>ÌÊ ˆÊ >Ê jÌjÊ Ài«ÀjÃi˜ÌjÊ «>ÀÊ Õ˜iÊ ÌÀ>˜ÃˆÌˆœ˜Ê LœÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ ˆ°Ê
i
ˆ˜`ˆÛˆ`Õi° }i˜ÀiÊ`iÊLœÕViÊiÃÌʈ“«ˆVˆÌiÊiÌÊ}j˜jÀ>i“i˜Ìʜ“ˆÃÊÃÕÀʏiÃÊ}À>«…iÃ

œ˜Ãˆ`jÀœ˜ÃʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÓ \ʏ>Ê`ÕÀjiʓœÞi˜˜iÊ`iÊLœ˜ `iÊ>ÀŽœÛ°
vœ˜V̈œ˜˜i“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ jÌÕ`ˆjÊ «œÕÀÊ Õ˜iÊ «jÀˆœ`iÊ `œ˜˜ji *œÃœ˜ÃÊ o ˆˆ rÊ o ˆŽÊ «œÕÀÊ Ãˆ“«ˆwiÀÊ >Ê vœÀ“ՏiÊ­£®°Ê o ˆˆÊ Ài«ÀjÃi˜Ìi
VœÀÀi뜘`Ê DÊ >Ê Ãœ““iÊ `iÃÊ Ìi“«ÃÊ “œÞi˜ÃÊ `iÊ ÃjœÕÀÃÊ VՓՏjà `œ˜VÊ iÊ Ì>ÕÝÊ `iÊ ÌÀ>˜ÃˆÌˆœ˜Ê `iÊ ˆÊ ÛiÀÃÊ ˜½ˆ“«œÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `ˆv‡
«>ÃÃjÃÊ`>˜ÃʏiÃÊjÌ>ÌÃÊ`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÊ £]Ê ÓÊiÌÊ ÎÊ«i˜`>˜Ì vjÀi˜ÌÊ­iÌʘœ˜Ê«>ÃʏiÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜Ê`iʈÊÛiÀÃʏՈ‡“k“i®°

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vªx

XQ
XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

Analyse des risques des systèmes


dynamiques : réseaux de Petri
Principes
par Jean-Pierre SIGNORET
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1. Contexte...................................................................................................... SE 4 072 – 2
2. Analytique versus Monte-Carlo ............................................................ – 2
3. Modèles de comportement .................................................................... – 3
4. Simulation de Monte-Carlo.................................................................... – 4
4.1 Principe ......................................................................................................... – 4
4.2 Exemple simple............................................................................................ – 4
4.3 Génération des lois de probabilité ............................................................. – 5
4.4 Précision des résultats................................................................................. – 6
5. Réseaux de Petri ....................................................................................... – 7
5.1 Historique ..................................................................................................... – 7
5.2 Réseaux de Petri – RdP – de base ............................................................... – 7
5.3 Extensions .................................................................................................... – 11
6. RdP versus processus de Markov ........................................................ – 13
7. Réseaux de Petri colorés ........................................................................ – 14
8. Conclusion.................................................................................................. – 14
Pour en savoir plus ........................................................................................... Doc. SE 4 073

algré tout son intérêt, l’approche analytique par processus de Markov (cf.
M dossier [SE 4 070] « Analyse des risques des systèmes dynamiques :
préliminaires ») trouve rapidement des limites lorsque la complexité des sys-
tèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente.
Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche ana-
lytique pour l’approche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste à tirer des nombres au hasard pour animer un modèle repré-
sentant le comportement du système étudié dont l’évolution ainsi simulée sur
un grand nombre d’histoires permet d’évaluer les informations probabilistes –
fiabilité, disponibilité, disponibilité de production, etc. – recherchées.
Une fois franchi le pas de la simulation, reste à sélectionner un modèle de
comportement efficace sur lequel s’exerce cette simulation. Le comportement
des systèmes industriels présentant beaucoup d’analogie avec celui des auto-
mates à états finis – états discrets et dénombrables – l’un d’entre eux s’est
détaché et a été adopté et adapté à ce propos dès la fin des années soixante-
dix : le réseau de Petri (RdP).
p。イオエゥッョ@Z@。カイゥャ@RPPX

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 072 – 1

XS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

C’est la représentation graphique du réseau de Petri qui lui confère ses carac-
téristiques les plus intéressantes : construction maîtrisée de grands modèles
complexes à partir d’un nombre très limité d’éléments, visualisation synthé-
tique du modèle obtenu, animation manuelle pas à pas pour en vérifier le
comportement, etc.
Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier
s’attache à montrer comment les réseaux de Petri constituent un formidable
support de simulation permettant d’appréhender pratiquement tous les pro-
blèmes probabilistes rencontrés dans le domaine industriel.
Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et
approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposés pour présenter de manière progressive la façon d’aborder les
problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant
de se confronter aux situations autrement plus ardues de la disponibilité de
production impliquant une modélisation très détaillée des procédures de main-
tenance et des niveaux de production du système étudié.
Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui
les ont conduits progressivement aux réseaux de Petri à prédicats et asser-
tions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette
approche à absorber les améliorations, aucune remise en question drastique
des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant
d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas
encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont
abordées succinctement à la fin de ce dossier.
Pour un investissement intellectuel somme toute très minime, les réseaux de
Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de
modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure
actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans
l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !

1. Contexte 2. Analytique versus


Même si l’approche markovienne n’est pas démunie d’atouts, et Monte-Carlo
nous l’avons montré précédemment [SE 4 071], il n’en reste pas
moins qu’elle atteint rapidement ses limites lorsqu’il s’agit de s’atta- Avant de se focaliser sur le sujet de ce dossier, il est bon de
quer à des problèmes dont la nature s’écarte des simples calculs de s’attaquer à l’idée reçue, courante par le passé et qui, bien
fiabilité/disponibilité classiques comme c’est le cas lorsque les para- qu’encore propagée par certains sectateurs, tend fort heureuse-
mètres de fiabilité cessent d’être exponentiels ou lorsque la taille du ment à s’estomper que l’approche analytique serait propre alors
système étudié occasionne l’explosion du nombre des états. que la simulation de Monte-Carlo, elle, serait sale.
Dans une telle conjoncture, la situation de l’ingénieur fiabiliste est- Pour les départager, il suffit de constater que les problèmes rencon-
elle désespérée pour autant ? Non, bien sûr, mais il doit se résoudre à trés par les ingénieurs fiabilistes se classent globalement en deux gran-
réaliser le grand saut qualitatif méthodologique lui faisant abandonner des familles, sécurité et disponibilité, dont les objets sont différents :
la douce quiétude du calcul analytique orthodoxe pour les rivages plus
– la sécurité se préoccupe d’événements rares dont l’occurrence
tourmentés des générateurs de nombres aléatoires et des estimations
entraîne des conséquences extrêmement graves et elle est mise en
statistiques connus sous le nom de simulation de Monte-Carlo.
jeu dès le premier accident. Les études servent généralement à
Une fois le pas franchi se pose immédiatement la question démontrer à des autorités de sûreté compétentes donnant les
corollaire suivante : simulation de Monte-Carlo d’accord, mais sur autorisations d’exploiter que le risque de l’installation industrielle
quel type de modèle de comportement du système étudié ? concernée est acceptable. La sécurité se satisfait donc d’approches
Le but de ce document est de répondre aux questions précédentes. conservatives ;
Après avoir montré rapidement les aspects complémentaires des – la disponibilité se préoccupe d’événements fréquents dont
approches analytiques et par simulation il s’attache à décrire les grands l’occurrence n’entraîne que des conséquences minimes et c’est le
principes de la simulation de Monte-Carlo. Il expose ensuite en détail le cumul de petites pertes fréquentes qui fait le risque. Les études
modèle reconnu comme l’un des plus efficaces en la matière : le servent généralement à démontrer à des décideurs donnant leur
réseau de Petri stochastique qui prête son nom au titre de ce dossier. feu vert pour concrétiser les projets que l’exploitation sera

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 072 – 2 est strictement interdite. – © Editions T.I.

XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

rentable. Un trop fort conservatisme risquant de faire rejeter des


projets en fait rentables, la disponibilité demande donc de rester États
A
au plus près de la réalité (approche best estimate). B
Cela tombe bien puisque c’est justement selon les deux axes E1
ci-dessus que les approches analytiques et par simulation se
distinguent réellement : E2
– l’approche analytique n’est pratiquement jamais utilisable sans E3
approximation mais ces approximations sont généralement d’autant
E4
moins sensibles que les probabilités mises en jeu sont petites. Cela
s’accorde donc plutôt bien avec les problèmes liés à la sécurité ; Temps
– l’approche par simulation de Monte-Carlo permet de modéliser Figure 1 – Processus stochastique
au plus près le comportement des systèmes étudiés mais son effi-
cacité est d’autant plus grande que les événements concernés sont
plus fréquents. Cela s’accorde donc plutôt bien avec les problèmes 70
0
liés à la disponibilité. 90 B
50 100 40
Donc, les approches analytiques et par simulation ne sont pas 50
interchangeables. Elles sont complémentaires et chacune est bien Puits D 70
40 90
adaptée à des types de problèmes particuliers. Cependant, avec
70
l’augmentation de la puissance des ordinateurs, les problèmes de C
sécurité sont de plus en plus accessibles à la simulation, comme
nous le montrerons au cours de cet exposé.
Effet rétroactif Effet direct
Avant de clore ce paragraphe, il nous faut aussi tuer le présup-
posé qui veut que la simulation de Monte-Carlo soit imprécise par Chiffres donnés en milliers de barils par jour
rapport à l’approche analytique qui, elle, serait précise. Comme
Figure 2 – Diagramme de flux
nous le verrons plus loin, la simulation de Monte-Carlo délivre tou-
jours l’intervalle de confiance des résultats obtenus. Ce n’est que Pour évaluer la disponibilité de production d’un tel système, il suffit
rarement le cas des méthodes analytiques pour lesquelles il est d’évaluer le temps cumulé moyen passé dans chacun de ses niveaux
souvent difficile, sinon impossible, de mesurer l’impact des de production. Un cas particulier de ce genre de modèle est celui pour
approximations réalisées pour arriver à obtenir un résultat. lequel chaque bloc ne possède que deux états (marche/panne). On
retombe alors sur un diagramme fiabilité et les calculs de fiabilité/
disponibilité classiques. La disponibilité moyenne est un cas particu-
3. Modèles de comportement lier de disponibilité de production mais, cela étant très similaire avec
ce que l’on l’a déjà vu en détail dans le dossier [SE 4 071] sur l’appro-
La modélisation probabiliste des systèmes industriels dynami- che markovienne, nous ne nous étendrons pas davantage sur le sujet.
ques nécessite l’utilisation de processus stochastiques. Cela a déjà À partir de considérations sur l’installation représentée sur la
été évoqué dans les dossiers [SE 4 070] et [SE 4 071] concernant ce figure 2, il est assez facile de dresser un inventaire « à la Prévert »
type de systèmes dont le comportement typique correspond à des problèmes qu’il convient d’aborder, sinon de maîtriser, pour
une modélisation à la fois fonctionnelle et dysfonctionnelle réaliste :
celui présenté sur la figure 1. – niveaux de production ;
Sur cette figure, on voit un système évoluer entre 4 états dis- – effets amont et aval des défaillances ;
tincts en fonction de délais aléatoires liés aux défaillances et aux – blocs en attente (redondance froide/chaude/mixte/tiède) ;
réparations des 2 composants individuels qui le constituent. Ces – blocs périodiquement testés ;
états peuvent être interprétés de manières différentes selon le type – défaillances de cause commune ;
d’étude à réaliser, par exemple : – défaillances induites (la perte d’un bloc induit un état de pro-
– pour une étude de sécurité ou de disponibilité classiques, les duction dégradée chez un autre) ;
états 1, 2 et 3 sont les états de bon fonctionnement et l’état 4, l’état – arrêt induit (la perte d’un bloc induit l’arrêt des blocs en série
de panne ; avec lui) ;
– pour une étude de disponibilité de production, l’état 1 est l’état – reconfigurations lors de la perte d’un bloc pour recouvrer tout
de production à 100 %, l’état 4 est l’état de panne totale et les ou partie de la production ;
états 2 et 3 des états de marche dégradés. – mobilisation des supports d’intervention pour les interventions
lourdes ;
À ce système un peu trop simple pour illustrer l’ensemble des – mobilisation des spécialistes pour les réparations de certains
difficultés rencontrées lors de la réalisation d’études probabilistes, équipements ;
nous allons préférer celui qui est représenté sur la figure 2.
– politique de maintenance curative (nombre d’équipes,
Il s’agit d’un diagramme de flux modélisant une chaîne typique défaillances critiques / dégradées, ...) ;
de production, par exemple le traitement des hydrocarbures sor- – politique de maintenance préventive ;
tant d’un puits de pétrole. Chaque bloc est caractérisé par sa capa- – politique d’approvisionnement des pièces de rechange ;
cité de traitement du flux circulant dans le système. Les capacités – activités se déroulant en parallèle ou en séquence ;
varient en fonction d’événements internes (défaillance, réparation – délais de transport des équipes de maintenance (hélicoptère,
du bloc) mais aussi d’événements externes (états des autres blocs, bateau, ...) ;
politique d’exploitation, etc.). Le puits a, par exemple, deux – rythme jour/nuit (suspension des réparations la nuit, par exemple) ;
niveaux de production : 50 000 barils/jour en éruption naturelle et – présence normale ou non de personnel à bord ;
90 000 barils/jours lorsqu’il est activé. – stockages ;
Selon l’état de chacun des blocs, ce petit système possède ainsi – conditions météo océanologiques pour les installations en mer ;
5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. À – délais quelconques pour les événements à prendre en compte ;
un moment donné, le niveau de production est fixé par le (les) – etc.
bloc(s) qui impose(nt) la production minimale (goulot d’étrangle- Plus on se rapproche de la réalité et plus le nombre d’états à pren-
ment). Par exemple, lorsque le bloc C est en panne, la production dre en compte augmente mais la caractéristique principale est que
tombe à 70 000 barils/jours. ces états restent bien individualisés (discrets) même s’ils deviennent

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 072 – 3

XU
XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

Analyse des risques des systèmes


dynamiques : réseaux de Petri
Exemples de modélisation
par Jean-Pierre SIGNORET
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1. Contexte ..................................................................................................... SE 4 073 – 2


2. Traitement de problèmes typiques ..................................................... – 2
2.1 Exemple d’un système fonctionnant en 2 sur 3 (2/3)................................ – 2
2.2 Disponibilité ................................................................................................. – 3
2.2.1 Modélisation........................................................................................ – 3
2.2.2 Résultats typiques et MTBF ............................................................... – 3
2.2.3 Influence de la dispersion des temps de réparation ........................ – 4
2.2.4 Observateurs de la simulation........................................................... – 4
2.3 Fiabilité ......................................................................................................... – 6
2.3.1 Modélisation........................................................................................ – 6
2.3.2 Résultats typiques............................................................................... – 6
2.3.3 Influence de la dispersion des temps de réparation ........................ – 6
2.3.4 MTTF .................................................................................................... – 7
2.4 Lien Réseaux de Petri et diagrammes de fiabilité ..................................... – 7
2.4.1 Réseaux de Petri de base ................................................................... – 7
2.4.2 Réseaux de Petri à prédicats et assertions ....................................... – 8
2.5 Systèmes périodiquement testés ............................................................... – 8
2.5.1 Modélisation naïve ............................................................................. – 8
2.5.2 Modélisation efficace.......................................................................... – 9
2.6 Disponibilité de production......................................................................... – 9
2.6.1 Identification des niveaux de production ......................................... – 9
2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. – 10
2.6.3 Éléments de modélisation des systèmes de production ................. – 10
2.6.4 Modélisation des effets directs et rétroactifs des défaillances ....... – 13
3. Conclusion ................................................................................................. – 13
Pour en savoir plus ........................................................................................... Doc. SE 4 073

e traitement d’exemples caractéristiques auxquels l’ingénieur fiabiliste est


L journellement confronté lors de l’analyse et de la modélisation de sys-
tèmes industriels permet d’aller plus loin dans la découverte des immenses
possibilités de modélisation par les réseaux de Petri entrevues dans le dossier
précédent [SE 4 072].
Le dessein de ce second dossier est donc d’ouvrir des pistes pour démarrer
du bon pied les modélisation par réseaux de Petri aussi bien pour l’évaluation
des paramètres fiabilistes classiques, comme la fiabilité, la disponibilité ou le
MTTF (Mean Time To Failure) des dispositifs de sécurité, que pour l’évaluation
de paramètre fiabilistes plus sophistiqués et nécessitant des modélisations très
approfondies, comme la disponibilité de production, la fréquence des pannes
ou la charge de maintenance des systèmes de production.
p。イオエゥッョ@Z@。カイゥャ@RPPX

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 073 – 1

XW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

Même si les réseaux de Petri tirent une grande partie de leur puissance
d’expression de leur aspect graphique, la construction maîtrisée de grand
modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour
donner la ligne directrice d’une modélisation modulaire incontournable pour
qui veut maîtriser ses modèles au cours de leur développement.
Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des cal-
culs, les astuces à connaître et les écueils à éviter sont indiqués au détour des
exemples servant de support.
Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans
le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années
2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modélisation. Attention l’addiction guette... !
Concernant les notations et les graphismes utilisés, le lecteur se reportera
utilement au dossier [SE 4 072].

1. Contexte 2. Traitement de problèmes


Dans le dossier [SE 4 072], un pan du voile a été soulevé sur les
typiques
immenses possibilités de modélisation des réseaux de Petri. Le
traitement d’un ensemble d’exemples typiques correspondant aux
problèmes auxquels l’ingénieur fiabiliste est journellement con- 2.1 Exemple d’un système fonctionnant
fronté permet de continuer cette aventure. en 2 sur 3 (2/3)
Un petit système fonctionnant en vote majoritaire en 2/3 sert de fil
rouge pour introduire les éléments relatifs aux calculs classiques de Pour montrer comment les réseaux de Petri permettent d’appré-
fiabilité et de disponibilité. Les problèmes de disponibilité de produc- hender les divers paramètres d’intérêt dans les études probabilis-
tion sont ensuite mis à profit pour montrer tout l’intérêt de la modélisa- tes, nous allons commencer par nous appuyer sur la figure 1 dont
tion modulaire au profit de la maîtrise des grands systèmes industriels. le but est de modéliser le comportement d’un système en 2/3.
La publication récente de la norme internationale IEC 61508 Ce système est composé de 3 composants identiques partageant
[Doc. SE 4 073] concernant l’évaluation des « niveaux d’intégrité la même équipe de réparateurs et le lecteur reconnaîtra facilement
de sécurité » (Safety Integrity Levels SIL) met en lumière les lacu- les modules que nous avons disséqués en [SE 4 072] avec cepen-
nes actuelles en ce qui concerne la modélisation et les calculs de dant quelques ajouts. En effet, pour modéliser un 2/3, il faut con-
systèmes testés périodiquement. Un paragraphe spécifique (§ 2) naître précisément le nombre de composants fonctionnant à un
est consacré à ce problème que les réseaux de Petri permettent instant donné. Avec les réseaux de Petri, il existe plusieurs maniè-
d’aborder sans difficultés particulières. res possibles pour ce faire et nous avons décidé d’introduire ici
Quand on parle de modélisation fiabiliste, le traitement des deux places auxiliaires, une pour compter le nombre de compo-
défaillances de cause commune (DCC) est incontournable. La sants en marche NbM et une autre pour compter le nombre de
modélisation des systèmes de production est mise à profit pour composants en panne NbP.
montrer comment appréhender facilement cette question. Chaque fois qu’un composant tombe en panne, NbP reçoit un
Enfin, comme le succès ou l’échec de l’approche par simulation jeton et NbM en perd un et, réciproquement, chaque fois qu’un
de Monte-Carlo est directement tributaire de la rapidité des calculs, composant est réparé NbM reçoit un jeton et NbP en perd un. À
les astuces à connaître et les écueils à éviter sont indiqués au chaque instant, ces places permettent donc de connaître l’état du
détour des exemples servant de support. De la négligence de cet système et, bien entendu, à l’instant initial, NbM doit contenir
aspect, des échecs cuisants peuvent résulter ! 3 jetons et NbP aucun.

M_1 M_2 M_3

NbM NbM NbM NbM NbM NbM


! RD ! RD ! RD
Fin_R1 P_1 Fin_R2 P_2 Fin_R3 P_3

NbP ? RD NbP NbP ? RD NbP NbP ? RD NbP


!-RD !-RD !-RD
R_1 A_1 R_2 A_2 R_3 A_3

St_R1 St_R2 St_R3

NbM Nombre de composants en marche NbP Nombre de composants en panne

Figure 1 – Comptage des composants en panne et en marche

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 073 – 2 est strictement interdite. – © Editions T.I.

XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

2.2 Disponibilité
Marche

2.2.1 Modélisation NbM


-2
δ=0 Réparation
Telle qu’elle est, la figure 1 ne permet pas encore d’évaluer
la disponibilité du système. Il faut lui adjoindre un sous-réseau Panne δ=0 -2
de Petri auxiliaire qui saura détecter quand le système 2/3 est NbP
en Marche ou en Panne. C’est celui qui est représenté sur la
Panne
figure 2.
Deux arcs inhibiteurs permettent de faire passer le système 2/3
alternativement en panne et en marche selon le nombre de jetons Figure 2 – RdP auxiliaire « Disponibilité »
dans les places NbM et NbP. Le passage est immédiat (délai δ = 0)
dès que les conditions sont réunies (deux composants en panne ou Tableau 1 – Nombre moyen de tir
deux composants en marche). L’utilisation de tels arcs inhibiteurs des transitions
est très pratique car elle ne perturbe pas du tout le modèle de la
figure 1, qui pourrait tout aussi bien être utilisé pour analyser un 1/3 T = 10 000 h, β = 2,
Nom Fréquence
ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la 106 histoires
figure 2.
P_1 19,39

2.2.2 Résultats typiques et MTBF Composant 1 St_R1 19,38

Les tableaux 1 et 2 montrent les résultats pouvant être obtenus Fin_R1 19,36
directement à partir du réseau de Petri ci-dessus. Pour réaliser ces P_2 19,41
Figure 1
calculs, nous avons adopté un classique taux de défaillances (λ) de
2.10−3/h pour chacun des composants mais, pour les réparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser l’influence de la dispersion du temps de répa-
ration autour de cette moyenne en faisant varier le paramètre de P_3 19,37
forme β.
Composant 3 St_R3 19,37
Les premiers résultats standards sont présentés sur le
tableau 1. Ils ont été établis en réalisant 106 histoires et avec Fin_R3 19,34
β = 2. Ils concernent la fréquence de tir de chacune des transi-
Panne 3,35
tions. On constate qu’en moyenne chaque composant subit de Figure 2 Disponibilité
l’ordre de 19,4 pannes au cours des 10 000 h simulées et que Réparation 3,35
cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte
que l’équipe de maintenance a été mobilisée environ 58,2 fois. Figure 6 Fiabilité Défaillance 0,96

Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places
T = 10 000 h, β = 2, Temps moyen Écart type Marquage moyen Écart type
Nom
106 histoires (h) (h) (%) (%)

M_1 9 698,55 75,4 96,99 0,75

Composant 1 A_1 10,94 12,8 0,11 0,13

R_1 290,52 72,2 2,91 0,72

M_2 9 698,02 75,5 96,98 0,76


Figure 1

Composant 2 A_2 11,17 13,3 0,11 0,13

R_2 290,81 72,3 2,91 0,72

M_3 9 697,99 75,6 96,98 0,76

Composant 3 A_3 11,61 13,9 0,12 0,14

R_3 290,40 72,1 2,90 0,72

Marche 9 966,79 23,8 99,67 0,24


Figure 2 Disponibilité
Panne 33,21 23,8 0,33 0,24

Figure 6 Fiabilité Marche_en_continu 2 997,77 2670 29,98 26,71

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 073 – 3

XY
YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

Méthode LOPA : principe et exemple


d’application

par Olivier IDDIR


Ingénieur en analyse de risques industriels Technip France
Service expertise et modélisation – Division QHSES

1. Présentation de la méthode LOPA...................................................... SE 4 075 - 3


1.1 Objectif de la méthode................................................................................ — 3
1.2 Origines de la méthode............................................................................... — 4
1.3 Déroulement d’une revue LOPA ................................................................ — 4
1.4 Quelques rappels sur la notion de barrière de sécurité ........................... — 8
1.5 Principe des couches de protection ........................................................... — 8
1.6 Critères de performance des barrières ...................................................... — 13
1.7 Principales étapes de la méthode .............................................................. — 15
1.8 Définition et quantification des fréquences
des événements initiateurs......................................................................... — 16
1.9 Définition des barrières............................................................................... — 17
1.10 Quantification des probabilités de défaillance des barrières .................. — 19
1.11 Évaluation de la fréquence d’occurrence résiduelle du scénario............ — 20
1.12 Exemple d’application................................................................................. — 22
2. Parallèle entre la méthode LOPA et les autres
méthodes d’analyse des risques.......................................................... — 26
2.1 Lien privilégié avec l’HAZOP ...................................................................... — 26
2.2 Différences avec la méthode du nœud papillon ....................................... — 26
3. Conclusion ................................................................................................. — 29
Pour en savoir plus ............................................................................................ Doc. SE 4 075

n France, depuis 2003, l’influence de la loi Bachelot et l’introduction des


E plans de prévention des risques technologiques (PPRT) ont eu comme
effet une évolution notable dans la manière d’évaluer les risques. En effet, les
évolutions réglementaires ont conduit à un plébiscite des analyses dites proba-
bilistes. De ce fait, les études de dangers (EDD) ne se limitent plus à une
approche uniquement déterministe, et il est demandé aux industriels d’expli-
citer le lien entre les résultats de leur EDD et leurs choix en termes de mesures
de maîtrise des risques (MMR).
De manière beaucoup plus large, lors de la réalisation d’analyses de risques,
des barrières de sécurité sont valorisées dans le but de justifier que les risques
sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent sponta-
nément à l’esprit :
– Ai-je suffisamment de barrières de sécurité ?
– Comment définir précisément le besoin en termes de réduction du risque ?
– Les barrières mises en place sont elles suffisantes pour justifier d’un
risque résiduel acceptable ?
Pour justifier d’un risque résiduel faible, une tendance naturelle pourrait être
de chercher à valoriser un maximum de barrières. Une telle démarche peut
malheureusement se révéler contre-productive car l’empilement des barrières
ne garantit en rien d’une bonne maîtrise de risques. De surcroît, ce biais de rai-
sonnement peut instaurer un faux sentiment de sursécurité et mener
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQR

finalement à un accident.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 1

YQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

L’émergence de la norme IEC 61511 relative au niveau d’intégrité des fonc-


tions instrumentées de sécurité (SIF) a mis en lumière le besoin de disposer de
méthodologies permettant de déterminer le niveau d’intégrité ou niveau de SIL
(Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 décrit
un certain nombre de méthodes permettant d’atteindre cet objectif. L’une
d’entre elles est la méthode LOPA (Layer Of Protection Analysis). Si les normes
citées précédemment sont spécifiques aux SIF, le principe des méthodes propo-
sées dans les normes est « déclinable » à tous les types de barrières.
Le retour d’expérience montre que de nombreuses barrières de sécurité
mises en place sur les sites industriels sont le résultat :
– d’une réponse à des prescriptions réglementaires ;
– du bon sens ;
– de la prise en compte du retour d’expérience et de l’accidentologie.
De manière générale, il n’est pas rare dans les EDD d’aboutir à la conclusion
que les barrières de sécurité mises en œuvre par les industriels permettent de
justifier d’un niveau de risque résiduel acceptable. Par conséquent, une
approche pragmatique basée sur un ou plusieurs des trois critères précédents
peut se révéler efficiente.
L’idée de faire correspondre des barrières de sécurité à un besoin (facteur de
réduction du risque) est finalement relativement récente. Si avec du recul, ce
concept peut paraître évident, sa mise en œuvre s’avère beaucoup plus difficile
et nécessite de disposer de méthodes permettant de garantir de la pertinence
de l’analyse. Pour mener une telle approche, il faut disposer :
– d’un référentiel d’acceptabilité des risques : sans référentiel, il est impos-
sible de proportionner le besoin en termes de barrières à un facteur de réduction
du risque ;
– d’une méthode de quantification des risques : l’estimation du facteur de
réduction du risque nécessite inévitablement de recourir à une estimation de la
criticité de l’événement indésirable.
Cet article s’attache à présenter les principes fondamentaux de la méthode et
à illustrer son application au travers d’exemples pratiques.

Acronyme Définition Acronyme Définition

APS Automate programmable de sécurité LOPA Layer Of Protection Analysis

BPCS Basic Process Control System LT Level Transmitter/Transmetteur de niveau


CCPs Center for Chemical Process Safety MMRI Mesure de maîtrise des risques instrumentée
DGPR Direction générale de la prévention des risques MMR Mesure de maîtrise des risques
EI Événement initiateur PFD Probability of Failure on Demand
FCV Flow Control Valve/Vanne de régulation de débit PPRT Plan de prévention des risques technologiques
HAZOP Hazard and OPerability analysis
Risk Reduction Factor/Facteur de réduction
RRF
HSE Health and Safety Executive du risque

HSL Health and Safety Laboratory Safety Instrumented Function/Fonction


SIF
instrumentée de sécurité
IEC International Electrotechnical Commission
SIL Safety Intergrity Level/Niveau d’intégrité
Independant Protection Layer/Couche
IPL TESEO Tecnica Empirica Stima Errori Operatori
de protection indépendante

ISA International Society of Automation THERP Technique for Human Error Rate Prediction

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 − 2 est strictement interdite. − © Editions T.I.

YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

1. Présentation Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle
du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de
répondre à la définition d’une couche de protection indépendante (IPL).
de la méthode LOPA Cette méthode intègre toutes les couches de protection de
l’entreprise, tant organisationnelles que techniques. La méthode
LOPA évalue la réduction du risque en analysant la contribution
1.1 Objectif de la méthode des différentes couches (qui englobe l’ensemble des barrières
La méthode LOPA est une méthode semi-quantitative dévelop- depuis la conception du procédé jusqu’aux mesures de secours)
pée dans l’optique : en cas d’accident. L’ouvrage du CCPs [1] introduit la notion de bar-
rière de sécurité indépendante (IPL). Dans le cadre de l’application
– de juger de l’adéquation entre les barrières mises en œuvre et de la méthode, seules les barrières de sécurité qui vérifient les
le niveau de risque visé ; conditions pour être retenues comme IPL sont à valoriser dans le
– de statuer sur le besoin de mise en œuvre de nouvelles calcul de la fréquence d’occurrence résiduelle du scénario.
barrières ;
– de définir les « exigences » minimales sur la probabilité de La méthode LOPA trouve plusieurs applications :
défaillance des barrières à mettre en place dans le cas où les bar- – compléter l’analyse menée dans l’HAZOP si le groupe de tra-
rières existantes ne permettraient pas de justifier d’un risque vail considère le scénario trop complexe ou que les conséquences
acceptable ; sont trop importantes ;
– d’évaluer la fréquence d’occurrence résiduelle d’un scénario – déterminer les niveaux de SIL requis pour les fonctions instru-
d’accident. mentées de sécurité (SIF) ;
– évaluer l’impact de la modification du procédé ou des barrières
Nota : la méthode LOPA sert aussi à identifier les actions humaines (réponses et de sécurité ;
actions des opérateurs) qui peuvent permettre de rétablir le fonctionnement du système.
Par la suite, il faut alors définir des procédures dans le but de garantir que les opérateurs
– analyser de manière plus détaillée certains scénarios
seront formés pour accomplir ces actions. d’accidents.
D’après l’ouvrage [1], un scénario est jugé complexe en cas de
doute :
Remarque – sur la compréhension du déroulement du scénario identifié ;
Le CCPs considère la méthode LOPA comme semi-quantita- – sur l’indépendance des barrières valorisées.
tive car la fréquence d’occurrence, ainsi que la gravité des Aujourd’hui, le retour d’expérience montre que la méthode
conséquences, constituent des approximations qui utilisent en LOPA est principalement utilisée dans le cadre de l’application des
règle générale une cotation à l’aide de puissance de dix. normes SIL (IEC ou ISA). En revanche, les propositions de mise en
place de barrières supplémentaires dans le but de réduire un
risque ne doivent pas se limiter aux seules SIF.
La première étape de la méthode LOPA consiste à définir le scéna-
rio d’accident. Un scénario est composé a minima de deux éléments :
– un événement initiateur ; Remarque
– une conséquence. Si l’émergence des normes IEC 61508 et 61511 a eu pour
L’un des principes de base de la méthode est qu’un scénario effet de « démocratiser » la méthode LOPA, celle-ci ne doit pas
doit être composé d’un unique couple événement initiateur/ être limitée à la définition des niveaux de SIL et elle peut être
conséquence. Dans le cas où un même événement initiateur peut utilisée plus largement dans le cadre des analyses de risques.
mener à différentes conséquences, il est alors nécessaire de définir
autant de scénarios que de conséquences.
La méthode LOPA peut aussi être utilisée comme une alternative
Un scénario peut, en plus des deux éléments définis précédemment, à une analyse quantifiée en termes de fréquence d’occurrence et
inclure : de gravité. À ce titre, la figure 1 présente l’exemple de répartition
– des conditions de réalisation qui correspondent à des des méthodes d’analyse de risques proposé par le CCPs dans
conditions nécessaires pour que l’événement initiateur puisse l’ouvrage [1].
aboutir à la conséquence envisagée ;
Nota : pour faire le parallèle avec le contexte ICPE, dans les études de dangers, il est
– la défaillance des barrières de sécurité mises en place vis-à-vis demandé aux industriels français de traiter à l’aide d’une méthode semi-quantifiée ou
du scénario d’accident. quantifiée 100 % des scénarios d’accident qui sortent des limites de l’établissement.

Analyse qualitative Analyse semi- Analyse quantitative


des risques quantitative des risques des risques (environ 1 %
(100 % des scénarios) (10 à 20 % des scénarios) des scénarios)

Ex : LOPA

Figure 1 – Répartition des méthodes d’analyse (d’après [1])

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 3

YS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

CCPs décida de réunir des industriels et des experts en risques afin


La méthode LOPA est aujourd’hui principalement utilisée de démarrer un groupe de travail sur la méthode LOPA. Pour ren-
pour déterminer le niveau de SIL à allouer aux SIF. De dre accessible au grand public cette méthode, le CCPs publia en
manière plus large, elle permet de déterminer le nombre de 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1]. De ce
barrières de sécurité indépendantes (IPL) à mettre en œuvre fait, la méthode LOPA est souvent considérée comme une
dans le but de pouvoir justifier d’un niveau de risque méthode d’analyse de risques récente.
acceptable. La finalité de la méthode est d’estimer le niveau
de risque résiduel en considérant l’effet des IPL. Pour ce faire,
il est nécessaire : Remarque
– d’une part, de calculer la fréquence d’occurrence du scé- Il semble qu’une nouvelle version de l’ouvrage LOPA pourrait
nario d’accident (par an), ce qui nécessite d’évaluer la fré- prochainement être publiée par le CCPs [2]. Cette nouvelle ver-
quence d’occurrence des événements initiateurs et les sion aurait pour objectif de prendre en compte le retour d’expé-
probabilités de défaillances de chaque IPL ; rience des utilisateurs de la méthode. La liste d’événements
– d’autre part, d’évaluer la gravité associée à la conséquence initiateurs types et de barrières serait aussi plus détaillée.
en cas de survenue de l’accident.

1.2 Origines de la méthode 1.3 Déroulement d’une revue LOPA


La genèse de la méthode LOPA est présentée par le CPPS 1.3.1 Compétences nécessaires
dans [1]. D’après cet ouvrage, la méthode LOPA trouve ses
origines dans deux publications : La LOPA est une méthode d’analyse de risques menée en
– à la fin des années 1980, le Chemical Manufacturers Asso- groupe de travail pluridisciplinaire. Dans l’idéal, le groupe doit être
ciation (maintenant American Chemistry Council ) publie composé de représentants des disciplines suivantes :
« Responsible Care® Process Safety Code of Management – sécurité ;
Practices » qui introduit la notion de couches de protection et qui – instrumentation ;
recommande de les prendre en considération dans le cadre du – procédé ;
système de management ; – maintenance et inspection ;
– en 1993, le Center of Chemical Process Safety (CCPs) introdui- – exploitation.
sait dans le « Guidelines for Safe Automation of Chemical La revue LOPA doit nécessairement être menée en groupe de
Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite travail car l’expertise de chaque discipline est nécessaire. Le
était à un stade d’avancement préliminaire, mais était déjà proposée tableau 1 précise les domaines pour lesquels l’expertise de chaque
comme alternative pour déterminer le niveau de SIL des SIF. discipline est nécessaire au bon déroulement de la revue.
En octobre 1997, lors du congrès international à Atlanta sur les Le groupe de travail est généralement piloté par un chairman
méthodes d’analyses de risques organisé par le CCPs, le besoin de (animateur de la revue) qui connaît bien la méthodologie. Le
publier un ouvrage présentant la méthode LOPA a émergé des dif- chairman est en charge de conduire la revue, c’est-à-dire d’organi-
férentes présentations et discussions. ser les « échanges » entre les différents membres. Ces échanges
En parallèle, en Europe et aux États-Unis, les normes relatives sont formalisés sous la forme de tableau d’analyse tel que pré-
au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) senté au paragraphe 1.3.3.
étaient en pleine évolution et dans leurs premières versions,
aucune de ces normes ne recommandait la méthode LOPA pour
déterminer le niveau de SIL des SIF. 1.3.2 Processus général de la méthode
Pour faire face aux évolutions normatives mais aussi méthodo- Les principales étapes de la méthode LOPA décrites au
logiques initiées pour certaines par des industriels, en 1998, le paragraphe 1.7.1 sont reprises sur la figure 2.

Tableau 1 – Domaines d’expertise des différents participants à une revue LOPA


Discipline Domaine d’expertise
Définition des scénarios d’accidents
Évaluation des fréquences d’occurrence des événements initiateurs
Sécurité
Évaluation des conséquences et des niveaux de gravité qui y sont associés
Évaluation de la probabilité de défaillance des barrières de sécurité
Définition de l’architecture des fonctions instrumentées de sécurité (SIF)
Instrumentation Évaluation de la probabilité de défaillance des SIF
Connaissances sur les exigences des normes relatives au SIL (IEC 61508 – 61511)
Connaissance du fonctionnement du procédé (permet d’identifier les dérives, définir des modes et seuils
Procédé
de détection, etc.)
Connaissance des fréquences d’inspection des équipements (données qui influent sur la fréquence
d’occurrence des événements de type « perte de confinement »)
Connaissance des périodes de test pour les barrières de sécurité (données nécessaires à l’évaluation
Maintenance et Inspection
de la probabilité de défaillance des SIF)
Connaissance des temps de réparation des barrières de sécurité (données nécessaires à l’évaluation
de la probabilité de défaillance des SIF)
Exploitation Connaissance du fonctionnement des installations

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 – 4 est strictement interdite. – © Editions T.I.

YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Sélection des scénarios d’accident devant faire


l’objet d’une analyse par la méthode LOPA
ÉTAPE 1

Sélection du premier
scénario d’accident

Développement
du scénario d’accident

ÉTAPE 2

ÉTAPE 4

Identification des barrières Évaluation de la fréquence Validation/Évaluation de la gravité


de sécurité existantes d’occurrence de l’événement des conséquences associées
initiateur au scénario
ÉTAPE 5 ÉTAPE 3

Identification des couche


de protection indépendantes (IPL)

Évaluation de la fréquence résiduelle


Évaluation de la probabilité du scénario d’accident (avec prise en
de défaillance des IPL compte des barrières)

ÉTAPE 6 ÉTAPE 7

Évaluation de la criticité
NON du scénario d’accident

OUI Peut-on définir Le risque


une nouvelle barrière ? est-il acceptable ?

ÉTAPE 8
OUI
NON

Envisager de modifier OUI


Y a-t-il un autre
le procédé scénario ?

NON

Fin de l’analyse

Figure 2 – Processus général de la méthode LOPA

Comme pour toutes les méthodes d’analyse de risques, il est et hypothèses émises par le groupe de travail lors des 8 étapes décri-
important : tes au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche
– que toutes les phases d’exploitation de l’installation soient étu- d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les
diées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; cases non cochées sont celles qui doivent être renseignées par le
– que toutes les causes pouvant mener à un événement initia- groupe de travail. Dans la pratique, les revues sont généralement
teur soient identifiées et étudiées séparément car les barrières et conduites avec des tableaux d’analyse qui diffèrent (dans la forme)
IPL valorisables ne seront pas nécessairement les mêmes. du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme
de tableau proposé au chapitre 3 de la norme IEC 61511.

1.3.3 Contenu des tableaux d’une revue LOPA Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décri-
vant la méthode LOPA [1] les attentes vis-à-vis des différents items
Lors d’une revue LOPA, des tableaux d’analyse sont remplis en qui doivent être renseignés dans le tableau 2. Ces précisions sont
temps réel. Ces tableaux ont pour objectif de formaliser les décisions résumées dans le tableau 3.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 5

YU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

Tableau 2 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Numéro du scénario : Numéro de l’équipement : Titre du scénario :
Date : Description Probabilité Fréquence
Conséquences/Niveau de gravité associé × ×
Fréquence « cible » pour atteindre le niveau
×
de risque acceptable
Événement initiateur du scénario × ×
Conditions de réalisation du scénario ×
Facteurs conditionnels de réalisation Probabilité d’inflammation ×
(si applicables au scénario)
Probabilité de présence du personnel
×
dans la zone d’effet atteinte par le scénario
Probabilité de blessures mortelles ×
Autres ×
Fréquence du scénario sans les barrières ×
Barrières de sécurité respectant les critères
d’indépendance explicités dans la méthode
LOPA (IPL) et valeur de PFD associée ×

Autres barrières de sécurité ne respectant


pas les critères d’indépendance explicités
dans la méthode LOPA × ×

Total des PFD associées aux barrières


×
de sécurité indépendantes (IPL)
Fréquence du scénario avec les barrières indépendantes ×
La fréquence « cible » permettant de justifier d’un risque acceptable est elle atteinte ? (Oui/Non) :
Actions requises pour atteindre le niveau de risque acceptable :
Notes :
Références (PID, etc.) :
Identité des membres ayant participés à la revue LOPA :

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Item Définition/précision
Conséquences/Niveau de gravité associé Cet item peut être renseigné de deux manières :
qualitativement : la conséquence est décrite avec le plus de précision possible.
Par exemple, montée en pression dans une capacité générant une fuite sur une bride
quantitativement : la conséquence est décrite en termes d’effet. Par exemple,
mise à l’atmosphère de X kg de produit inflammable
Dans les deux cas, un niveau de gravité doit être associé à la conséquence
Fréquence « cible » pour atteindre Cet item indique la fréquence d’occurrence maximale admissible pour la conséquence
le niveau de risque acceptable au regard du niveau de gravité défini précédemment. Pour ce faire, en fonction de la finalité
de l’étude, les critères d’acceptabilité du risque à utiliser peuvent être, soit réglementaires,
soit internes à un groupe ou à un industriel

Événement initiateur du scénario Cet item doit être renseigné avec le plus de précision possible.
Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci
soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus
de T1 (en précisant la valeur de T1)

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 – 6 est strictement interdite. – © Editions T.I.

YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) (suite)
Item Définition/précision

Conditions de réalisation du scénario Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer
la probabilité à associer à chacune des conditions. Par exemple, si un emballement
de réaction ne peut se produire que durant une phase spécifique de la réaction,
il est nécessaire de préciser la durée de cette phase par rapport à la durée totale
de la réaction

Facteurs conditionnels de réalisation Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte
(si applicables au scénario) dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont
pris en compte :
la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable)
la probabilité de présence du personnel dans la zone d’effet
la probabilité de blessure ou de mort dans la zone d’effet

Barrières de sécurité respectant Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis
les critères d’indépendance explicités du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être
dans la méthode LOPA (IPL) et valeur justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident
de PFD associée doit être documentée

Autres barrières de sécurité ne respectant Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL.
pas les critères d’indépendance explicités L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières
dans la méthode LOPA ne constituent pas des IPL

Total des PFD associées aux barrières Cet item correspond au produit des PFD associées à chaque IPL
de sécurité indépendantes (IPL)

Fréquence du scénario avec les barrières Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident,
indépendantes c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées

La fréquence « cible » permettant Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence
de justifier d’un risque acceptable résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence
cible, alors le risque est acceptable

Actions requises pour atteindre le niveau Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable.
de risque acceptable Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler
et en parallèle de démontrer qu’elle peut être considérée comme une IPL

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilité
Probabilité
PFD d’occurrence
No EI G CI P(CI) Conception Atténuation Barrière d’occurrence Note
(SIF) résiduelle
générale BPCS Alarmes supplémentaire de mitigation intermédiaire
(avec SIF)
du procédé accès limité, etc. (non SIF)

EI : événement indésirable/événement initiateur.


G : niveau de gravité de l’événement indésirable.
CI : cause initiatrice (événement initiateur).
P(CI) : probabilité d’occurrence de la cause initiatrice.
BPCS : Basic Process Control System.
PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 7

YW
YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

Méthode PDS

par Olivier IDDIR


Ingénieur quantification des risques – Membre du réseau des experts de TECHNIP
Service Expertise & Modélisation – TECHNIP, La défense, France

1. Présentation de la méthode....................................................................... SE 4 077 - 2


1.1 Les origines ................................................................................................. — 2
1.2 Estimation de l’indisponibilité critique de sécurité .................................. — 3
1.3 Les différents types de défaillances pris en compte ................................ — 5
1.4 Prise en compte des causes communes de défaillances......................... — 6
1.4.1 Définition ............................................................................................ — 6
1.4.2 Le modèle PDS................................................................................... — 6
1.5 Les formules de calcul ................................................................................ — 6
1.5.1 Calcul de la PFD et PFH ..................................................................... — 6
1.5.2 Calcul de la DTU................................................................................. — 9
1.5.3 Calcul de PTIF ...................................................................................... — 9
2. Différences avec l’IEC 61508 ...................................................................... — 11
2.1 Les types d’indisponibilité considérés ...................................................... — 11
2.2 La prise en compte des modes communs de défaillance ....................... — 11
2.3 L’hypothèse AGAN ..................................................................................... — 11
2.4 La prise en compte des erreurs systématiques........................................ — 13
3. Cas d’application......................................................................................... — 13
3.1 Présentation du cas..................................................................................... — 13
3.2 Estimation de la CSU par la méthode PDS ............................................... — 14
3.3 Estimation de la PFD par application des formules IEC 61508-6 ............ — 14
4. Conclusion ................................................................................................... — 16
Pour en savoir plus .............................................................................................. Doc. SE 4 077

our prévenir et limiter les risques, les industriels sont amenés à mettre en
P œuvre des barrières de sécurité. Il existe différents types de barrières de
sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par
des systèmes instrumentés de sécurité (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier
que les risques sont maîtrisés. L’objectif est de démontrer que les architectures
proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis.
Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de
chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les
systèmes en mode continu). La méthode PDS, largement utilisée dans l’indus-
trie offshore (et plus particulièrement en Norvège), permet de répondre à ce
besoin.
Cet article présente les principes de la méthode PDS et met en lumière les
principales différences avec l’approche présentée dans l’IEC 61508-6. Plus
précisément :
– il retrace les origines de la méthode ;
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQV

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 1

YY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

MÉTHODE PDS _____________________________________________________________________________________________________________________

– il présente les formules permettant de calculer la probabilité de défaillance


à la sollicitation d’une SIF (PFDavg) ;
– il compare les valeurs de PFDavg obtenues par application de la méthode
PDS à celles obtenues par application des formules de l’IEC 61508-6.

1. Présentation Mode continu : Mode de fonctionnement dans lequel la SIF


maintient le processus dans un état de sécurité en fonctionne-
de la méthode ment normal. Définition IEC 61511-1.

Pour chaque classe de SIL, les facteurs de réduction du risque


1.1 Les origines et valeurs cibles de PFDavg et PFH sont rappelés dans les
tableaux 1 et 2.
PDS est un acronyme norvégien pour désigner la fiabilité et la
Les normes IEC 61508 et 61511 introduisent différentes
sécurité des systèmes instrumentés de sécurité (SIS). La méthode
approches permettant d’estimer la probabilité de défaillance d’un
PDS a été développée par le SINTEF en étroite collaboration avec :
système (pour en déduire le niveau de SIL), parmi elles :
• des compagnies pétrolières ; • les formules analytiques [SE4058] ;
• des fournisseurs et concepteurs de système de logique de • les arbres de défaillance [SE4050] ;
traitement ; • les blocs diagramme de fiabilité ;
• des organismes spécialistes sur les systèmes de contrôle et • les graphes de Markov [SE8250] [SE4071] ;
de sécurité. • les réseaux de Pétri [SE4073].
Elle permet de quantifier l’indisponibilité de la sécurité et de la Ces normes n’imposent pas le type d’approche à retenir mais
perte de production pour les systèmes instrumentés de sécurité (SIS). incitent l’utilisateur à retenir celle qui semble le mieux adaptée à
Son principe est détaillé dans l’ouvrage PDS Method Handbook [1]. son besoin. La méthode PDS s’inscrit donc comme un exemple
Cette méthode est couramment mise en œuvre dans l’industrie d’utilisation de formules analytiques dans le but de vérifier les
offshore, plus particulièrement en Norvège (en lien avec le NOG niveaux de SIL requis. Même si cette méthode est relativement
GL 070 [2]). développée et qu’elle peut être considérée comme « réaliste »,
elle reste relativement simple à mettre en œuvre et doit être
Note : la méthode est également applicable à d’autres secteurs d’activité que considérée comme un outil dédié à des non spécialistes en
l’offshore.
matière de sureté de fonctionnement. En effet, cette méthode a
Plus généralement, elle permet d’estimer les niveaux de SIL des pour finalité d’améliorer la prise en compte des approches « fiabi-
fonctions instrumentées de sécurité, et donc de répondre à l’une listes » dans les disciplines de l’ingénierie, et ainsi combler le
des exigences des normes IEC 61508 et 61511 et du NOG GL 070. fossé entre la théorie et son application.

Système instrumenté de sécurité (SIS) : ensemble de maté- Tableau 1 – Définition des niveaux SIL
riels qui composent le système de sécurité. Il comprend tous pour un système en mode faible sollicitation
les capteurs, les logiques et les actionneurs. d’après IEC 61511-1
Fonction instrumentée de sécurité (SIF) : automatisme de Niveau
sécurité composé par un ou plusieurs capteurs, une logique et Facteur de réduction
d’intégrité avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de sécurité
de sécurité.
SIL 1 10–2 PFDavg < 10–1 10 < FRR  100

À titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 10–3  PFDavg < 10–2 100 < FRR  1 000
quatre niveaux de réduction de risques appelés niveaux de SIL.
SIL 3 10–4  PFDavg < 10–3 1 000 < FRR  10 000
Les niveaux de SIL sont rattachés à :
• une probabilité de défaillance sur sollicitation (notée PFDavg) SIL 4 10–5  PFDavg < 10–4 10 000 < FRR  100 000
pour les systèmes en mode faible sollicitation ;
• une probabilité de défaillance par heure (notée PFH) pour les
systèmes en mode continu ou en mode sollicitation élevée. Tableau 2 – Définition des niveaux SIL
pour un système en mode continu ou en mode
sollicitation élevée d’après IEC 61511-1
Mode à faible sollicitation : Mode de fonctionnement dans
Niveau
lequel la SIF n’est réalisée que sur sollicitation, afin de faire Facteur de réduction
d’intégrité PFH
passer le processus dans un état de sécurité spécifié, et où la du risque (FRR)
de sécurité
fréquence des sollicitations n’est pas supérieure à une par an.
Définition IEC 61511-1. SIL 1 10–6  PFH < 10–5 10 < FRR  100
Mode à sollicitation élevée : Mode de fonctionnement dans
SIL 2 10–7  PFH < 10–6 100 < FRR  1 000
lequel la SIF n’est réalisée que sur sollicitation, afin de faire
passer le processus dans un état de sécurité spécifié, et où la SIL 3 10–8  PFH < 10–7 1 000 < FRR  10 000
fréquence des sollicitations est supérieure à une par an. Défini-
tion IEC 61511-1. SIL 4 10–9  PFH < 10–8 10 000 < FRR  100 000

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 2

QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

_____________________________________________________________________________________________________________________ MÉTHODE PDS

Proposition Comparaison
Allocation
d’architectures Calcul des probabilités
Identification des niveaux de SIL
pour atteindre des probabilités de défaillance
des SIF requis pour
les niveaux de défaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)

Figure 1 – Les différentes étapes pour estimer le niveau de SIL

La méthode PDS peut être considérée comme « réaliste » car Trois contributeurs à la CSU sont désignés :
elle prend en compte les principaux paramètres qui ont une 1/ L’indisponibilité liée aux défaillances dangereuses non détectées
influence sur la disponibilité d’un système, tels que : (λDU) qui couvre :
• les différentes catégories de défaillances/causes ; a) l’indisponibilité liée aux défaillances aléatoires de matériels
(λDU-RH) ;
• les défaillances de cause commune ;
b) l’indisponibilité liée aux défaillances systématiques (λDU-
• les autotests (internes aux équipements dotés de cette fonc-
SYST).
tionnalité) ;
Cette indisponibilité est associée à la probabilité de défaillance
• les tests périodiques de bon fonctionnement ; sur demande notée PFD (Probability of Failure on Demand).
• les défaillances systématiques ; 2/ L’indisponibilité liée aux arrêts qui couvre :
• les redondances d’équipements. a) l’indisponibilité liée à la réparation d’équipements décelés en
panne (maintenance corrective) → DTUR ;
Comme présenté en figure 1, la méthode PDS constitue une
alternative aux formules de calculs proposées dans l’annexe B de b) l’indisponibilité liée à l’inhibition d’équipements afin de réali-
l’IEC 61508-6 lors de l’étape de calcul de la probabilité de défail- ser les tests périodiques de bon fonctionnement et la maintenance
lance pour justifier de l’atteinte du niveau SIL requis. préventive → DTUT.
Toutes les approches précitées pour déterminer le niveau de SIL Cette indisponibilité est associée à l’indisponibilité pour arrêts
nécessitent d’utiliser des données de fiabilité pour caractériser les planifiés notée DTU (Down Time Unavailability).
équipements qui permettent de remplir la fonction de sécurité 3/ L’indisponibilité liée à des défaillances dangereuses cachées qui
(détecteur, automate, vanne d’isolement, etc.). Pour faciliter la ne peuvent pas être décelées pendant les tests périodiques de bon
fonctionnement, mais uniquement lors d’une sollicitation réelle.
mise en œuvre de la méthode PDS, le SINTEF propose en complé-
ment un recueil de données de fiabilité (PDS Data Handbook [3]). Cette indisponibilité est associée aux défaillances cachées notée
PTIF (Test Independant Failure Probability).

1.2 Estimation de l’indisponibilité PTIF : probabilité qu’un composant ou système ne remplisse


critique de sécurité pas sa fonction de sécurité à cause d’une défaillance latente
non détectable lors des tests périodiques de bon fonctionne-
La méthode PDS introduit la notion d’indisponibilité critique de ment.
sécurité (traduction de Critical Safety Unavailability notée CSU).
L’ouvrage [1] définit cette indisponibilité comme la probabilité
La CSU s’exprime comme la somme de ces différents contribu-
qu’un système ou composant ne remplisse pas sa fonction de
teurs :
sécurité au moment où un événement dangereux ou accident sur-
vient.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 4 077 – 3

QPQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

MÉTHODE PDS _____________________________________________________________________________________________________________________

Ces contributeurs à l’indisponibilité critique de sécurité (CSU) Sur la figure 3, il est possible d’observer que la PFD et la CSU
sont repris en figure 2. atteignent leurs maximums juste avant la période de test et leurs
La figure 3 inspirée de [1] illustre la contribution à la CSU de la minimums juste après. Cependant, la valeur de CSU générale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU n’est ment retenue correspond à la moyenne. Par conséquent, il est
pas considérée. L’évolution de la PFD(t) est donnée pour un équi- possible que la valeur moyenne permette de justifier de l’atteinte
pement en 1oo1 et est approximée comme suit : de l’objectif visé, mais qu’il ne le soit plus en considérant la valeur
maximum. Pour cette raison, il peut être intéressant de déterminer
le temps passé dans chaque classe de SIL.

Indisponibilité liée aux arrêts


→ DTU : 2a (DTUR = réparation) et
2b (DTUT = tests)

Indisponibilité associée
aux défaillances dangereuses Indisponibilité associée
→ PFD : 1a (défaillances aléatoires aux pannes cachées (non révélées
de matériel) et 1b (défaillances systématiques) par les tests)
→ PTIF : 3

Indisponibilité critique
de sécurité (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF

Figure 2 – Contributeurs à l’indisponibilité critique de sécurité (CSU)

Évolution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps

Évolution de la CSU en CSU maximum Valeur moyenne de la CSU


fonction du temps

PFD maximum

PFDavg = λDU × 0,5 × T

PTIF

Temps
T 2T 3T 4T

Période de test

Figure 3 – Contribution à l’indisponibilité critique de sécurité de la PFD et de PTIF

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 4

QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

Méthode HACCP – Approche


pragmatique

par Michel FEDERIGHI


Professeur, Oniris, unité Hygiène et Qualité des Aliments, Nantes, France

1. Étape 1 : constitution de l’équipe HACCP – délimitation SL 6 210v2 - 2


du champ de l’étude ............................................................................
2. Étape 2 : description du produit....................................................... — 3
3. Étape 3 : identification de l’utilisation attendue......................... — 3
4. Étape 4 : établir le diagramme des opérations ............................ — 4
5. Étape 5 : confirmation sur site du diagramme des opérations — 4
6. Étape 6 : analyse des dangers – détermination des causes –
identification des mesures de maîtrise .......................................... — 5
7. Étape 7 : identifier les CCP (Critical Control Point) ................... — 7
8. Étape 8 : établir les limites critiques .............................................. — 8
9. Étape 9 : mise en place d’un système de surveillance............... — 9
10. Étape 10 : identification des actions correctives........................ — 9
11. Étape 11 : établir les procédures de vérification ........................ — 10
12. Étape 12 : établir un système de documentation........................ — 10
13. Conclusion .............................................................................................. — 11
14. Glossaire.................................................................................................. — 11
Pour en savoir plus ........................................................................................ Doc. SL 6 210v2

nalyse des risques – point critique pour leur maîtrise », telle a été la
«A traduction de l’acronyme anglais HACCP (Hazard Analysis Critical
Control Point) adoptée par la commission du « Codex Alimentarius » en 1997
dans la troisième révision du texte fondateur [1]. L’évolution de la terminologie
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQU@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ェオゥャャ・エ@RPQX

a cependant conduit à préférer par la suite « analyse des dangers et des points
critiques pour leur maîtrise ». Cette terminologie rend mieux compte de la
mission dévolue à la méthode au sein de chaque entreprise, se démarque et
évite la confusion avec la démarche globale d’analyse des risques, décrite éga-
lement par le Codex, qui est du ressort des États au sein de l’Organisation
Mondiale du Commerce. L’HACCP est donc une méthode, une approche struc-
turée par sept principes permettant de se prémunir de tous problèmes
d’insécurité des aliments par la mise en place d’activités opérationnelles,
moyens et solutions techniques préétablies et d’en apporter la preuve !
Ainsi, l’HACCP va rassurer et donner confiance en démontrant la capacité de
l’organisme à identifier les dangers menaçant véritablement l’hygiène de ses
productions et à organiser ses activités pour les maîtriser. Initialement déve-
loppée à la fin des années soixante pour l’industrie chimique aux États-Unis, la
méthode HACCP fut rapidement reprise par les IAA (industries agroalimen-
taires) toujours aux États-Unis, avant d’être aujourd’hui mondialisée. De nos
jours, après quelques années de flottement dues à des textes décrivant la
méthode avec un nombre d’étapes variant de 11 à 14, le texte du « Codex

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 1

QPS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

MÉTHODE HACCP – APPROCHE PRAGMATIQUE ___________________________________________________________________________________________

Alimentarius » fait référence et a fixé ce nombre à 12. De fait, une façon très
simple de présenter globalement la méthode HACCP est d’indiquer qu’il s’agit,
dans ses dernières étapes, des sept principes de la méthode, précédées de
cinq étapes préliminaires destinées à collecter toutes les informations néces-
saires à l’accomplissement des fameux sept principes (tableau 1). Ce caractère
global de la méthode en fait un de ses atouts, chacun utilisant le même dérou-
lement de méthode.
Le statut réglementaire de la méthode HACCP a lui aussi évolué, en particu-
lier sur le territoire européen. D’abord fortement recommandée, puis
obligatoire (après transposition dans la loi nationale) pour l’application de ses
principes dans la célèbre directive hygiène 93/43 (aujourd’hui abrogée), la
méthode HACCP est maintenant ancrée fortement dans la réglementation
(règlement CE 178/2002 ou « food law ») et largement répandue dans les entre-
prises. Au-delà de son caractère obligatoire, la méthode HACCP représente
pour celles-ci un véritable outil d’amélioration continue et, appliquée de façon
pragmatique dans la logique de ses 12 étapes, constitue le meilleur moyen
pour assurer la sécurité de leurs produits finis.
Cet article se propose de décrire les différentes étapes de la méthode en les
accompagnant, à des fins didactiques, de commentaires, remarques et autres
retours d’expérience de l’utilisation de cette méthode.

1. Étape 1 : constitution C’est un truisme que de dire que la mise en place d’une
démarche HACCP est un véritable travail d’équipe. C’est au moins,
de l’équipe HACCP – et à l’évidence, une démarche pluridisciplinaire nécessitant pour sa
mise en œuvre des compétences très variées. Mais c’est égale-
délimitation du champ ment, et plus particulièrement, l’affaire d’une ou deux personnes.
À ce titre, le rôle de l’animateur est primordial pour la réussite de
de l’étude la démarche et sa compétence reconnue en matière de méthode
HACCP doit le conforter. Il veille en particulier à l’adéquation entre
la composition de l’équipe et les besoins de l’étude. Dans l’idéal,
une équipe de 5 à 6 personnes compétentes, volontaires et moti-
vées doit constituer une structure fonctionnelle non hiérarchique
Hygiène des aliments : ensemble des conditions et mesures
avec un animateur et un secrétaire technique. Au-delà des fonc-
nécessaires pour assurer la sécurité et la salubrité des aliments
tions qualité (assurance, contrôle) et production – incontournables
à toutes les étapes de la chaîne alimentaire :
–, les fonctions recherche et développement, entretien et mainte-
– sécurité des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont préparés l’équipe HACCP. Il s’agit de constituer une équipe avec un noyau
et/ou consommés conformément à l’usage auquel ils sont dur qui va accompagner la démarche du début jusqu’à la fin. De
destinés ; fait, la formation à la méthode HACCP de tous les membres de
– salubrité des aliments : assurance que les aliments lorsqu’ils l’équipe est indispensable. Le référent HACCP de l’équipe peut, par
sont consommés conformément à l’usage auquel ils sont desti- exemple, s’appuyer sur le manuel de formation édité par la FAO
nés, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) « Système de qualité et de
Ainsi, l’hygiène des aliments n’est pas l’hygiène alimentaire sécurité sanitaire des aliments : manuel de formation » [2]. Il
(apport raisonné par l’alimentation des éléments et nutriments insiste en particulier sur les liens, ainsi que la chronologie à res-
nécessaires à la vie). De même, la sécurité des aliments n’est pecter dans leur mise en place respective, entre bonnes pratiques
pas la sécurité alimentaire (sécurité des approvisionnements, hygiéniques et HACCP. Après la formation, l’équipe HACCP
suffisance alimentaire). s’accorde sur une définition des points critiques de maîtrise (CCP)
et autres points d’attention (voir étape 7, § 7), ainsi que sur un
Les notions de « dangers » et de « risques » sont souvent calendrier de réalisation. Un secrétaire technique seconde l’anima-
employées de manière inappropriée, laissant penser que cela teur et veille à l’établissement des comptes rendus des réunions
puisse être confondu, ce qui ne devrait pas être le cas. de l’équipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, présent réunions.
dans un aliment, ou état de cet aliment, pouvant entraîner un
Il est possible et recommandé d’adjoindre à ce noyau dur, au
effet néfaste sur la santé.
gré des besoins et de la progression de l’étude, toute personne
Risque : fonction de la probabilité d’un effet néfaste sur la jugée collectivement comme indispensable à l’avancée du projet.
santé et de la gravité de cet effet résultant d’un ou de plusieurs Cette personne peut être extérieure à l’organisme (fournisseur,
dangers dans un aliment. consultant, experts divers et variés...). Il est important toutefois de
« garder la main » sur le sujet et de ne pas dépendre entièrement
Ces confusions sémantiques sont très répandues et de personnes extérieures, et il convient d’être très prudent
devraient être bannies, car elles ne participent pas à simplifier vis-à-vis de la promesse d’un système complet « clés en main ». Il
le débat et la communication. faut comprendre, assimiler et s’approprier la méthode HACCP pour

SL 6 210v2 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

___________________________________________________________________________________________ MÉTHODE HACCP – APPROCHE PRAGMATIQUE

l’appliquer à son site de production. Il convient de rappeler ici


qu’un plan HACCP complet doit envisager tous les dangers signifi- 2. Étape 2 : description
catifs pour tous les produits fabriqués par un organisme. Cepen-
dant, pour des raisons pratiques et d’efficacité, il est recommandé
du produit
de délimiter le champ de l’étude.
Il est important de noter que cette description ne doit pas se
limiter au produit fini mais doit inclure les matières premières, les
Par exemple, l’équipe HACCP peut concentrer ses efforts, lors produits intermédiaires le cas échéant, ainsi que les divers ingré-
d’une période limitée dans le temps, sur un triptyque illustré par la dients, matériaux d’emballage et les procédés de traitement
figure 1. entrant dans la formulation du produit. Il s’agit, lors de cette étape,
d’effectuer un véritable « audit » produit. Un soin tout particulier
est accordé aux exigences légales et réglementaires et aux infor-
De la même façon, face à un processus de fabrication particuliè- mations pertinentes au regard de la sécurité des aliments :
rement complexe ou comprenant un grand nombre d’opérations – caractéristiques sanitaires : critères microbiologiques, physiques
et/ou de produits intermédiaires, il est recommandé de subdiviser ou chimiques ;
le processus de fabrication en deux ou trois phases dont chacune – caractéristiques physico-chimiques en relation avec des dan-
fait l’objet d’une étude HACCP particulière. gers significatifs (activité de l’eau aw , pH, potentiel d’oxydoréduc-
tion (Eh ), concentrations en divers composés, composition
Bien évidemment, la conséquence pratique de ces délimitations (incluant les teneurs en sel, sucres et substances grasses), etc.) ;
est que plusieurs études successives sont nécessaires pour aboutir – traitements subis, surtout ceux qui peuvent avoir un impact
à un plan HACCP complet. sur la sécurité des aliments (traitements chimiques et physiques
Même si elle va bien au-delà de cela, on est en droit de consi- de préservation, ces derniers permettront de retracer, si néces-
dérer que la démarche HACCP s’apparente à un « plan de travail » saire, l’historique des procédés pouvant conduire à une obligation
logique et chronologique. Le franchissement successif des douze d’étiquetage [3]) ;
étapes constitue la séquence d’application du plan de travail. À ce – conditions de stockage en interne et les conditions de distribu-
titre, le recours à des outils de gestion de projet comme le dia- tion et de conservation du produit fini.
gramme de Gantt ou des rétroplanning peut être très utile dans la Les informations liées aux produits ne doivent pas être négligées
planification des tâches et le positionnement des « jalons » de car elles peuvent se révéler capitales lors des étapes 6, 7 et 8 qui
l’étude. soulèvent de nombreuses questions ; par exemple et de manière
non exhaustive :
– le pH, le potentiel d’oxydoréduction, l’activité de l’eau du
Le diagramme de Gantt est un outil permettant de modéliser produit peuvent-ils inhiber la croissance microbienne ou la
la planification de tâches nécessaires à la réalisation d’un toxinogénèse ?
projet. – comment l’emballage affecte la survie des micro-organismes ?
– des micro-organismes ou des substances toxiques sont-ils
Un rétroplanning est un planning inversé, conçu en partant affectés par les traitements subis ?
de la date de fin du projet puis en remontant dans le temps – les temps d’attente à température ambiante en cours de pro-
afin de positionner les jalons. duction sont-ils acceptables ? Y a-t-il des données scientifiques
pour étayer la réponse ?
– l’un des facteurs de production constitue-t-il un moyen de
maîtrise d’un danger significatif ? Se prête-t-il à une surveillance
Il est important de noter également que, comme pour toute
rapide et facile ? etc.
démarche planifiée et systématisée que l’on souhaite efficace,
l’engagement de la direction dans la démarche HACCP doit être
clair et sans faille. La direction doit être informée de la nécessité
de la mettre en œuvre et consciente de l’investissement que cela
représente. En retour, la démarche HACCP assure la sécurité sani- 3. Étape 3 : identification
taire des produits fabriqués et peut se révéler un élément d’amé-
lioration organisationnelle de l’organisme. de l’utilisation attendue
Cette étape doit permettre de compléter les informations précé-
dentes et conduit notamment à préciser la durabilité attendue, les
modalités « normales » d’utilisation du produit ainsi que des ins-
tructions qui peuvent être données pour l’utilisation. L’utilisateur
peut être le consommateur final ou bien le transformateur qui se
Un danger sert du produit comme d’une matière première ou d’un ingrédient.
ou une catégorie De plus, il y a lieu de considérer toutes possibilités
de dangers
« raisonnablement prévisibles » d’utilisation fautive [4]. Ce concept
est contenu dans l’article L. 221-1 du Code de la consommation. Le
« raisonnablement prévisible » est important ; il ne s’agit en aucun
cas pour l’équipe HACCP d’anticiper des utilisations imprévisibles
inadéquates et/ou dangereuses : on ne peut prévoir l’imprévisible !
Un produit ou Un process ou Par contre, des fautes ou des pratiques erronées peuvent être anti-
une catégorie une catégorie cipées comme :
de produits de process
– une remontée en température du produit lors du transport
entre le centre de distribution et le domicile ;
– une consommation légèrement postérieure à la date limite ;
– une consommation en plusieurs fois ;
– l’utilisateur va vouloir prolonger la durée de vie d’un produit
Figure 1 – Champ d’étude de l’équipe HACCP réfrigéré « à date » par la congélation dudit produit ; etc.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 3

QPU
QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

Mesures de maîtrise des risques


instrumentées (MMRI)
État zéro et fiche de vie

par Olivier IDDIR


Ingénieur analyse des risques
Membre du réseau des experts
TECHNIP France, Paris la-Défense

1. Caractérisation d’une mesures de maîtrise SE 2 090 - 2


des risques instrumentées (MMRI) ...................................................
1.1 Contexte : plan de modernisation des installations industrielles ......... — 2
1.2 Vieillissement des MMRI .......................................................................... — 4
1.3 MMRI parmi les MMR ............................................................................... — 5
1.4 Contexte réglementaire ............................................................................ — 6
1.5 Différents types de MMRI ......................................................................... — 8
1.6 Performances des MMRI – Rappels ......................................................... — 11
2. Identification des MMRI ...................................................................... — 11
2.1 Guide DT 93 ............................................................................................... — 11
2.2 Méthode de sélection du guide DT 93..................................................... — 12
2.3 Référentiels d’évaluation des MMRI........................................................ — 15
3. Indépendance des MMRI ..................................................................... — 15
3.1 Plusieurs notions d’indépendance .......................................................... — 15
3.2 Indépendance entre la MMRI et le scénario ........................................... — 15
3.3 Indépendance des équipements dans une MMRI .................................. — 16
3.4 Critère d’indépendance des MMRI .......................................................... — 16
3.5 Indépendance des MMR et des MMRI : clarification.............................. — 18
4. État zéro et ficher de vie ..................................................................... — 19
4.1 Contenu d’une fiche de vie....................................................................... — 19
4.2 Exemple de fiche de vie – Proposition de l’EXERA ................................ — 21
5. Programme et plan de surveillance des MMRI.............................. — 24
6. Conclusion............................................................................................... — 25
Pour en savoir plus ........................................................................................ Doc. SE 2 090

uite à une recrudescence de pertes de confinement dans les secteurs de


S l’industrie chimique et pétrolière survenues à partir de 2007, un plan de
modernisation des installations industrielles (PMII) a été initié en 2008. Ce plan
a conduit à définir pour les industriels soumis au régime des installations clas-
sées pour la protection de l’environnement (ICPE) de nouvelles obligations sur
le recensement, l’évaluation et le suivi des équipements critiques.
Au travers de l’arrêté du 4 octobre 2010, il est demandé aux industriels de
mettre en place une méthodologie de gestion et de maîtrise du vieillissement
des mesures de maîtrise des risques instrumentées (MMRI). L’objectif visé est
de pouvoir garantir un maintien dans le temps des performances des MMRI
valorisées dans le cadre des études de dangers pour les sites classés SEVESO.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQT

Cette nouvelle exigence a pour finalité de mieux prévenir le vieillissement en


imposant un suivi rigoureux de l’ensemble des systèmes instrumentés de

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 1

QPW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de système à action manuelle de sécurité (SAMS), des
conditions quant à la nature de l’action humaine sont à vérifier avant de
pouvoir les considérer comme des MMRI. Le présent article s’attache à donner
les clés au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations nécessaires à la réalisation des fiches de vie. Les
aspects liés à l’exploitation et à la gestion des compétences ne seront pas
abordés dans cet article. Le lecteur pourra se référer aux recommandations
présentées dans la guide méthodologique pour la gestion et la maîtrise du
vieillissement des MMRI (guide DT 93).

Glossaire 1. Caractérisation
Acronyme Signification d’une mesures de maîtrise
ADR
APS
Analyse détaillée des risques
Automate programmable de sécurité
deRs risques
(aussi nommé APidS pour automate instrumentées (MMRI)
programmable dédié à la sécurité)
AU Arrêt d’urgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrière technique de sécurité
Entre 2007 et 2009, les pertes de confinements survenues à
EDD Étude de dangers Ambès (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI Événement initiateur de-la-Crau (7 août 2009) avec des conséquences environnementales
importantes ont mis en lumière la problématique du vieillissement
ER Événement redouté des installations. Le tableau 1 présente les causes et les consé-
FCV Flow Control Valve quences associées à ces trois pertes de confinement.

GMAO Gestion de la maintenance assistée Au regard des accidents listés dans le tableau 1 et de l’âge
par ordinateur moyen de l’outil industriel en France, le ministère du Développe-
ment a décidé d’initier fin 2008 par sa note du 12 décembre 2008
ICPE Installations classées pour la protection (note BRTICP 2008-601-CBO) un plan pour la maîtrise du vieillisse-
de l’environnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annoncé de prévenir la survenue d’incidents dont les causes
seraient liées à l’âge des installions.
MMR Mesure de maîtrise des risques
MMRI Mesure de maîtrise des risques instrumentée Il est demandé aux industriels d’évaluer si la défaillance de leurs
installations est susceptible de conduire à un risque technologique
MMRI C Mesure de maîtrise des risques instrumentée direct ou indirect. Dans l’affirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de maîtrise des risques instrumentée
de sécurité Les équipements concernés sont :
NC Niveau de confiance – les capacités et tuyauteries ;
PID Piping and Instrumentation Diagram – les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour l’environnement et bacs cryogéniques ;
industrielles – les canalisations de transport de gaz, d’hydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;

PFH Probability of Failure per Hour – certains ouvrages de génie civil ;


– l’instrumentation de sécurité.
PPRT Plan de prévention des risques technologiques
SAMS Système à action manuelle de sécurité Le tableau 2 précise la nature des équipements visés, les
échéances réglementaires, ainsi que les guides professionnels sur
SGS Système de gestion de la sécurité lesquels il est recommandé de s’appuyer.
SIF Safety Intrumented Function
Les exigences liées à la mise en œuvre de ce plan sont forma-
SIL Safety Integrity Level lisées au travers des prescriptions de la section I de l’arrêté du
4 octobre 2010 relatif à la prévention des risques accidentels au
SIS Safety Instrumented System sein des installations classées pour la protection de l’environne-
SNCC Système numérique de contrôle commande ment soumises à autorisation. Plus particulièrement, les articles 7
et 8 concernent les mesures de maîtrise des risques instrumentées
SV Safety Valve (MMRI).

SE 2 090 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QPX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 1 – Accidents industriels attribués au vieillissement des installations

Localisation/
Cause Conséquence
date

Ouverture brutale 2 000 m3 passent au-dessus


d’un fond de bac des merlons en terre entourant
contenant 12 000 m3 la cuvette
de pétrole brut dans 50 m3 rejoignent les chenaux d’une
un dépôt zone marécageuse → 2 km de fossés
pollués et infiltration jusqu’à la nappe
superficielle
50 m3 s’écoulent dans la
Ambès
Garonne → avec les marées, 40 km
11 janvier 2007
de berges polluées sur la Gironde,
la Dordogne et la Garonne

Déversement de fioul
lourd dans l’estuaire
de la Loire au cours
d’un chargement de À l’origine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brèche de 16 cm due à une corrosion
navire Fuite décelée seulement 5 h après
478 t de fioul déversées dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilisées
pendant 3 mois et demi pour nettoyer
90 km de berges souillées
Dommages, coûts de dépollution et
indemnisations estimés à environ
50 millions€

5 400 m3 de pétrole brut déversés sur


5 ha de réserve naturelle
73 000 t de terres polluées décaissées,
Rupture d’une transportées et traitées
canalisation de
transport de pétrole
brut dans la réserve
Plaine naturelle de la Crau
de la Crau (site Natura 2000)
7 août 2009 Brèche
« boutonnière »
de 15 cm de large et
1,8 m de long due à
l’effet de toit

Source : présentation faite par le ministère de l’Environnement sur l’état d’avancement du plan de modernisation du 13 janvier 2010

Cet arrêté définit une MMRI comme une mesure de maîtrise des traitement comprenant une prise d’information (capteur, détec-
risques faisant appel à de l’instrumentation de sécurité. Le guide DT teur...), un système de traitement (automate, calculateur, relais...) et
93 vient préciser cette définition : MMR constituée par une chaîne de une action (actionneur avec ou sans intervention d’un opérateur).

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 3

QPY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

Tableau 2 – Équipements entrant dans le cadre du plan de modernisation


des installations industrielles – échéances et guides professionnels (source UIC)
Programme
Thème État initial Guide professionnel
d’inspection/surveillance

Guide d’inspection et de maintenance


Réservoirs cryogéniques 30 juin 2011 31 décembre 2011
des réservoirs cryogéniques – DT 97

Guide d’inspection et de maintenance des


Réservoirs de stockages 31 décembre 2011 30 juin 2012
réservoirs aériens cylindriques verticaux – DT 94

Capacités/tuyauteries 31 décembre 2012 31 décembre 2013 Guide tuyauterie d’usine – DT 96

Guide de surveillance des ouvrages de génie


Rack interunités 31 décembre 2012 31 décembre 2013
civil et structures – DT 98

Guide de surveillance des ouvrages de génie


Caniveaux/fosses humides béton 31 décembre 2012 31 décembre 2013 civil et structures – Caniveaux et fosses humides
– DT 100

Guide de surveillance des ouvrages de génie


Cuvettes/massifs de réservoirs 31 décembre 2011 31 décembre 2012
civil et structure – DT 92

Guide méthodologique pour la gestion


Mesures de maîtrise des risques et la maîtrise du vieillissement des mesures
31 décembre 2013 31 décembre 2014
instrumentales de maîtrise des risques instrumentées (MMRI) –
DT 93

en compte par le biais de calcul de fiabilité. En effet, pour un sys-


Seuls les établissements soumis à l’arrêté du 10 mai 2000 tème de sécurité, le seul bon fonctionnement (absence de panne)
modifié (SEVESO seuil haut ou SEVESO seuil bas) sont concer- peut s’avérer insuffisant et il est nécessaire de prévenir la dégrada-
nés par l’identification des MMRI. tion dans le temps des performances pour pouvoir justifier de la
maîtrise du risque dans le temps.
Par exemple, pour les MMRI dont le mode de détection repose
1.2 Veillissement des MMRI sur de la détection de gaz ambiante, il est connu que les détecteurs
de gaz (comme d’autres instruments de mesure) ont tendance à
Il existe de nombreuses définitions possibles du vieillissement. dériver dans le temps et que leur fonctionnement peut être altéré
Dans l’article [SE 2 080], les auteurs proposent de retenir la par des paramètres extérieurs. De ce fait, le temps de réponse peut
définition proposée par l’Agence pour l’énergie nucléaire et reprise être allongé avec pour conséquence une augmentation du délai
par l’Electric Power Research Institute (EPRI) : Processus par lequel avant la mise en sécurité des installations. Plus précisément, pour
les caractéristiques d’un système, structure ou composant (SSC) se les détecteurs de gaz toxiques, suite à une campagne d’évaluation
modifient graduellement avec le temps ou l’utilisation. D’après [1], des détecteurs d’ammoniac, l’INERIS concluait que ces dispositifs
ces mêmes auteurs définissent le vieillissement comme suit : Le entraient dans « une période d’endormissement » s’ils n’étaient
vieillissement est un phénomène continu et progressif qui dépend pas régulièrement mis en présence de gaz ammoniac [2]. Cet
bien souvent d’un grand nombre de covariables influentes telles endormissement ayant pour conséquence d’allonger les temps de
que le temps de fonctionnement, les chargements appliqués, les réponse et donc les temps de déclenchement d’alarme de façon
propriétés des matériaux, le régime d’exploitation... Il se traduit par non négligeable.
une altération des performances due à un mécanisme de dégrada-
tions physique ou chimique, propre au matériel et aux matériaux La prise en compte des dérives dans le temps de performances
qui le constituent et à ses conditions d’environnement. des MMRI valorisées dans le cadre d’une étude de dangers est
nécessaire puisque les niveaux performances retenus ont un
De la définition précédente, il ressort que pour juger du vieillis- impact sur la criticité du risque vis-à-vis duquel la MMRI est
sement d’un système, la prise en compte du seul âge n’est pas suf- valorisée.
fisante. En effet, le vieillissement dépend d’une part des conditions
susceptibles de modifier dans le temps ces caractéristiques, et Par exemple, pour une MMRI dont la fonction de sécurité serait
d’autre part des actions mises en œuvre dans le but d’atténuer ou d’isoler une canalisation par la fermeture d’une vanne d’isolement
de ralentir les mécanismes de dégradation. automatique, une dérive (à la hausse) de son temps de réponse
aboutirait à un délai d’isolement plus long et donc potentiellement
à une masse explosible formée plus importante. À titre d’exemple,
Les MMRI sont concernées par la problématique du vieillis- le tableau 3 présente l’évolution de la masse explosible en fonc-
sement puisqu’il peut mener à leur indisponibilité ou à la tion de la durée d’une fuite de propane liquéfié à pression de satu-
dégradation des performances, ce qui a pour conséquence ration (To = 15 oC) suite à une rupture de canalisation de diamètre
d’abaisser le niveau de sécurité d’une installation. 6″.
Nota : l’isolement d’une fuite ne permet de limiter la masse explosible formée que
dans le cas où le temps de réponse de la MMR est inférieur au temps de stabilisation du
Pour les systèmes instrumentés, il est important de ne pas limi- nuage. Si le délai d’isolement est supérieur au temps de stabilisation, isoler aura pour
ter la prévention du phénomène de vieillissement à sa seule prise effet de réduire le temps de persistance du nuage explosible.

SE 2 090 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 3 – Exemple d’évolution de la masse explosible en fonction de la durée d’isolement


Temps de réponse de la MMRI
15 s 20 s 30 s
Conditions atmosphériques 3–F 5–D 3–F 5–D 3–F 5–D
Masse explosible ..............................................(kg) 543 440 638 471 726 480
3-F : vent 3 m/s et classe de Pasquill « moyennement à très stable »
5-D : vent 5 m/s et classe de Pasquill « neutre »
Nota : les distances d’effets présentées dans ce tableau ne sont pas génériques, mais liées à des hypothèses de modélisation non présentées dans le cadre de
cet article

1.3 MMRI parmi les MMR Les différents types de MMR sont présentés sur le schéma de la
figure 1.
Dans son rapport Ω 10 [3], l’INERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de décembre 2008, la terminologie utilisée
cation présentée en figure 1 pour caractériser les MMR. Les défini- est le terme de barrière (remplacé ici par MMR).
tions sont les suivantes :
À l’heure actuelle, la sémantique retenue par les inspe