Académique Documents
Professionnel Documents
Culture Documents
Methodes Danalyse Des Risques PDF
Methodes Danalyse Des Risques PDF
III
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
composé de :
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Sécurité et gestion des risques
(Réf. Internet ti112)
William DAB
Titulaire de la chaire d'Hygiène et Sécurité, CNAM
François FONTAINE
Responsable « Sécurité Globale et Sécurité Globale et terrorisme », INERIS
Didier GASTON
Responsable Agence, CETE APAVE Nord-Ouest
Jean-Louis GUSTIN
Expert en sécurité des procédés Rhodia Recherches et Technologies
Olivier IDDIR
Ingénieur quantification des risques, TechnipFMC, membre du réseau des
experts, Département Expertise et Modélisation
André LAURENT
Professeur émérite, Nancy Université, LRGP, CNRS, INPL, ENSIC
Yves MORTUREUX
Expert en maîtrise des risques à la Direction de la sécurité de la SNCF
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
V
Les auteurs ayant contribué à cet ouvrage sont :
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VI
Méthodes d'analyse des risques
(Réf. Internet 42155)
SOMMAIRE
Réf. Internet page
Évaluations qualitative et quantitative des risques d'efet domino dans l'industrie SE4064 71
Analyse des risques des systèmes dynamiques : réseaux de Petri. Principes SE4072 83
Analyse des risques des systèmes dynamiques : réseaux de Petri. Exemples de SE4073 87
modélisation
La méthode LOPA : principe et exemple d'application SE4075 91
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VII
La sûreté de fonctionnement : méthodes pour maîtriser les risques AG4670 107
Mesures de maîtrise des risques instrumentées (MMRI). État zéro et iche de vie SE2090 111
Pondération des fréquences de fuite dans le cadre des analyses de risques industriels SE5080 117
Évaluation de la criticité des équipements. Méthodes d'exploitation des jugements SE4004 125
d'experts
Évaluation de la criticité des équipements. Méthodes analytiques SE4005 131
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP
Cette démarche peut prendre des formes très différentes dans sa mise en
œuvre suivant le domaine technique ou la filière industrielle considérés. Dans
bien des cas une analyse préliminaire de risques met en œuvre des méthodes
plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre
de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de
défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de
fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité
L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une
méthode particulière a aussi été développée pour cette phase initiale d’analyse
préliminaire de risques. On parle alors de méthode APR. La confusion des
termes est totale, la confusion des notions est à éviter : disons qu’une démarche
APR ne se fait pas forcément avec la méthode APR.
La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les
objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La
seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particuliè-
rement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 1
Y
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP
1. Objectifs de la démarche APR divers sous-projets susciteront des démarches APR partielles dont
les démarrages peuvent être postérieurs non seulement à celui de
l’APR globale mais même à des analyses détaillées entreprises
dans d’autres sous-projets plus avancés du même projet.
La démarche APR peut prendre des formes extrêmement
diverses. Néanmoins, sous des apparences variées, on retrouve
systématiquement trois phases qui sont aussi trois objectifs :
— identification des dangers, des événements redoutés à 1.1 Identification des événements redoutés
prendre en compte (§ 1.1) ;
— évaluation et classement des risques associés ; Cette première phase de la démarche APR consiste à identifier
— propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici l’exhaustivité est un objectif essentiel. La valeur d’une démar-
che APR dépend directement de la confiance que l’on peut placer
Globalement, on peut dire que l’objectif général d’une démarche dans le fait de n’avoir « oublié » aucun scénario d’accident. Par
APR est d’évaluer les problèmes à résoudre en matière de maîtrise contre, à ce stade, il est normal de ne pas pouvoir être très précis
des risques. Une APR doit permettre : sur ces scénarios et de ne pas pouvoir distinguer des scénarios
— de se rendre compte si le projet pourrait devoir être aban- vraisemblables, d’autres, théoriquement possibles, mais qui se
donné parce que certains risques inacceptables se révèleraient révèleront ensuite invraisemblables.
irréductibles ; En effet, le but est d’identifier les événements redoutés à pren-
— de dimensionner a priori les efforts d’études et de réduction dre en considération. Toutes les informations disponibles (connais-
de risques ; sance a priori d’événements redoutés mais aussi modes de
— de localiser les domaines du système qui demanderont le plus défaillance des composants du système, potentiel d’énergie des
d’efforts et donc, les compétences requises en matière de maîtrise composants du système, etc.) doivent être exploitées. À partir de
des risques. ces informations on se pose la question des scénarios qui peuvent
Inversement la démarche APR permet d’anticiper sur la nature se développer à partir des phénomènes évoqués et on recense
des faiblesses en sûreté de fonctionnement et les limites des per- donc les événements (redoutés) sur lesquels ces scénarios pour-
formances sûreté de fonctionnement qu’il est raisonnable de vou- raient déboucher.
loir atteindre. Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recen-
ser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste
En poursuivant l’objectif essentiel de repérer les difficultés et les à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori
efforts les plus importants de réduction de risque et de démons- les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les
sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.
tration de la sûreté de fonctionnement, une démarche APR bien
menée contribue de façon décisive à la maîtrise des risques Cette recherche s’appuie naturellement avant tout sur les spéci-
« projet », c’est-à-dire à la maîtrise des coûts, des délais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec l’atteinte des objectifs de performance du produit ou pas encore choisies. La démarche peut être menée de façon
du service. En particulier, la démarche APR doit permettre très tôt systématique sur les fonctions du système. Néanmoins, en matière
de construire une vision commune et un accord entre les parties de sécurité, il faut prendre en compte les dangers créés par les
concernées par le projet sur les mesures à prendre pour assurer la techniques choisies indépendamment des exigences fonctionnel-
sûreté de fonctionnement requise et les rôles de chacun dans ces les (notamment en chimie) dans le cadre de la méthode HAZOP).
efforts. Pour réaliser une même fonction, une solution électrique amène à se
Si la démarche APR est unique par son esprit, chacun la conduit poser la question du risque d’électrocution, une solution pneumatique
à son niveau en fonction des risques qui le concernent. Si une celle du risque d’explosion par surpression, tout cela indépendamment
démarche APR globale peut démarrer dès les origines d’un projet, des risques liés à l’échec total ou partiel de la fonction.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques
QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
et article traite de l’analyse globale des risques (AGR) qui couvre l’identi-
C fication, l’évaluation et la gestion des risques structurels, des risques
fonctionnels et des risques conjoncturels pendant tout le cycle de vie du
système étudié, depuis le début de sa conception jusqu’à la fin de son
démantèlement.
Elle existe en version semi qualitative (notée AGR), présentée dans cet
article, et en version quantitative ou probabiliste (notée AGRq) [3].
L’AGR est applicable à l’analyse des risques de projet, des risques d’entre-
prise ou des risques produits.
Les quatre catégories de dangers génériques prises en compte sont :
– les dangers extérieurs au système ;
– les dangers liés à la gouvernance du système ;
– les dangers liés aux moyens techniques du système ;
– les dangers liés aux études et production du système.
Le but de l’AGR est :
– d’identifier les principaux risques pendant l’activité du système à partir
des dangers, des situations dangereuses, des événements redoutés ou acci-
dents consécutifs et de leurs conséquences ;
– de caractériser les scénarios d’accident à partir des trois facteurs de
risques : facteur d’exposition, facteur déclenchant et facteur aggravant ;
– d’élaborer les cartographies des risques ;
– d’identifier les risques majeurs ;
– d’évaluer les bilans efforts/pertes en termes financiers ;
– d’élaborer le plan d’actions en réduction des risques ;
– d’élaborer le catalogue des paramètres de sécurité correspondant aux acti-
vités de sécurisation ultérieures.
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQV
QQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
Système
(S)
1 3
Danger Situation 5
(D) dangereuse
(SD)
Événement redouté ou
accident
(A)
7
2
Cause contact
Conséquence
ou
4 (K)
facteur d’exposition (FE)
Cause amorce
ou
Cause circonstancielle 6
facteur déclenchant (FO)
ou
facteur aggravant (FA)
QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
C2 Tolérable sous contrôle On doit organiser un suivi en termes de gestion du risque tel que contrôle ou transfert
Inacceptable On doit refuser la situation et prendre des mesures de réduction des risques
C3
Sinon... on doit refuser toute ou partie de l’activité
Probabilité Probabilité
Pr (G > g) < p
V5 V5
p4 p4
Pr Protection
(G
V4 > V4
p3 g) p3
<
p Prévention
V3 V3
p2 p2
V2 Pr (G > g) < p V2
p1 p1
V1 V1
g1 g2 g3 g4 Gravité g1 g2 g3 g4 Gravité
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5
tion ou de contrôle. Ce qui s’exprime en posant C = fD (G, V ). Le management des risques repose d’une part sur l’assigna-
L’« ensemble de définition » de fD est l’ensemble des couples (G, tion d’objectifs de risques acceptables ou tolérables définis par le
V). L’« ensemble des valeurs » de fD correspond à l’ensemble des référentiel d’acceptabilité des risques et d’autre part par la mise en
criticités, appelé échelle de criticité (figure 2), réparti en trois place de ressources ou moyens de traitement pour permettre
classes suivant le principe ALARA (As Low As Reasonably Achie- d’atteindre les objectifs (par la réduction des risques initiaux) et
vable). d’assurer leur maintien (par le contrôle des risques résiduels).
Nota : la criticité du risque ne doit pas être confondue avec le risque moyen qui est Autrement dit, le plan de réduction des risques comme le cata-
le produit de la probabilité par la gravité du risque et n’est qu’un paramètre d’évaluation logue des paramètres de sécurité n’ont de réalité que dans la
et non de décision. mesure où un plan de financement des actions, appelé finance-
ment du risque a été prévu et consolidé. Ce dernier doit être
Cette classification de l’ensemble des risques de l’activité en orienté par la contrainte « effort/perte ⭐ 1 » qui exprime que
trois classes doit être validée par la gouvernance du risque qui l’effort correspondant au coût de traitement (des conséquences) du
dispose des ressources associées aux décisions rattachées à risque doit rester inférieur à la perte correspondant au coût (des
chaque classe. conséquences) du risque en l’absence de traitement.
Les trois classes sont visualisées par zone respectivement en Le principe du financement du risque est défini ainsi : « Toute
vert, jaune et rouge sur le premier diagramme de la figure 3 action de réduction ou de contrôle pour maîtriser un risque géné-
appelé référentiel d’acceptabilité des risques ou diagramme rant une perte est un effort qui a un coût ».
ou tableau de criticité. Le second diagramme visualise les
actions de maîtrise des risques. Nota : effort de traitement du risque, que ce soit en termes de financement de l’élimi-
nation du risque, de sa réduction (prévention ou protection) ou de sa gestion telle que la
Des exemples de diagrammes qualitatif et probabiliste sont don- prise d’une assurance ou encore de son contrôle.
nés sur la figure 4.
Il est naturel de considérer le rapport : K = effort/perte, où :
Le regroupement structuré des actions de prévention et de pro- – perte est le coût du risque correspondant au montant (ou
tection est appelé plan de réduction des risques. équivalent) de la perte financière brute en l’absence de traitement
Les actions de contrôle permettent d’assurer la traçabilité des de maîtrise du risque ;
actions précédentes et de garantir dans le temps le maintien du – effort est le coût investi dans le traitement du risque,
niveau de risque acceptable ou tolérable atteint. Ces actions sont c’est-à-dire au montant (ou équivalent) financier des actions de
regroupées dans le catalogue des paramètres de sécurité. réduction, et plus globalement de maîtrise des risques.
QS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
Gravité
G1 G2 G3 G4 G5
V5
V4
Vraisemblance
V3
V2
V1
G1 G2 G3 G4 G5
1 × 10 0 1 × 100
Probabilité (p)
1 × 10–1 1 × 101
5,0 × 10–2
1 × 10–2 1 × 102
1,0 × 10–2
Probabilité
1 × 10–3 1 × 103
5,0 × 10–4
5,0 × 10–4
1 × 10–4 1 × 104
5,0 × 10–5
1 × 10–5 1 × 105
1 × 106
1 × 10–6
5,0 × 10–7
1 × 107
1 × 10–7 10 100 1 000 10 000 100 000
1,0 × 10–7 1,0 × 10–7
C1 C2 C3 Gravité (g)
QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
1
AGR SYSTÈME
Modélisation du système et élaboration de la cartographie des dangers
2
AGR SCÉNARIOS
3
Gestion des actions
QU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQU
Fonction 12
Fonction 13
Fonction 14
Fonction 21
Fonction 22
Fonction 23
Fonction 24
Fonction 25
Fonction 26
Fonction 31
Fonction 32
Fonction 33
Fonction 34
Ressource 111
Ressource 121
Ressource 131
Ressource 132
Ressource 141
Ressource 142
Ressource 211
Ressource 221
Ressource 231
Ressource 241
Ressource 251
Ressource 261
Ressource 311
Ressource 312
Ressource 321
Ressource 322
Ressource 331
Ressource 341
Ressource 342
La cartographie des situations dangereuses est définie par
Tableau 2 – Exemple de format de la cartographie l’ensemble des éléments du référentiel système/danger. Chaque
des dangers élément correspond à une case qui repère une interaction poten-
Dangers Dangers Événements tielle d’un événement dangereux sur un élément système à
génériques spécifiques ou éléments dangereux laquelle doit alors être affecté un index de priorité. La figure 9
visualise un exemple de cartographie des situations dangereuses.
DS1 ED111
Nota : une situation dangereuse peut être définie sur une ou plusieurs cases qui appa-
DS2 ED121 raissent fusionnées. Ainsi, si un danger impacte plusieurs éléments contigus du système,
DG1 alors la fusion sera horizontale. Si plusieurs éléments dangereux contigus impactent un
élément système, alors la fusion sera verticale. La combinaison des deux est aussi
DS3 ED131 possible.
DS4 ED141
ED211 2.3 AGR Scénarios
ED212
DS1
ED213 2.3.1 Éléments d’évaluation et de décision
QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP
1. Présentation............................................................................................... SE 4 030 - 2
2. Définition, objectifs et domaines d’applications ............................ — 2
2.1 Définition et objectifs ................................................................................... — 2
2.2 Notions de base ........................................................................................... — 3
2.2.1 Définition du danger et de corollaires ............................................... — 3
2.2.2 Définition de l’accident et de ses corollaires .................................... — 4
2.2.3 Définition du risq ue et de ses corollaires.......................................... — 4
2.3 Domaines d’application de la méthode ..................................................... — 7
2.3.1 Secteurs d’activité............................................................................... — 7
2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... — 8
2.4 Limites de la méthode ................................................................................. — 8
2.4.1 Consommatrice de temps .................................................................. — 8
2.4.2 Qualitative ou non............................................................................... — 10
2.4.3 Exigeante ............................................................................................. — 10
2.5 Points forts.................................................................................................... — 10
2.5.1 Principe simple.................................................................................... — 10
2.5.2 Méthode systématique ....................................................................... — 10
2.5.3 Méthode pluridisciplinaire ................................................................. — 10
2.5.4 Large domaine applicatif .................................................................... — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033
utilisé et développé depuis quarante ans pour analyser les risques poten-
tiels associés à l’exploitation d’une installation industrielle.
Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical
industries), elle était conçue comme une technique et s’adressait particuliè-
rement à la phase d’ingénierie de détail de nouvelles installations chimiques
ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues sécurité sur schémas employées à l’époque par les
sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son
originalité résidait dans son approche a priori des dangers et des dysfonction-
nements d’une installation par l’étude systématique des déviations des
paramètres gouvernant le procédé à analyser.
Cette technique s’est développée hors des limites de la société ICI, au sein de
l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974,
d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue
une pratique d’identification des dangers et des problèmes d’exploitabilité,
adoptée par de nombreuses industries « à risques », en particulier, l’industrie
QW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP
QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP
■ Objectifs ■ Dommage
L’objectif de la méthode HAZOP est, à l’origine, d’identifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de
dysfonctionnements de nature technique et opératoire dont dommage et de danger :
l’enchaînement peut conduire à des événements non souhaités. Il – dommage : blessure physique ou atteinte à la santé des
s’agit donc de déterminer, pour chaque sous-ensemble ou élément personnes, aux biens ou à l’environnement ;
d’un système bien défini, les conséquences d’un fonctionnement – la notion de danger a fait l’objet d’une définition plus spéci-
hors du domaine d’utilisation pour lequel ce système a été conçu. fique, dans la Directive SEVESO II concernant la maîtrise des dan-
• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs gers liés aux accidents majeurs impliquant des substances
de la méthode HAZOP originelle, à savoir : dangereuses présentes dans les Installations classées pour la pro-
tection de l’environnement (ICPE) : danger : « ...propriété intrin-
– « ...identification des dangers potentiels dans le système. Le sèque d’une substance dangereuse ou d’une situation physique,
danger peut se limiter à la proximité immédiate du système ou de pouvoir provoquer des dommages pour la santé humaine et/ou
étendre ses effets bien au-delà, comme dans le cas des dangers l’environnement... ».
environnementaux... » ;
– « ...identification des problèmes potentiels d’exploitabilité Exemples : une falaise (situation physique), un flacon de lessive de
posés par le système et, en particulier, l’identification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des déviations dans la l’homme (élément vulnérable) car ils peuvent provoquer des
production susceptibles d’entraîner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, brû-
conformes... ». lure grave dans le cas d’un contact du corps avec la lessive de
soude).
• Avec l’apparition de la Directive SEVESO II et des nouvelles
exigences du ministère de l’Écologie et du développement durable Sont rattachées à la notion de « danger » les caractéristiques
(MEDD) en matière de prévention des risques industriels, la suivantes :
méthode HAZOP originelle s’avère insuffisante pour l’analyse des
– les propriétés inhérentes à une substance ou une préparation :
risques majeurs. Il faut lui adjoindre une phase d’évaluation du ris-
inflammabilité, toxicité... ;
que. C’est ainsi que, de purement qualitative, la méthode HAZOP
devient semi-quantitative, contribuant ainsi à améliorer la – l’énergie disponible dans le système : pneumatique, poten-
connaissance du risque et, de ce fait, la sécurité des installations. tielle...
• Les raisons qui vont conduire à engager une étude HAZOP sur On pourra résumer la notion de danger en indiquant qu’il est
une installation industrielle peuvent répondre à de multiples objec- une caractéristique d’un système, d’une machine, d’un atelier,
tifs qui sont en fait des exigences : d’un procédé, d’une situation, ayant un certain potentiel à cau-
– satisfaire aux exigences de la politique « Hygiène-sécurité- ser des atteintes aux personnes, aux biens, à l’environnement.
environnement » (HSE) de l’entreprise propriétaire de l’instal- Nous ajouterons qu’un danger est vérifiable et quantifiable.
lation ;
– satisfaire aux exigences de l’Administration, représentée, en
particulier, par les Directions régionales de l’Industrie, de la On observera que de nombreuses substances ou préparations
recherche et de l’environnement (DRIRE) : assurer la conformité non dangereuses peuvent le devenir lorsqu’elles se trouvent dans
avec la réglementation des Installations classées pour la protection d’autres conditions.
de l’environnement (ICPE), les codes du travail et de l’environ-
Exemple : l’eau à la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, portée dès 6 0oC, elle le dev
ient.
– établir les plans d’urgence : Plan d’opération interne (POI) pour
les installations industrielles, Plan d’urgence interne (PUI) pour les À cette notion de danger peuvent être associées les notions de :
installations nucléaires, tous deux établis sous la responsabilité de potentiel de danger, phénomène dangereux, et situation de dan-
l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de ger.
prévention des risques technologiques (PPRT) établis sous l’auto-
rité du Préfet ; ■ Potentiel de danger
– renforcer la confiance des parties prenantes (stakeholders ) : La définition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; « ...système (naturel ou créé par l’homme) ou disposition adoptée
– satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) ». Dans le domaine des
financièrement le risque résiduel. risques technologiques, un « potentiel de danger » correspond à
un ensemble technique nécessaire au fonctionnement du proces-
sus envisagé. Il est aussi appelé source de danger ou élément
2.2 Notions de base porteur de danger ou élément dangereux... ».
Exemple : un flacon contenant de la lessive de soude (système)
2.2.1 Définition du danger et de ses corollaires constitue un potentiel de danger lié à la corrosivité de la substance
pour le corps humain.
■ Danger
Il existe plusieurs définitions de la notion de danger (hazard). La ■ Phénomène dangereux
plus récente émane du MEDD qui a publié, en octobre 2005, un La définition du phénomène dangereux retenue par le MEDD
« Glossaire technique des risques technologiques » [11] avec les est : « ...libération d’énergie ou de substance produisant des effets
termes suivants : au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un
– danger : « propriété intrinsèque à une substance (élément ou dommage à des cibles vivantes ou matérielles sans préjuger l’exis-
composé chimique), à un système technique (mise sous pression tence de ces dernières... ».
d’un gaz), à une disposition (élévation d’une charge...), à un orga-
nisme (microbes), etc., de nature à entraîner un dommage sur un ■ Situation de danger
« élément vulnérable » ; La définition d’une situation retenue par l’INERIS est :
– élément vulnérable : personne, bien et environnement. Un élé- « ...situation, si elle n’est pas maîtrisée, peut conduire à l’expo-
ment vulnérable est aussi appelé « cible ». sition de cibles à un ou plusieurs phénomènes dangereux... ».
QY
RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ
RQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ
La sécurité des processus industriels dépend de l’interaction, La modélisation d’une installation industrielle peut requérir plu-
du contrôle et de la maîtrise permanente de trois variables sieurs dizaines de PID. À partir d’un PID, il convient alors de le frac-
essentielles : le produit, le procédé et le facteur humain. tionner en « nœuds » dont on donnera la définition suivante pour
une installation : sous ensemble ou élément spécifique réalisant
une fonction dans le procédé.
La notion de système fait l’objet de la définition suivante [1] : Le tableau 1 présente une liste de seize équipements issus du
« ...ensemble de matériels, de logiciels, d’hommes, organisé pour projet européen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions données dans des conditions données... ». nœuds.
Le système est constitué de l’ensemble du processus industriel, Dans un nœud, le comportement fonctionnel du procédé doit
de l’acheminement des produits à leur transformation, en passant être clairement défini, ce que la méthode HAZOP qualifie
par les conditions de stockage. d’« intention » du procédé et qui peut se définir simplement ainsi :
« ...description de la façon dont le procédé doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nœud... ».
industriel), un équipement, sont parmi les systèmes le plus souvent
considérés pour les études HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une défini-
tion plus précise en se référant au concepteur de l’installation :
« ...façon dont les éléments et les caractéristues doivent se
1.2.2 Périmètre du système comporter pour être conformes aux désirs du concepteur ou à une
plage spécifiée... ».
La première des actions à engager dans une étude HAZOP est
de fixer le périmètre du système à étudier. Les enjeux et les
moyens humains à mettre en œuvre sont différents selon que l’on
s’adresse à un site, une installation, ou un équipement. Tableau 1 – C lasses d’équipements
selon le projet européen ARAMIS (d’après [18])
1.2.3 Modélisation du système Classes
Équipements
« nœuds »
La deuxième action consiste à modéliser le système. Une instal-
lation industrielle peut être modélisée comme un ensemble EQ1 Silo de stockage de solides
composé essentiellement de matériels (M1, M2...) et d’opérateurs
(O1, O2...) en interaction entre eux et avec l’environnement comme EQ2 Stockage de solides en petits emballages
le présente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matériels et opérateurs les éléments suivants : EQ4 Réservoir sous pression
– matériels : bâtiments, stockages, machines, appareils, équipe- EQ5 Réservoir de liquide stocké à une pression
ments ; supérieure à la pression de saturation
– opérateurs : tous les acteurs de l’installation, de la direction par inertage
aux exécutants.
EQ6 Réservoir atmosphérique
EQ7 Réservoir cryogénique
EQ8 Équipement de transport sous pression
EQ9 Équipement de transport atmosphérique
EQ10 Tuyauterie
EQ11 Réservoir intermédiaire intégré dans un procédé
EQ12 Équipement impliquant des réactions chimiques
EQ13 Équipement dédié aux séparations physiques
et chimiques des substances
EQ14 Équipement de production et de fourniture
d’énergie
EQ15 Équipement pour emballage
Figure 1 – Exemple de modélisation d’une installation industrielle EQ16 Autres équipements
RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ
La norme entend par caractéristique « une propriété quantitative Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de
ou qualitative d’un élément ». temps et de séquence :
L’intention concerne aussi bien le design (équipement) que la – plus tôt que (earlier than) ;
conduite (exploitation) de l’installation. – plus tard que (later than) ;
L’intention du procédé peut être une grandeur physique (T, P, – avant (before) ;
débit), ou une activité (phases de chargement d’un réactif, distilla- – après (later).
tion d’un produit). Soit un total aujourd’hui de onze mots-clés. La recherche
Le premier cas concerne plus particulièrement les procédés d’autres mots-clés est ouverte à l’imagination.
continus en fonctionnement normal où les paramètres sont fixés
par le procédé et le second cas les procédés discontinus ou 2.3 Déviations
semi-continus où les paramètres varient avec le temps et la
séquence. On intégrera dans ce dernier cas l’étude des phases 2.3.1 Définition
transitoires de démarrages et d’arrêts rencontrées dans les procé-
dés continus. La combinaison de mots-clés et de paramètres va constituer une
dérive, ou déviation, de ce paramètre :
RS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ
RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ
RU
RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR
RW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR
Directeur de projet
1.1.2 Documents relatifs au procédé Représentant du
Maître d'ouvrage
Le tableau 2 détaille les thèmes à documenter, ainsi que la
Chef de projet
nature des documents à collecter. Exploitant
(maître d'oeuvre)
- société d'ingénierie Site d'accueil
- entrepreneurs Opérateurs
1.1.3 Documents relatifs aux opérations - spécialistes
Le tableau 3 détaille les thèmes à documenter, ainsi que la Figure 1 – Schéma de l’organisation à mettre en place pour mener
nature des documents à collecter. un projet d’industrialisation
Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP
Thèmes à documenter Documents à collecter
Fiches produits* : propriétés physiques, chimiques
Matières premières, intermédiaires, thermodynamiques, inflammabilité, réactivité, instabilité,
Caractéristiques produits finis, sous-produits, impuretés, toxicité, écotoxicité, modes de stockage, indices Dow et
des produits et utilités auxiliaires (solvants, catalyseurs), utilités, CHETAH, PEM, critères NFPA, traitement et destruction
déchets, rejets liquides et gazeux des produits, réglementation (ICPE, transport.).
Document unique
Caractéristiques
Rejets, déchets chroniques et accidentels Études déchets
des déchets
Fiches réactions : équations chimiques, chaleurs de réaction
(exo ou endo-thermie), opérations (continues, discontinues,
semi-continues...), modes opératoires (état physique, quantités,
flux, T, P, compositions...), cinétique, risques associés
Caractéristiques Réactions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des réactions parasites
maîtrise des réactions, mesures de prévention des pannes et
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Fiches opérations : nature (distillation, filtration...), conditions
opératoires (état physique, quantités, flux, T, P, compositions,
phases...), risques associés (explosion physique, rejet de
Caractéristiques
Opérations de génie chimique produit toxique...), mesures de prévention des pannes et des
des séparations physiques
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Incompatibilités Matrice d’incompatibilité : risques associés à réaction,
Produit-produit, produit-matériau,
des produits, utilités et explosion, incendie, polymérisation, corrosion, échauffement,
produit-utilité, produit-auxiliaire
matériaux décomposition, précipitation...
Bilan matières : flux par flux, prévisionnel et cohérent
Flux matières et flux Bilan matières
(par analyse de chacun des flux), bilan thermique par nœud ou
thermiques Rejets dans l’environnement
opération
* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à
jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).
RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP
AMDE (C)
1. Introduction............................................................................................... SE 4 040 – 2
2. Sens et pertinence de l’AMDE(C)......................................................... — 2
2.1 Principe de l’AMDE(C) ................................................................................. — 2
2.2 Utilité de l’AMDE(C) ..................................................................................... — 2
2.3 Conditions de réussite de l’AMDE(C) ......................................................... — 3
2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques ........... — 3
3. Réalisation d’une AMDE(C) ................................................................... — 4
3.1 Préparation à l’AMDE(C).............................................................................. — 4
3.2 Conduite de la méthode.............................................................................. — 5
3.2.1 Première étape : décomposition et modes de défaillance .............. — 5
3.2.2 Deuxième étape : effets et criticité .................................................... — 6
3.2.3 Le tableau AMDE(C) ........................................................................... — 6
3.2.4 Troisième étape : synthèse ................................................................ — 7
4. Exploitations de l’AMDE(C) ................................................................... — 7
4.1 Produits directs d’une AMDE(C)................................................................. — 7
4.1.1 Évaluation des défaillances................................................................ — 7
4.1.2 Actions correctives ............................................................................. — 7
4.1.3 Suivi des corrections .......................................................................... — 8
4.1.4 Constitution d’un dossier. Documents complémentaires du
tableau ................................................................................................. — 8
4.2 Impacts de l’AMDE(C).................................................................................. — 8
4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ — 8
4.2.2 Impacts sur la conception.................................................................. — 9
4.2.3 Validation de la conception ............................................................... — 9
4.2.4 Prescriptions d’exploitation ............................................................... — 9
4.2.5 Organisation de la maintenance ....................................................... — 9
4.2.6 Exploitation, maintenance et retour d’expérience........................... — 9
4.2.7 Communication .................................................................................. — 9
5. Recommandations sur le processus ................................................... — 10
5.1 Échanges entre l’analyste, le commanditaire et les experts .................... — 10
5.2 L’animation du groupe de travail................................................................ — 10
5.3 Pousser les limites de la méthode ............................................................. — 11
5.4 Soigner la synthèse ..................................................................................... — 11
6. Limites de l’AMDE(C) .............................................................................. — 11
6.1 Réputation d’exhaustivité de l’AMDE ........................................................ — 11
6.2 Domaines d’application .............................................................................. — 11
7. Conclusion ................................................................................................. — 12
Pour en savoir plus........................................................................................... Doc. SE 4 040
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 1
RY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 2 © Techniques de l’Ingénieur
SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP
— d’évaluer globalement les risques auxquels les défaillances produit », « AMDEC processus » ou « AMDEC moyen » et bien
des composants exposent ; d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de
— d’identifier et de hiérarchiser les faiblesses du système ; la démarche qui est exactement le même.
— de prévoir la maintenance corrective nécessaire ;
— d’évaluer l’intérêt de modifications de la conception ou de
maintenance préventive pour réduire ces risques ;
— de prévoir des mesures d’exploitation adaptées aux situations
2.3 Conditions de réussite de l’AMDE(C)
à venir ;
— de hiérarchiser l’importance des règles d’exploitation et de
L’AMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont réunies :
— d’intégrer dans une vision globale du système les compétences
des diverses sciences et techniques sollicitées par le système en fai- — il faut savoir décomposer l’ensemble du système étudié en
sant dialoguer les spécialistes de celles-ci. composants d’un niveau de finesse tel que à chaque composant on
sache associer tous les modes de défaillance qui peuvent l’affecter ;
L’AMDE, appliquée à un produit destiné au grand public, incluant
comme « composant » l’utilisateur et lui associant comme « modes — il faut connaître les fonctionnements du système pour pouvoir
de défaillance » les mauvais usages, erreurs ou manques de soin décrire ce qui se passe quand apparaît un mode de défaillance d’un
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chaîne de la cause vers les conséquences.
d’imaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, l’AMDE(C) va se dérouler au mieux et pro-
il s’expose du fait des défaillances, intrinsèques ou induites par son duire les résultats attendus !
action, de l’appareil. Sur cette base, l’entreprise, qui commercialise
le produit, peut ajouter une dimension criticité à ces événements Il faut combattre avec fermeté l’illusion assez répandue que, en
(responsabilité du constructeur du fait du produit en cas d’accident, présence d’un système mal connu ou qui nous apparaît comme une
perte de clientèle, perte d’image, coût d’après-vente…) et évaluer « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une
l’intérêt de mesures de réduction de risque (avertissements sur la AMDE(C) sur un système dont on ne connaît pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de détrom- ments est un leurre. Si l’aura de la méthode donne de l’assurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, c’est de la tromperie. Comme toute
retrait du marché…). méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à
partir de rien.
L’AMDEC, appliquée à une chaîne de production, permet de hié-
rarchiser et de valoriser les conséquences des défaillances des
pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :
— des stocks de pièces de rechange ; 2.4 Place de l’AMDE(C)
— de modifications de la chaîne pour réduire les temps de rem- dans une démarche de maîtrise
placement de certaines pièces ; des risques
— de renforcer ou d’alléger la maintenance préventive sur telle
ou telle pièce ;
— de choisir tels ou tels points de contrôle pour garantir la qualité Si on fait le bilan des expériences réussies ici et là, on trouvera
du produit fini de façon optimale ; l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un
— de payer plus cher des pièces plus fiables ; système. Toutefois, on peut souligner le caractère à peu près
— de doubler tout ou partie de la chaîne ; incontournable de l’AMDE(C) à la fin de la conception, à la charnière
— de privilégier une série ou un fournisseur pour telle ou telle avec la réalisation ou l’exploitation et la maintenance. En effet,
pièce… quand le système est décrit de façon précise, les composants choi-
sis, l’AMDE(C) s’applique à merveille pour compléter la
L’AMDE appliquée à l’alimentation électrique d’un important
connaissance des fonctionnements (fonctionnements souhaités
domaine, a permis d’identifier toutes les défaillances élémentaires
décrits par la conception) avec les fonctionnements non souhaités,
susceptibles de provoquer des conséquences sensibles sur l’alimen-
mais inévitables du fait qu’aucun composant n’est infaillible. Il faut
tation d’un établissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut résulter des défaillances des
cune de ces défaillances pour s’assurer que des précautions étaient
composants choisis. À ce stade, les spécialités diverses sollicitées
prises pour que une ou deux défaillances simultanées n’aient pas de par la conception ont dû réunir leurs apports et c’est une caractéris-
conséquences dommageables. Le caractère systématique de tique intéressante de l’AMDE(C) de réunir et faire dialoguer les
l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien cou-
connaissances (modes de défaillance et comportements des divers
verts et de renforcer les précautions.
éléments du système) de toutes les spécialités.
Du seul point de vue d’un fabricant, l’AMDEC s’applique à plu-
Exemple : quelle défaillance peut affecter l’alimentation électrique
sieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
résultats vont alors permettre d’améliorer la conception de ce pro-
fluide qui se traduit comment sur la température qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits électroniques qui produit quel résultat sur le traitement des
client. Elle s’applique aussi au processus de fabrication du produit.
données, etc.
Ses résultats permettent d’améliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des À ce stade, l’AMDE(C) permet de s’assurer que les conséquences
délais, conformité de la fabrication…) et maîtriser les risques de la des défaillances internes au système sont compatibles avec les
production (rebuts, pertes de production…). Enfin à l’échelle infé- objectifs ou de reprendre la conception pour y remédier.
rieure, elle s’applique à chacun des moyens de production. Ses
résultats vont influer sur les exigences à l’égard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de réduire les impacts négatifs (autorisons-nous ce néologisme pour désigner les équipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description réaliste du système tel
études différentes, mais dont les enjeux et les résultats ne sont pas que les concepteurs l’ont étudié. Non seulement ce qu’on en attend
totalement indépendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spécifications techniques de
entre les équipes menant ces analyses. On emploie couramment besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué
des termes différents pour désigner ces analyses comme « AMDEC dans l’AMDE(C).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 3
SQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP
Toutefois, on pratique aussi souvent l’AMDE(C) sur un système dépendent très lourdement des dysfonctionnements des moyens de
ancien ou acheté sur étagère pour anticiper les pannes et optimiser production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand
les réactions à ces pannes (maintenance mais pas seulement). On bénéfice sur les moyens de production.
trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire
de risques. L’APR ayant globalement comme objectif d’identifier les En présence d’un système complexe qui passe par diverses
risques nécessitant une démarche spécifique et de proposer une phases ou diverses configurations… l’AMDE(C) unique qui couvre
démarche de maintien de ces risques à un niveau acceptable, une tous les cas devient pratiquement très difficile à réaliser, encore plus
AMDE(C) sur une partie du système est la démarche adéquate si les difficile à exploiter et le risque d’être gravement incomplète est très
défaillances des composants du système sont susceptibles d’être à élevé : au moment de l’analyse, il est fort à craindre que les diverses
l’origine de risques importants. Ces deux exemples illustrent le fait configurations n’aient pas été réellement envisagées. Il est plus
qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que sage de réaliser plusieurs AMDE(C) par phase ou par configuration,
très en aval d’un cycle de vie. quitte à s’interroger sur la nécessité de les étudier toutes par une
AMDE(C).
Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C)
très tôt dans le développement d’un nouveau produit ou service : Le critère de sagesse est d’éviter que, au moment de répondre à
avant même de savoir précisément comment une fonction sera réa- la question « quels sont les effets de tel mode de défaillance ? », la
lisée, donc avant de connaître vraiment les composants et leurs réponse pertinente commence par « ça dépend de… ».
modes de défaillance, on peut émettre des hypothèses et imaginer
les conséquences des défaillances envisagées. Cette démarche a
très souvent permis d’améliorer considérablement la complétude
des spécifications. En effet, s’il est naturel d’exprimer ce qu’on
attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer
3. Réalisation d’une AMDE(C)
ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypo-
thèses de conception et de défaillances est très efficace pour tendre
à la complétude des spécifications. 3.1 Préparation à l’AMDE(C)
Ainsi, en présence d’un système complexe, l’AMDE(C) revient
généralement plusieurs fois dans le cycle d’étude du système. Cha-
que projet doit déterminer les revues (articulations entre phases du La méthode s’inscrit dans un cycle d’activités. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait nécessaire. Les normes ayant essayé de donner des cri- avoir été réalisée. L’analyse fonctionnelle externe du système décrit
tères généraux identifient trois niveaux de décomposition pour un ce qu’on attend de lui. Cette description est essentielle pour donner
système important et trois sujets d’AMDE(C) : du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les
fonctionnements identifiés sont conformes à ces exigences, empê-
— le niveau « système » ;
chent la réalisation d’une fonction exigée, dégradent l’accomplisse-
— le niveau « sous-système » ; ment d’une fonction ou encore s’ils produisent un résultat
— le niveau « composants » ; indifférent par rapport au cahier des charges, mais dont on devra
— l’AMDE(C) fonctionnelle ; s’assurer qu’il ne présente pas un danger.
— l’AMDE(C) produit ;
L’analyse fonctionnelle interne décrit comment les fonctions exi-
— l’AMDE(C) processus. gées par le cahier des charges pour le client sont réalisées à travers
Pourquoi plusieurs niveaux : des fonctions décrites aux spécifications techniques de besoin en
— d’une part pour pouvoir découper en parties matériellement tant que fonctions à accomplir, performances associées à ces fonc-
réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau tions, conditions dans lesquelles ces fonctions sont réputées exigi-
pour un système aussi complexe qu’un avion moderne ou une cen- bles, contraintes à respecter. Cette analyse fonctionnelle interne
trale d’énergie, serait un monstre. Un monstre trop difficile à exploi- décrit, au niveau fonctionnel, comment le système fonctionne
ter et un monstre inutile, car les conséquences mises en évidence quand il fonctionne « bien », elle est donc nécessaire pour évaluer
par une analyse à la fois globale et exhaustive seront de niveau de les effets des modes de défaillance identifiés.
criticité très différents. Il vaut bien mieux réserver la méthode à ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, à chaque étape, est de premier ordre, en vaut la peine ; grands projets menés selon les référentiels qui les exigent. Dans de
— d’autre part, pour tirer des conclusions qui peuvent l’être à des nombreux cas, elles sont implicites ou incomplètes. Il importe pour
stades intermédiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systèmes (à un stade où on ne sait peut-être pas encore à tions. Le déroulement de l’AMDE(C) peut sembler parfait sans être
quels composants on les devra et si on saura intervenir sur leur passé par cette étape dans la mesure où les participants partagent
propagation) et réaliser l’importance de leurs conséquences permet une vision commune du système. Le déroulement sans heurt de
d’améliorer l’architecture pour s’en protéger plutôt que se trouver l’analyse peut masquer des divergences de conception sur ce qui
plus tard confronté à l’alternative : soit remettre en cause l’architec- est attendu du système, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrière, soit être contraint d’éliminer les cau- ponsable de l’analyse, faute de référence, ne peut s’assurer d’avoir
ses de ces dysfonctionnements ce qui peut se révéler impossible ou bien couvert les exigences du système et des exigences importantes
très coûteux. (tellement d’ailleurs qu’elles sont implicites pour tout le monde)
auront été oubliées. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banalisés par les exploitants parce que, en
L’AMDE(C) s’applique aussi bien à une décomposition fonction- l’absence de malchance, ils permettent quand même de produire,
nelle (à condition de disposer d’une décomposition en fonctions élé- seront traités comme des fonctionnements nominaux au lieu d’être
mentaires dont on connaît les échecs possibles) qu’à une traités comme des situations au moins de fragilité. L’absence
décomposition matérielle. Une bonne AMDE(C) fonctionnelle, d’explicitation des exigences fonctionnelles externes et internes
quand elle est possible, prépare très utilement et permet de cibler la rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement
ou les AMDE(C) matérielles. trompeuse.
L’AMDE(C) s’applique aussi bien au produit ou service à produire La validation des analyses fonctionnelles existantes ou la réalisa-
qu’aux moyens de le produire. La production d’un produit ou ser- tion d’analyses fonctionnelles est une étape d’initialisation néces-
vice conforme aux engagements pris et le coût de cette production saire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 4 © Techniques de l’Ingénieur
SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP
T oute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 1
SS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP
Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même
méthode ou pour trois façons de conduire le même raisonnement mais bien
pour trois méthodes différentes.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 2 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques
ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP
■ L’arbre des causes part d’un événement qui s’est produit et orga- sent pas à l’accident sont identifiées, l’arbre d’événement est
nise l’ensemble des événements ou conditions qui se sont combi- recommandé pour évaluer l’efficacité du système et les progrès les
nés pour le produire. Il repose sur un raisonnement dans le même plus intéressants.
sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa ● Un arbre est souvent un moyen satisfaisant de présenter
représentation est illustrée à titre d’exemple figure 1 b. synthétiquement les résultats des études montrant les relations
On construit un arbre des causes dans une démarche de retour entre causes et conséquences (qualitativement-logiquement mais
d’expérience, ou, de façon isolée, pour apprendre le maximum d’un aussi quantitativement), études qui ont pu solliciter bien d’autres
accident. L’arbre des causes est très utilisé pour décrire le scénario méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...)
d’un incident ou accident, pour soutenir la démarche d’analyse de (cf. article [AG 4 670]).
l’accident. Des logiciels sont également disponibles pour guider et En présence d’un système où de nombreux événements initia-
réaliser la mise en forme d’un arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La démarche de réalisation d’un arbre des causes consiste à tions humaines importantes donc possibilités d’erreurs, agressions
répondre à la question : « quels faits ont joué un rôle dans la surve- environnementales, etc.) mais pour lequel la préoccupation porte
nue de cet accident et en se combinant de quelle façon ? » sur la survenue ou non, du fait de tous ces incidents d’un ou deux
événements redoutés du niveau du système entier, l’arbre de
■ L’arbre d’événement part d’un événement et décrit les différentes défaillance (ou les arbres de défaillance) s’impose(nt).
conséquences qu’il peut avoir en fonction des conditions dans les-
quelles il s’est produit et des événements avec lesquels il se com- En présence d’un système où la préoccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres précédents : ou trois événements redoutés (panne d’un composant critique,
de la cause vers les conséquences (d’où sa représentation donnée à erreur typique...) n’aient pas de conséquences graves malgré la
titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à variété des scénarios dans lesquels ils peuvent intervenir, l’arbre
représenter l’ensemble des possibles, ici, des conséquences possi- d’événement (les arbres d’événement) s’impose(nt).
bles de l’événement étudié. ■ Bien entendu, ces méthodes peuvent se compléter. Les appro-
On construit et on utilise un arbre d’événement dans une démar- ches inverses de l’arbre d’événement et de l’arbre de défaillance
che d’évaluation a priori. Le point de départ est un incident, une peuvent être utilisées conjointement au même niveau, ce qu’on
défaillance, une erreur, une agression... dont on veut évaluer les peut ne pas voir ou négliger dans l’une pouvant apparaître dans
conséquences possibles qui dépendent d’un certain nombre l’autre. Elles peuvent aussi se compléter à des niveaux différents,
d’autres facteurs. Si on connaît les probabilités associées à ces fac- l’une servant à évaluer en entrant dans le détail ce qui est un élé-
teurs on peut calculer en s’appuyant sur l’arbre d’événement la pro- ment de l’autre.
babilité associée à chacune des conséquences possibles de
l’incident initial. Exemple : la probabilité de succès d’un dispositif à utiliser dans un
arbre d’événement peut résulter d’un arbre de défaillance développé
pour l’échec de ce dispositif.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 3
SU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP
● L’ objectif « quantitatif » est d’évaluer la vraisemblance de la définition requiert les mêmes précisions : définition de la fonction et
survenue de l’événement étudié à partir des combinaisons d’événe- des conditions à prendre en compte.
ments élémentaires qui peuvent le produire. Si on connaît les pro-
babilités de ces événements on peut en déduire la probabilité de
Le responsable de l’étude doit s’assurer que :
l’événement étudié et l’impact sur celle-ci d’une réduction (ou aug-
— l’événement étudié est bien celui qui convient eu égard à la
mentation) de telle ou telle des probabilités élémentaires.
démarche dans laquelle s’inscrit la construction de l’arbre ;
— les conditions extérieures ou les agressions à prendre en
À défaut d’une quantification par probabilités, l’arbre permet
compte (et celles à ne pas envisager) sont cohérentes avec les
d’apprécier le nombre de scénarios conduisant à l’événement étu- objectifs de l’étude ;
dié, le nombre minimum d’événements ou de conditions suffisant — les participants à l’analyse et les futurs utilisateurs de
pour qu’il arrive, etc. l’arbre ou des conclusions qui en seront tirées partagent la
même définition de l’événement étudié.
Il importe donc de définir l’événement étudié de façon explicite et 2.2.2 Événements intermédiaires
précise.
L’événement étudié étant défini, l’étape suivante est de le décrire
Exemple : les événements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
équivalents : ou plusieurs événements plus réduits.
— collision de deux trains ;
— collision impliquant un train ; Exemple : une défaillance d’éclairage peut résulter de la défaillance
— collision impliquant une circulation ferroviaire ; de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance
— collision impliquant un train due à une défaillance du système du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparaître des événements moins globaux que
— dommages à une circulation ferroviaire ou à des passagers ou du l’événement-sommet que l’on appellera événements intermédiaires
personnel de bord ou au chargement, dus à une collision... (si ils sont eux-mêmes appelés à être décrits en combinaison d’évé-
On peut croiser de toutes les façons chacune des précisions ou res- nements plus détaillés) et un connecteur logique qui les relie à l’évé-
trictions qui figurent dans ces exemples (et bien d’autres) et chacun nement-sommet.
des événements produits sera différent des autres (certains plus géné-
raux en incluant d’autres).
Les conséquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou d’imprudence de tiers sont ou ne sont pas pris en
compte ; l’accident de tiers percuté par un train à la traversée des voies Les deux connecteurs logiques de base sont ET et OU (figure 2).
(sans dommage au train) est ou n’est pas inclus dans cette analyse-là, Toutes les combinaisons logiques s’expriment avec ces deux
etc. connecteurs (et la négation logique qui exprime le contraire de
l’événement qu’elle affecte), mais il peut être pratique d’utiliser
Pour bien comprendre les enjeux de cette définition de l’événe- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallèle avec les définitions de la fiabilité (disponi- Exemple : si un système tombe en panne si deux sur trois des
bilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les équipements A, B, C tombent en panne, il est pratique de représenter
définitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à
formules comme « accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions données ». Un événement à étudier est généralement un De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A)
échec (non accomplissement d’une fonction) ou une agression. Sa ET B] (cf. figure 3 b).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 4 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques
SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP
2.2.5 Conditions
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 5
SW
SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR
Arbre de défaillance
Contexte booléen, analyse et bases
mathématiques
par Jean-Pierre SIGNORET
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France
SY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR
TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR
S1 S2 S3
Événements 2/3
primaires
(feuilles)
A B C D E F G
LA LB LC LD LE LF LG
Blocs C E
A B F 2/3
Système S1 D S2 G S3
Figure 2 – Équivalence entre les portes logiques des ADD et les structures logiques des BDF
TQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR
1.2 Construction d’un arbre simple événement intermédiaire identifié devient un effet dont il faut
rechercher les causes directes. Ceci est réalisé aux étapes 4 et 5
À l’aide des structures logiques très simples ci-dessus, il est illustrées sur la figure 4 :
possible, par exemple, de modéliser un système instrumenté de – l’événement « Échec de l’isolement de l’alimentation » étant
sécurité (SIS) typique comme celui illustré en bleu sur la figure 3. causé par la panne simultanée des deux vannes d’isolement E et F,
Trois capteurs, A, B et C, mesurent la pression du réservoir et ils les deux événements « Vanne E défaillante » et « Vanne F défail-
envoient leurs mesures à un automate, D, qui, lorsque deux cap- lante » sont connectés à l’aide d’une porte ET ;
teurs sur les trois indiquent un dépassement de seuil, commande – l’événement « Détection surpression défaillante » étant causé
aux deux vannes de sécurité, E et F, de se fermer afin de couper par la panne simultanée de deux capteurs sur trois, les trois événe-
l’alimentation du réservoir. ments « Capteur A défaillant », « Capteur B défaillant » et « Cap-
L’approche par ADD procède d’une démarche déductive (effet → teur C défaillant » sont connectés à l’aide d’une porte 2/3.
causes) et cela en fait une approche originale, à part et complé- À l’issue des étapes 4 et 5, plus aucun des événements identi-
mentaire des autres approches de la sûreté de fonctionnement qui fiés ne nécessite d’analyse plus détaillée, tous les événements pri-
procèdent plutôt de démarches inductives (cause → effet). Ainsi, maires ont été identifiés et la construction de l’arbre est terminée.
un arbre de défaillance est construit de manière récursive en par-
La démarche déductive est donc une vraie démarche d’analyse
tant d’un événement indésiré pour remonter à ses causes, comme
prenant l’analyste par la main et lui permettant de construire
cela est illustré sur la figure 4.
l’ADD pas à pas en identifiant les causes les unes après les autres
La première étape est donc d’identifier précisément l’événe- jusqu’à ce que le niveau de détail pertinent soit atteint et l’arbre
ment indésiré car de la pertinence de cet événement dépend toute terminé. Ceci est très différent, par exemple, de l’approche par
la suite de la construction de l’arbre. Pour le SIS présenté sur la BDF où l’analyste doit fixer le niveau de détail avant de commen-
figure 3 l’événement indésiré est la défaillance du système en cas cer à construire le modèle.
de surpression dans le réservoir. Il est noté par « SIS défaillant »
Outre l’aspect déductif, l’approche possède aussi des symboles
sur la figure 4 et constitue la sortie de l’arbre en cours de
graphiques propres à aider l’analyste dans son travail de
construction.
construction. Il en est ainsi pour les symboles graphiques cou-
L’étape n° 2 consiste à rechercher tout d’abord la cause immé- rants disponibles pour les événements primaires (figure 5) :
diate de l’événement indésiré (échec de l’isolement de l’installa- – événement de base : événement qui ne nécessite pas d’analyse
tion) qui est la non-fermeture des deux vannes E et F. Cette non- plus détaillée ;
fermeture est imputable soit aux vannes elles-mêmes (« Défail- – événement élémentaire : événement qui pourrait être détaillé
lance des vannes »), soit à l’« absence de sollicitation » desdites mais dont le niveau de détail est considéré comme suffisant pour
vannes. Ces deux causes sont des événements intermédiaires qui l’arbre considéré ;
nécessitent une analyse plus approfondie.
– événement à développer : événement nécessitant une analyse
L’étape n° 3 consiste, par exemple, à rechercher les causes plus détaillée et pour lequel des informations complémentaires
directes de l’événement intermédiaire « Absence de sollicitation doivent être réunies. L’utilisation de ce symbole permet à l’ana-
des vannes ». Cela conduit à identifier deux causes distinctes, lyste de repérer facilement le travail restant à faire.
« Solveur logique défaillant » et « Détection surpression défail- Les portes de transfert de sortie et d’entrée présentées à droite
lante ». L’événement « Solveur logique défaillant » est un événe- de la figure 5 permettent de découper un arbre volumineux en
ment ne nécessitant pas de développement plus détaillé : sous-arbres plus petits ou de faire le lien avec un diagramme
l’analyse s’arrête là et cette cause est considérée comme un évé- cause-conséquence. Ainsi, la porte transfert n° 3 figurée au som-
nement primaire de l’ADD. L’autre cause, en revanche, est un évé- met de l’arbre de la figure 4 permet de faire le lien avec l’entrée
nement intermédiaire nécessitant une analyse plus approfondie correspondante du diagramme cause-conséquence de la figure 8
concernant les capteurs. et de l’ADD de la figure 9.
L’analyse des événements intermédiaires « Défaillance des Les symboles graphiques spéciaux présentés sur la figure 6
vannes » et « Détection surpression défaillante » est réalisée en sont aussi utilisés assez souvent pour préciser la nature des évé-
appliquant le même processus déductif que ci-dessus : chaque nements primaires :
– événement devant se produire (événement maison) pendant la
durée d’utilisation du système modélisé ;
Solveur – conditions permettant de valider une partie d’un ADD ;
logique Capteurs – panne dormante indiquant une panne existante mais non
A de pression détectée ;
– événement intermédiaire permettant d’ajouter des informa-
D B Soupape tions dans les branches des ADD.
Système de sécurité L’utilisation des symboles de la figure 6 facilite la lecture et la
instrumenté C compréhension de l’arbre et fait de l’ADD un excellent instrument
de sécurité Capteurs d’échange entre les différentes parties concernées.
de niveau
L
Alimentation
2. Liens avec les autres
Vanne
Réservoir de régulation
TR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUR
Porte Événement S 1
3
transfert indésiré Étapes
SIS de la construction
défaillant
Porte
2
OU
Absence Événements
Défaillance
de sollicitation intermédiaires
des vannes
des vannes
Sens de l’analyse
Porte
3 4
ET
E F
Détection Solveur logique Vanne E Vanne F
surpression D
défaillant défaillante défaillante
défaillante
LD LE LF
Porte
2/3 5
2/3
Événements
primaires
A B C
Capteur A Capteur B Capteur C
défaillant défaillant défaillant
LA LB LC
O O O
Figure 5 – Symbole courant pour les événements primaires et les portes de transfert
Les éléments équivalents à ceux identifiés sur l’arbre de la deux vannes en série du point de vue physique sont en fait redon-
figure 4 ont été reportés sur la figure 7 : la structure série à dantes et donc en parallèle du point de vue fonctionnel.
droite est duale du sous-arbre développé à l’étape 3 (porte ET),
la structure 2/3 à gauche est duale du sous-arbre développé à
l’étape 4 (porte 2/3), le bloc D est dual de l’événement « Solveur 2.2 Liens avec les arbres d’événements
logique défaillant » et la structure série englobant le tout est et les arbres des diagrammes cause-
duale de la porte logique OU développée à l’étape 2. Quant à la
sortie du BDF, elle est duale de l’événement indésiré identifié à
conséquence
l’étape 1.
Les diagrammes cause-conséquence ont été inventés dans les
Il est à remarquer que la structure logique du BDF est différente années 1970 pour décrire le déroulement des événements suscep-
de l’architecture matérielle du système modélisé. En effet, les tibles de conduire à un accident dans le domaine nucléaire [6]. Ils
TS
TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS
Arbre de défaillance
Aspects temporels
par Jean-Pierre SIGNORET
Spécialiste en sûreté de fonctionnement
Ancien président de la commission UF56 (sûreté de fonctionnement) de l’UTE
puis de l’AFNOR
Chef de projet de la norme IEC 61025 – Arbre de défaillance
Membre de TOTAL professeurs associés
64160 Sedzère, France
TU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS
Ces calculs ont pendant longtemps été limités par la taille des ADD consi-
dérés, la puissance des ordinateurs disponibles et la faible efficacité des
algorithmes utilisés en présence d’éléments répétés plusieurs fois dans les
modèles. Ces limitations ont été levées depuis la mise œuvre des diagrammes
de décision binaires (DDB). Cela a d’abord été mis à profit dans le cas statique
[SE 4052], puis pour l’introduction des aspects temporels et l’utilisation de la
simulation de Monte Carlo pour évaluer l’impact des incertitudes sur les
données d’entrée des ADD. Ces derniers points font l’objet de cet article.
Lorsque les probabilités de défaillance des composants évoluent en fonction
du temps, les ADD peuvent être utilisés pour combiner des processus de
Markov (CEI 61165, [SE 4071]) ou des réseaux de Petri stochastiques
(CEI 62551, [SE 4072], [SE 4073]). Cela conduit aux processus de Markov
pilotés par ADD et aux réseaux de Petri pilotés par ADD. Dans ce cas, le com-
portement des composants est modélisé par des processus de Markov
(respectivement réseaux de Petri) individuels, indépendants les uns des autres,
et la logique de combinaison est fournie par l’ADD.
Lorsque les composants ne sont pas indépendants, les ADD peuvent être
étendus aux ADD dynamiques (ADDD). Dans les cas simples, cela peut être
couvert par les processus de Markov pilotés par ADD mais, dans le cas général,
le traitement analytique doit être abandonné au profit de la simulation de Monte
Carlo et les réseaux de Petri pilotés par ADD peuvent être utilisés à cet effet.
Dans ce cas, il est possible de traiter des composants/systèmes/fonctions à plus
de deux états et sortir du strict contexte booléen et de la logique classique.
Les divers aspects évoqués ci-dessus sont illustrés par des exemples
pédagogiques.
TV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS
Les concepts d’indisponibilité et de défiabilité dépendent du – à gauche de la figure 3 sont représentées les indisponibilités
temps, et c’est pourquoi ils ont été soigneusement évités dans instantanées liées aux trois événements primaires ;
l’article de base [SE 4052], car seules des probabilités constantes – un instant ti a été sélectionné et les valeurs correspondantes
étaient considérées. L’indisponibilité concerne les entités réparées des indisponibilités relatives à chaque événement primaire ont été
lorsqu’elles tombent en panne alors que la défiabilité concerne les repérées par des petits cercles ;
entités non réparées quand elles tombent en panne. Ces deux – ces valeurs sont utilisées pour calculer la valeur de l’indisponi-
concepts sont confondus quand les pannes ne sont pas réparées. bilité du système à l’instant ti. Ceci est repéré par le petit cercle
tracé sur la courbe à droite de la figure 3 ;
Nota : attention, ce qui est dit ci-dessus concerne les pannes totales de l’entité
concernée. Les défaillances partielles peuvent être réparées ou non si leur occurrence – la répétition de cette opération pour de nombreux instants
n’entraîne pas la défaillance totale de l’entité. Cela est analysé plus en détail dans la conduit à la courbe complète de l’indisponibilité du système, US(t)
section relative aux calculs de défiabilité. sur un intervalle [0, T].
Si l’on considère la probabilité d’occurrence d’un évé- À partir des points obtenus, il est facile de calculer la moyenne
nement primaire appartenant à un ADD, cette probabilité peut de cette courbe, ce qui donne l’indisponibilité moyenne du sys-
correspondre soit à l’indisponibilité du composant concerné, soit tème sur la durée considérée.
à sa défiabilité. Aussi, pour distinguer les deux cas, les notations Il est à noter que l’indépendance des blocs implique qu’il y ait
suivantes sont utilisées par la suite : autant d’équipes de maintenance que d’événements primaires
– dans le cas d’une panne réparée ; dans l’ADD. Donc, s’il y a une seule équipe disponible, les résul-
– dans le cas d’une panne non réparée ; tats obtenus sont optimistes.
– et pour les probabilités Nota : le temps de réparation d’un composant estimé à partir du retour d’expérience
inclut le délai avant réparation, la réparation proprement dite et le délai avant remise en
complémentaires (disponibilité et fiabilité). service. Outre les délais administratifs, le délai avant réparation inclut aussi le délai dû à
l’attente de l’équipe de réparation occupée ailleurs. Donc la dépendance du temps de
réparation au nombre de réparateurs est en quelque sorte incluse dans le temps de répa-
ration, et cela limite l’impact de l’hypothèse d’indépendance des blocs vis-à-vis des
1.2 Indisponibilité d’un système modélisé réparations.
par ADD De nombreux calculs sont nécessaires pour obtenir une courbe
précise de l’indisponibilité du système. Aussi, des algorithmes
1.2.1 Cas général performants sont-ils indispensables pour pouvoir traiter les
grands systèmes rencontrés dans l’industrie. D’autre part, dans
L’évolution des états d’un système en logique 2/3 en fonction certains cas (systèmes peu disponibles, présence de conditions)
de l’état de ses composants est illustrée sur la figure 2 : les calculs d’indisponibilité peuvent nécessiter de réaliser des
– les chronogrammes en haut de la figure 2 concernent les trois calculs exacts avec des probabilités élevées. Tout cela est prati-
composants du système qui évoluent indépendamment les uns quement impossible avec la formule de Sylvester-Poincaré, et
des autres ; c’est grâce à l’introduction des DDB que cette approche est main-
– le chronogramme en bas de la figure 2 donne l’évolution cor- tenant utilisée de manière efficace [SE 4052]. C’est ce qui a été
respondante de l’état du système. implémenté dans le progiciel GRIF-Workshop (graphique interactif
Ainsi, le système est en marche à l’instant t1 (où A et C sont en et calculs de fiabilité) dont le module TREE dévolu aux ADD a été
marche) et en panne à l’instant t2 (où B et C sont en panne). Seul utilisé pour obtenir la majorité des courbes présentées dans cet
importe l’état du système à un instant donné, mais pas ce qui article.
s’est passé auparavant. Ainsi, le système est disponible à l’instant
t3 même s’il est tombé en panne (et a été réparé) auparavant. 1.2.2 Processus markoviens pilotés par ADD
La probabilité US(ti), pour le système d’être en panne à un ins-
tant ti ne dépend que des probabilités UA(ti), UB(ti) et UC(ti) d’être Dans les développements ci-dessus, les indisponibilités rela-
en panne de ses composants au même instant t. Comme les évé- tives aux événements primaires de l’ADD sont des données
nements primaires , et sont indépendants, les indisponibili- d’entrée et aucune hypothèse particulière n’a été faite sur la
tés UA(ti), UB(ti) et UC(ti) sont évaluées indépendamment les unes manière dont elles sont calculées. Donc, en particulier, les proces-
des autres et US(ti) peut être calculée en les combinant à l’aide sus markoviens peuvent être utilisés à cet effet [SE 4071] et c’est,
des formules développées dans le cas statique. Cela est illustré en fait, ce qui a été utilisé pour calculer les indisponibilités rela-
sur la figure 3 : tives aux événements primaires de la figure 3. Ceci est illustré sur
la figure 4 où chaque composant est modélisé par un petit graphe
de Markov avec deux états (marche, M et panne, P), un taux de
défaillance (λA, λB ou λC) et un taux de réparation (μA, μB ou μC).
Comme condition initiale la probabilité est de 100 % d’être en
marche à l’instant t = 0 pour les composants B et C et seulement
États Marche Panne de 50 % pour le composant A (γA = 0,5). C’est ce qui explique
A(t) l’évolution différente de l’indisponibilité de A par rapport à celles
A(t) de B et C.
B(t)
B (t) Les paramètres des blocs ont été choisis de manière à bien faire
C(t) apparaître la période transitoire sur les courbes de la figure 3.
Pour des systèmes comportant des défaillances détectées et dont
C(t)
Disponible Indisponible Disponible la réparation commence immédiatement, l’indisponibilité asymp-
S(t) totique est atteinte après environ trois ou quatre fois la valeur du
S (t) plus grand MRT (temps moyen de réparation) desdites défail-
lances. Comme les taux de réparation sont égaux à 10–2 h–1, le
t1 t2 t3 Temps
plus grand MRT est égal à 100 h et la valeur asymptotique est
atteinte entre 300 et 400 h.
Nota : l’acronyme MRT est utilisé ici pour éviter les ambigüités de l’acronyme
Figure 2 – Évolution de l’état d’un système 2/3 en fonction MTTR qui signifie « temps moyen de réparation » pour les uns et « temps moyen de
de l’évolution des événements primaires restauration » pour les autres. La différence est que le temps de détection est exclu
TW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUS
0,60 0,50
UA(t ) US(t) US(t ) Moyenne
0,40 0,10
UC(t )
0,20 UB(t ) 2/3 0,05
as
Asymptote US
0 0
0 ti 100 h 200 h 300 h 400 h 500 h 0 ti 100 h 200 h 300 h 400 h 500 h
LA LB LC
LA LB LC Nota : lorsqu’une panne est détectée par un test, elle est survenue en moyenne depuis
la moitié dudit intervalle (donc depuis 6 mois pour un test annuel). Les temps de répara-
tion (en général quelques heures) sont donc négligeables vis-à-vis du temps de
γA λA 1–γ λB λC restauration global. Il en résulte que la dépendance des événements primaires au
A nombre d’équipes de réparateurs est beaucoup plus ténue que dans le cas des défail-
M P M P M P lances détectées dont les réparations commencent immédiatement.
μA μB μC
λA = 8,0 10–4 h–1 Le module TREE du progiciel GRIF Workshop a été utilisé pour
λB = 2,0 10–3 h–1 λC = 5,0 10–3 h–1
μA = 1,0 10–2 h–1, réaliser la figure 5, mais le module SIL développé pour faciliter la
μB = 1,0 10–2 h–1 μC = 1,0 10–2 h–1 saisie et le traitement des modèles relatifs aux systèmes instru-
γA = 0,5 A B C
mentés de sécurité aurait pu aussi être utilisé.
TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
TY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
5
Depuis une trentaine d’années, la succession d’accidents signifi-
catifs en termes de dommages matériels et humains, majoritaire-
Gravité croissante
ment liés à l’expansion de l’activité industrielle, vient mettre en 4
lumière la question primordiale de la sécurité.
Risque ALARP
2. Notion d’acceptabilité
du risque Risque jugé acceptable
Il est à noter que le nombre de niveaux de probabilité et de gra- 2.1.2 Matrice de criticité réglementaire en France
vité, constituant une matrice de criticité, n’a rien d’universel. Néan-
moins les matrices de criticité, dites 5 × 5, c’est-à-dire composées Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilité et de 5 niveaux de gravité, sont cou- laire du 10 mai 2010), relative aux critères d’appréciation de la
ramment utilisées. démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « Seveso », visés par l’arrêté du
La figure 1 présente un exemple de matrice de criticité. Le 10 mai 2000 modifié, il n’existait pas de matrice de criticité régle-
découpage entre les différentes catégories de risque est unique- mentaire. Les matrices utilisées étaient soit celles proposées par
ment donné à titre indicatif. les industriels eux-mêmes, soit celles réalisées par des sociétés
UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
expertes dans l’évaluation des risques. Dans un souci d’homogé- (/an). L’unité de temps associée à la notion de probabilité confirme
néité, le ministère de l’Environnement (MEDAD à l’époque) a donc que les notions de fréquence et de probabilité sont bien souvent
proposé une matrice de criticité 5 × 5 (grille d’appréciation des ris- confondues.
ques), telle que présentée en figure 2. Elle se subdivise en La fréquence est une grandeur observée issue d’une exploitation
25 cases, correspondant à des couples probabilité/gravité des con- d’un retour d’expérience. Elle s’exprime généralement en unité de
séquences identiques à ceux du modèle figurant à l’annexe V de temps–1 ou opération–1.
l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur étude Dans le cas où le temps est le critère d’observation, la fréquence
de dangers. Cette matrice délimite trois zones de risque est définie par le quotient entre le nombre d’événements observés
accidentel : sur la période d’observation et ce temps d’observation. Lorsque la
période d’observation est exprimée en années, les fréquences sont
– risque élevé, figuré par le mot « non » ; alors données en unité an–1.
– risque intermédiaire, figuré par le sigle « MMR » (mesures de
maîtrise des risques), dans laquelle une démarche d’amélioration La probabilité d’occurrence d’un accident est assimilée à sa fré-
continue est particulièrement pertinente, en vue d’atteindre, dans quence d’occurrence future estimée sur l’installation considérée.
des conditions économiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de l’état des connaissances,
des pratiques et de la vulnérabilité de l’environnement de En France, les accidents potentiels ou les phénomènes dan-
l’installation ; gereux identifiés dans les études de dangers sont étudiés sur
– risque moindre, qui ne comporte ni « non » ni « MMR ». un intervalle temporel donné. La période de temps retenue
La gradation des cases « non » ou « MMR » en « rangs », corres- dans le cadre réglementaire est celle rappelée dans l’échelle de
pond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc
les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les introduit la notion de probabilité d’occurrence annuelle (POA).
cases « MMR ». Cette gradation correspond à la priorité que l’on
peut accorder à la réduction des risques, en s’attachant d’abord à
réduire les risques les plus importants (rangs les plus élevés). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilité et de gravité retenus pour constituer suivante :
cette matrice sont respectivement présentés dans les tableaux 1 – fréquence d’occurrence pour les événements redoutés (ER) ;
et 2. – probabilité d’occurrence pour les événements redoutés secon-
Concernant l’échelle rapportée dans le tableau 1, on peut noter daires (ERS) et pour les phénomènes dangereux (PhD).
qu’il est fait mention de la notion de probabilité d’occurrence et Néanmoins, en toute rigueur, le produit entre une fréquence et
que les données quantitatives sont exprimées en unité de temps–1. une probabilité donne une fréquence.
Non partiel
(sites nouveaux : (2))
Désastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))
Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3
Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2
(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à
la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des
conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.
(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau
de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.
(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque
accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations.
Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)
UQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
« Événement
« Événement possi- improbable » : un
ble mais extrême- événement similaire « Événement
« Événement très
Qualitative ment peu déjà rencontré dans courant » : se produit
improbable » : s’est
(les définitions entre probable » : n’est pas le secteur d’activité « Événement proba- sur le site considéré
déjà produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site » : s’est et/ou peut se pro-
secteur d’activité,
valables que si le connaissances d’organisation au produit et/ou peut se duire à plusieurs
mais a fait l’objet de
nombre d’installa- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontré, au niveau que les éventuelles durée de vie des durée de vie des ins-
réduisant significati-
d’expérience sont mondial, sur un très corrections interve- installations tallations, malgré
vement sa probabi-
suffisants) grand nombre nues depuis appor- d’éventuelles mesu-
lité
d’années d’installa- tent une garantie de res correctives
tions réduction significa-
tive de sa probabilité
Semi-quantitative Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de maîtrise des risques mises en place
Quantitative
j 10−5 10–5 à 10–4 10–4 à 10–3 10–3 à 10–2 h 10−2
(par unité et par an)
Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations
pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications
techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particu-
lière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des
installations, ou de leur mode de gestion.
Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence
du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation
considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les don-
nées de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de
la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen
du retour d’expérience.
Pouvoir positionner des situations dangereuses dans une de causes, nécessite de recourir à des méthodologies qui permet-
matrice de criticité suppose qu’il soit possible d’évaluer la probabi- tent une analyse exhaustive :
lité d’occurrence et la gravité d’un événement, de sorte que se – des combinaisons de causes pouvant aboutir à la réalisation
tromper de zone de risque est exclu. Or, les événements les plus de tels accidents ;
graves sont aussi généralement les plus rares, l’accidentologie
révèle ainsi que ces accidents sont souvent la conséquence de – des conséquences en cas de survenue de tels accidents.
combinaisons de plusieurs événements. On parle alors de
« séquence accidentelle ». C’est donc lors de l’étape d’évaluation de la probabilité d’occur-
rence des événements redoutés et de leurs conséquences qu’il est
Évaluer la probabilité d’occurrence d’accidents « complexes », primordial de disposer d’une méthode « robuste » pour estimer au
c’est-à-dire dont l’origine peut être de nombreuses combinaisons plus juste ces valeurs.
UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
3. Présentation de la méthode Le point central du nœud papillon est constitué par un événe-
ment redouté qui peut être par exemple une perte de confinement.
La partie en amont de l’événement redouté est constituée par un
3.1 Principe arbre de défaillances qui permet d’analyser les combinaisons de
causes, et de valoriser les barrières de prévention mises en place
Le concept du nœud papillon a été introduit par la compagnie pour prévenir l’apparition de l’événement redouté. La partie en
ICI (Imperial Chemical Industries ). Après l’accident survenu sur la aval est, quant à elle, constituée par un arbre d’événements qui
plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a permet de différencier les conséquences en fonction du fonction-
développé cette technique d’analyse au début des années 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin d’améliorer la sécurité sur de telles installations. L’utilisation que, présenté en figure 3, présente la structure d’un nœud
de la méthode du nœud papillon tend aujourd’hui à se démocra- papillon. Le tableau 3 détaille les définitions associées à chacun
tiser et son application au secteur de l’industrie est de plus en plus des événements figurant sur le modèle du nœud papillon de la
répandue. Le programme de recherche européen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur l’évaluation des risques
dans le contexte de l’application de la directive Seveso II met en En France, différents groupes de travail nationaux ont tra-
avant les avantages de cette méthode. Pour rappel, ce programme vaillé sur la réalisation de nœuds papillons « génériques ». S’il
avait pour but : est possible de s’en inspirer, il est indispensable de les adapter
au cas étudié en prenant en compte les spécificités du site.
– le développement d’une méthodologie plus précise et harmo-
nisée d’analyse de risque pour les études de dangers (ou safety
reports ), dans le contexte de l’application de la directive En fonction de la nature de l’événement redouté, les événe-
Seveso II ; ments de base peuvent être dits « indésirables ». Citons, par exem-
ple, un choc mécanique sur une canalisation pouvant aboutir à
– l’identification et la qualification des principaux phénomènes
l’événement redouté : « brèche sur canalisation », ou bien la
accidentels majeurs (appréciation de la probabilité et de la gravité
combinaison entre un événement courant et une défaillance, tel
des effets physiques en utilisant, par exemple, la représentation
que le montage d’un bras de dépotage et l’absence de contrôle de
sous forme de nœud papillon) ;
bonne étanchéité pouvant aboutir à l’événement redouté
– l’évaluation de la performance des fonctions et éléments de « mauvaise étanchéité au niveau d’un bras de dépotage », en cas
sécurité liés à la prévention des phénomènes accidentels ; de montage défectueux.
– l’identification de la vulnérabilité de l’environnement des sites.
Le principal intérêt du nœud papillon est qu’il permet de visua-
liser l’ensemble des chemins conduisant des événements de base
jusqu’à l’apparition des phénomènes dangereux. Chaque chemin
Le fondement de la méthode du « nœud papillon » est rela-
décrit un scénario d’accident. Un scénario d’accident est défini
tivement simple. Elle propose pour un même événement
comme un enchaînement d’événements aboutissant à un événe-
redouté de réunir un arbre de défaillances pour expliciter les ment redouté, conduisant lui-même à des conséquences lourdes
causes et un arbre d’événements pour expliciter les
ou effets majeurs. Cette notion est présentée dans les articles rela-
conséquences.
tifs à la méthode MOSAR [SE 4 060] [SE 4 061].
Différenciation des
Valorisation des barrières phénomènes dangereux
de mitigation
PhD 1
EB1 ERS 1
EI1
PhD 2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
US
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU
Événement redouté Conséquence directe de l’événement Formation d’une nappe d’hydrocarbure, fuite de gaz
ERS
secondaire redouté toxique, sur une durée de 10 min, etc.
UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP
MOSAR
Présentation de la méthode
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 1
UU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP
MOSAR ______________________________________________________________________________________________________________________________
Cet article constitue la première partie d’une série consacrée à la méthode MOSAR :
— MOSAR - Présentation de la méthode [SE 4 060] ;
— MOSAR - Cas industriel [SE 4 061].
Terminologie
Problématique Une certaine façon de poser un ou des problèmes propres à une notion
ou à un domaine de connaissance.
Méthodologie Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des
matériaux avec lesquels nous pouvons construire notre connaissance
en vue de déterminer à quels usages ils sont propres ou impropres.
Méthode Programme réglant d’avance une suite d’opérations à accomplir et
signalant certains errements à éviter, en vue d’atteindre un résultat
déterminé.
Outils Procédés techniques de calcul ou d’expérimentation utilisés pour le
développement d’une méthode.
Analyse de risques Toute démarche structurée permettant d’identifier, évaluer, maîtriser,
manager et gérer des risques et notamment les risques industriels.
O4
M2
1.1 Problématique
O3
Une installation industrielle peut être modélisée comme un sys-
tème ouvert sur son environnement, et composé essentiellement de M3
O2
matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec l’environnement (figure 1).
Les matériels (machines, stockages, appareils, bâtiments...)
peuvent :
Figure 1 – Modélisation d’une installation industrielle
— interagir de manière séquentielle (séquences linéaires, paral-
lèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrica-
tion ; Analyser les risques d’une installation va consister essentiel-
— ou être isolés. lement à identifier les dysfonctionnements de nature technique et
Les opérateurs sont tous les acteurs de l’installation depuis le opératoire (opérationnelle, relationnelle, organisationnelle) dont
responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en l’enchaînement peut conduire à des événements non souhaités par
relation à travers des hiérarchies linéaires ou parallèles, des groupes rapport à des cibles (individus, populations, écosystèmes, systèmes
en réseau ou des structures diverses. matériels ou symboliques).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
UV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP
______________________________________________________________________________________________________________________________ MOSAR
Ces dysfonctionnements proviennent des matériels, de leurs — de faciliter la communication avec le public ;
liaisons et de leur proximité, ainsi que des opérateurs, de leurs — indispensable pour la construction des Plans d’Intervention : le
liaisons entre eux et avec les matériels. Plan d’Opération Interne (POI) qui gère l’organisation des secours en
Il est possible d’imaginer analyser les risques d’une installation à cas d’accident à l’intérieur du périmètre de l’installation, sous la
un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a responsabilité du directeur de cette dernière ; le Plan Particulier
travaillé dans une coupe synchronique de l’installation. Mais entre d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur
les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc du périmètre de l’installation, si les conséquences de l’accident fran-
impossible de faire l’analyse des risques d’une installation dans sa chissent ce périmètre, sous l’autorité du Préfet.
diachronie. Tout au plus pourra-t-on la pratiquer à certains moments
discrets de cette dernière, que nous allons identifier, et l’on pourra
éventuellement mettre en évidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte d’une analyse de risques peut être défini par deux
Ces moments de vie d’une installation ou phases de vie sont les situations principales :
suivants :
— on s’intéresse à un objet technique, par exemple un avion, un
— conception (CO). C’est le travail de bureau d’études qui définit véhicule, une machine ;
un cahier des charges, un dossier d’appel d’offre, un descriptif, un — on s’intéresse à un milieu plus complexe, par exemple un
dossier de réalisation. Il est évidemment très intéressant d’analyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intégrer leur maîtrise dès le cole, urbaine... Ce milieu comportera bien sûr des objets comme des
départ et cela est moins coûteux que de modifier par la suite l’instal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de sécurité ; de manutention..., mais il y aura beaucoup de relations entre ces
— montage (MO). C’est la phase de réalisation qui correspond au objets et avec leur environnement.
chantier avec des risques très spécifiques notamment de manu-
tention ; Les méthodes et outils mis en œuvre pour l’analyse de risques ne
— essais (ES) ou recette. C’est la phase qui permet de faire les seront pas les mêmes dans chacun des deux cas :
vérifications de conformité par rapport au cahier des charges. Elle — dans le premier cas ce sont plutôt les outils classiques de la
est souvent l’objet de risques spécifiques car les éléments de l’ins- Sûreté de fonctionnement qui seront utilisés (consulter à ce propos
tallation peuvent être testés jusqu’à leurs performances maximales les articles Analyse préliminaire des risques [SE 4 010] et Arbres
voire au-delà ; de défaillance, des causes et d’événement [SE 4 050] et la réfé-
— exploitation. Cette phase correspond aux périodes de mise en rence [4]) ;
œuvre de l’installation. On peut la diviser en : — dans le deuxième cas, ces outils seuls ne permettront qu’une
• fonctionnement normal (on la symbolisera par EX) : l’installa- analyse parcellaire, notamment des objets de l’installation, et il
tion fonctionne dans le cadre de ses caractéristiques nomina- sera nécessaire de disposer de méthodes, c’est-à-dire de démar-
les. Elle peut alors générer des nuisances et être la source ches complètes incluant bien sûr les outils, mais capables d’en
d’accidents, organiser la mise en œuvre.
• maintenance qui comprend : Les outils disponibles peuvent être classés en deux catégories :
l’entretien (EN), préventif ou curatif, — des outils semi-empiriques comme l’APR (Analyse Préliminaire
le dépannage (DE), des Risques) qui a donné lieu au développement de grilles issues du
• arrêt (AR). L’installation peut présenter des dangers spéci- retour d’expérience, l’AMDE (Analyse des modes de défaillance et de
fiques à l’arrêt ; leurs effets) et l’AMDEC (bien que normalisé il reste dans cette caté-
— transformation. Cette phase concerne les transformations gorie), HAZOP, l’Analyse Fonctionnelle ;
générant des risques spécifiques liés aux chantiers nécessaires — des outils logiques comme les arbres logiques (arbre de
pour les réaliser ou à l’installation transformée ; défaillances, arbres causes conséquences ou arbres d’événement) et
— démantèlement (DEM) ou déconstruction. Cette phase cor- des outils de type réseaux comme les chaînes de Markov (cf. article
respond aussi à une phase de chantier très spécifique. Relations entre probabilités et équations aux dérivées partielles
[A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri
Il est donc nécessaire de préciser la phase de vie de l’installation
(cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et
dans laquelle l’analyse est réalisée. Il est aussi possible de se situer
Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité
dans une phase et de faire apparaître les risques principaux des
Informatique industrielle et la Sûreté de fonctionnement : méthodes
autres phases.
pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systémique consiste par exemple à prévoir et à notamment en matière de probabilité.
maîtriser les risques apparaissant dans les autres phases dès la La mise en œuvre de ces outils présente un certain nombre de dif-
phase de conception. ficultés. Ce sont en effet pour la plupart des outils dont l’origine est
liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et
leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs,
leur mise en œuvre nécessite de l’information et l’outil en lui-même
1.2 Les besoins d’analyse de risques n’est pas générique de cette dernière.
Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans
l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle. 1.4 Nécessité d’une méthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la maîtrise des risques de l’entreprise sont tout d’abord un problème On voit donc apparaître une double nécessité :
d’éthique, ce sont aussi un moyen : — essayer de rationaliser les outils à caractère empirique. Le modèle
— d’accroître la confiance du public, du personnel, des investis- MADS (Méthodologie d’analyse de dysfonctionnement des systèmes)
seurs et de conserver une bonne image de marque ; tente de répondre à ce besoin. Modélisation systémique générale du
— de satisfaire les contraintes réglementaires multiples : Code du danger, le modèle MADS constitue la structure conceptuelle des outils
travail, installations classées pour la protection de l’environnement, et méthodes empiriques ou semi-empiriques qui se sont développés
circulaire Seveso, règles des services de prévention des CRAM sur le terrain. MADS permet par exemple de faire apparaître les
(Caisses régionales d’assurance maladie) et des assurances ; concepts de l’AMDEC ;
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 3
UW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP
MOSAR ______________________________________________________________________________________________________________________________
— construire des méthodes qui assurent à la fois une cohérence blir un consensus sur les risques acceptables sous forme d’une
dans le déroulement de la démarche analytique, qui facilitent et arti- grille Gravité-Probabilité ;
culent la mise en œuvre des outils précités, et qui participent à la — une vision microscopique conduisant à un module B qui consiste
genèse de l’information nécessaire à la bonne utilisation de ces der- à faire une analyse détaillée et complémentaire des dysfonctionne-
niers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, ments techniques et opératoires identifiés dans le module A. C’est en
MADS permet de faire apparaître la structuration des dangers et fait une approche de type « sûreté de fonctionnement » qui vient faire
par conséquent de les identifier de manière rationnelle. foisonner l’analyse précédente. Dans les scénarios établis dans le
module A, on va développer les dysfonctionnements de nature opéra-
toire et ceux de nature technique. C’est à ce niveau que l’on mettra en
œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure générale module se termine par le rassemblement et l’organisation de l’infor-
mation acquise pour la gestion des risques c’est-à-dire des scénarios
de la méthode MOSAR identifiés s’ils surviennent.
2.1 Les deux modules et les dix étapes 3. Modèles mis en œuvre :
La méthode s’articule autour de deux visions, d’où les deux MADS
modules qui la composent (figure 2) :
— une vision macroscopique conduisant à un module A qui
consiste à faire une analyse des risques de proximité ou analyse prin- 3.1 Description de MADS
cipale de sécurité ou analyse des risques principaux. C’est parce
que les éléments qui constituent l’installation (stockages, machines, Le modèle MADS (Méthodologie de dysfonctionnement des sys-
chaînes de fabrication, opérateurs) sont à proximité les uns des autres tèmes, figure 3), appelé aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces éléments sont lement à vocation pédagogique qui permet de construire et de
modélisés sous forme de systèmes ce qui va permettre d’identifier en comprendre la problématique de l’analyse des risques. Il est
quoi ils peuvent être sources de danger. On recherche ensuite construit sur les bases des principes de la modélisation systémique
comment ils peuvent interférer entre eux et avec leur environnement développés par Jean-Louis Le Moigne dans « La Théorie du Sys-
pour générer des scénarios d’accidents. Ce travail nécessite la mise tème général » [1].
en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonction- L’univers du danger est formé de deux systèmes appelés système
nement des Systèmes) [2] [3]. Ce module comporte aussi une phase source de danger et système cible, en interaction et immergés dans
de négociation avec les acteurs concernés, qui va permettre d’éta- un environnement dit actif.
À partir
d'une Identifier les Module A : vision macroscopique de l'installation
modélisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation
Identifier les
scénarios de
dangers
Évaluer les
scénarios de
risques
Identifier les
risques de Négocier des
fonctionnement objectifs et
hiérarchiser
Évaluer les risques les scénarios
en construisant
des ADD et en Définir les
les quantifiant moyens de
prévention et
les qualifier
Négocier des
objectifs précis
de prévention
Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ
MOSAR
Cas industriel
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
domaine public ;
— nécessité de choisir un exemple que l’on peut mettre sous forme
pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni
trop compliqué et doit cependant montrer toute l’amplitude de la méthode ;
— impossibilité de développer complètement l’exemple mais obligation d’en
détailler suffisamment certaines phases pour en montrer l’efficacité.
Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs
suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche
pour en retenir l’attention.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 1
UY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ
MOSAR ______________________________________________________________________________________________________________________________
1. Définition de l’exemple. tions pour lesquelles une telle décomposition n’a pas d’intérêt,
voire est impossible.
Modélisation C’est le cas d’un laboratoire qui comprend une multitude d’objets sans
sous-systèmes clairement identifiables.
Nous prendrons comme exemple une installation de dépotage Elle permet cependant de générer des scénarios d’interférence
de propane alimentant des ateliers présentée sur la figure 1. ou de proximité entre les sous-systèmes si ces derniers peuvent
Les manières de segmenter le contexte sont multiples mais il être identifiés.
faut remarquer que pour un découpage donné définissant le sys- Il existe plusieurs manières de décomposer une installation en
tème à analyser, le reste du contexte se trouve dans l’environne- sous-systèmes :
ment du système. Ainsi, quelle que soit la situation de la frontière — décomposition hiérarchique en fonction des relations des
retenue entre le système et son environnement, la somme des éléments de l’installation entre eux ;
deux redonne toujours l’ensemble du contexte. — décomposition topologique en fonction de la position des
Le système le plus dangereux dans ce contexte est l’installation éléments de l’installation dans l’espace ;
de dépotage de propane. Elle sera donc le système sur lequel va — décomposition fonctionnelle de par la situation des éléments
porter l’analyse (figure 2). de l’installation dans la chaîne de fonctionnement de cette der-
nière.
Nous utiliserons une association des deux dernières en répon-
1.1 Décomposition du système étudié dant à trois conditions :
et des systèmes environnement — les sous-systèmes répondent aux cinq critères d’un système
(structure, fonction, finalité, évolution et environnement selon le
et opérateurs en sous-systèmes modèle canonique de Le Moigne [1]) ;
— chacun doit être homogène ;
La décomposition du système étudié (ici, le système de dépo- — leur nombre doit être le plus limité possible, en tout cas infé-
tage) en sous-systèmes n’est pas obligatoire. Il existe des installa- rieur ou égal à 12.
Lotissement Lotissement
30 m
Voie ferrée 45 m
Dépotage
120 m
Ateliers
250 m
Parking
90 m
70 m Bâtiment administratif
30 m
Route 20 m
10 m
250 m 300 m
Rivière
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphère
Opérateur
Wagon Canalisations fixes
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 3
VQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ
MOSAR ______________________________________________________________________________________________________________________________
Système analysé
Route
Parking
CONTEXE
Lotissement
Ateliers
Bâtiments administratifs
Voie ferrée
Rivière
SS7 Sous-système
environnement
SS : Sous-système
2.1.2 Identification des processus de danger comme tel. Il nous aide à faire apparaître des événements et leurs
enchaînements pouvant avoir des effets non souhaités sur des
Ce travail se fait ligne par ligne en recherchant les événements cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient
qui constituent les processus de danger. On utilise le tableau A à l’analyste de se servir des identifications d’événements pour
(figure 4) en commençant par la colonne des événements initiaux. construire des chaînes plus ou moins longues d’enchaînements.
Ces derniers peuvent provenir soit du contenant, c’est-à-dire de
l’enveloppe du système source, soit de son contenu. Exemple : l’événement surpression apparaît à deux endroits diffé-
On recherche ensuite les événements initiateurs qui peuvent rents dans la recherche des processus de danger liés à la pression :
engendrer les événements initiaux et on les note dans la colonne — c’est un événement initiateur interne d’une rupture ou d’une fis-
correspondante du tableau A. Ces événements peuvent être d’ori- sure de l’enveloppe ;
gine interne ou externe au système source de danger. Dans ce — c’est un événement initial interne dont l’événement initiateur
dernier cas ils sont générés par les champs. interne est un dysfonctionnement de soupape et l’événement initia-
La chaîne événements initiateurs – événements initiaux génère teur externe un flux thermique. La chaîne complète devient :
des événements principaux que l’on note dans la dernière colonne
à droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture
2.1.3 Remarques
&
Dysfonctionnement de soupape
Cette technique nous donne un outil de génération d’un Dans l’identification des événements principaux, il faut prendre
ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser garde à ne pas noter des interférences avec les autres sous-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ
______________________________________________________________________________________________________________________________ MOSAR
systèmes sinon la génération de scénarios deviendra confuse par 2.2 Identifier les scénarios de danger
la suite.
Ne pas écrire explosion dans l’événement principal du processus Dans les installations industrielles, notamment celles présentant
de danger lié à la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scénarios d’acci-
générée par la fuite rencontre une source d’allumage (dans une cible) dents majeurs sont connus notamment grâce au retour d’expé-
pour qu’il y ait explosion. rience. On en retient généralement six principaux [2] :
De la même manière, ne pas écrire chute de hauteur dans le — incendie ;
processus de danger lié à l’accès en hauteur de la sphère car encore — explosion ;
faut-il qu’un opérateur ait à accéder sur la sphère pour que cela — libération de produits toxiques ;
entraîne sa chute.
— libération de produits inflammables ;
— pollution des sols ;
On ne tient pas compte des barrières de prévention et de pro- — pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intéressant, voire indispensable de pouvoir générer des
nement. En effet, si l’on veut pouvoir juger de la pertinence des scénarios d’accidents possibles [ou plus généralement des scéna-
barrières prévues (projet) ou existantes (diagnostic), il est néces- rios d’événement non souhaité (ENS)] et notamment de faire appa-
saire de faire un point zéro sans barrières. raître les principaux. Ceci permet en effet :
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 5
VS
VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWP
Le but de cet article introductif est de discuter rapidement des différentes classes de métho-
des et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des pro-
blèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche
générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs :
— processus de Markov (méthode analytique) [SE 4 071] ;
p。イオエゥッョ@Z@。カイゥャ@RPPU
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 070 − 1
VU
VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR
Méthode MADS-MOSAR
Pour en favoriser la mise en œuvre
VW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR
VX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR
VY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR
WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT
Évaluations qualitative
et quantitative des risques
d’effet domino dans l’industrie
WQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT
ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________
les conséquences d’un accident sur des installations voisines (concept d’effet
domino), soit par interaction entre les équipements ou installations d’un même
établissement, soit par interaction entre des établissements voisins ou
proches. Il en résulte que le contenu de l’étude de dangers doit contenir une
bonne description et approche des possibles effets dominos.
Cet article rapporte d’abord une revue de quelques accidents impliquant des
effets dominos. Les définitions et caractéristiques d’un effet domino sont
ensuite présentées. Les notions de vecteurs d’escalade et de vecteurs seuils
d’endommagement sont examinées. Deux méthodes qualitatives pratiques
fondées sur les distances d’effet sont décrites. Enfin, une méthode quantitative
d’estimation des risques par effet domino est détaillée étape par étape.
1. Revue de quelques limite de site. Ce terminal distribuait du GPL qu’il recevait de trois
raffineries. Au moment de l’accident, il y avait entre 11 000 et
accidents impliquant 12 000 m3 de GPL stockés sur le site. D’après les résultats des
enquêtes [11] et [12], la chronologie des séquences de l’accident
des effets dominos est la suivante :
WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT
_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE
■ Perte de confinement initial due à un sur-remplissage 1.6 Töhoku – Fukushima, Japon (2011)
Le samedi 10 décembre 2005, à partir de 19 h, le bac 912 situé Le vendredi 11 mars 2011, à 14 h 46 heure locale, un séisme de
au niveau de la rétention A de l’entreprise ouest 1, est approvi- magnitude 9,0 s’est produit à 80 km à l’Est de l’île d’Honshu au
sionné en essence sans plomb à un débit de 550 m3/h. Le Japon à environ 25 km de profondeur. Ce séisme a généré un tsu-
dimanche 11 décembre 2005 à 5 h 20, le bac 912 commence à nami de grande ampleur, qui a fortement impacté l’ensemble de
déborder, car les deux systèmes automatiques de détection de la côte Est de la région de Tohoku au Nord de l’île d’Honshu. Le
niveau n’ont pas fonctionné. Un nuage explosif (mélange air-car- tsunami a pénétré dans les terres sur près de 5 km ; localement
burant) se forme alors. À 5 h 38, le nuage, qui s’est formé au pied l’eau est montée de plus de 20 m.
du bac 912, est visible sur les enregistrements vidéo, qui montrent
qu’il a atteint 1 m d’épaisseur, puis 2 m à 5 h 46. Le nuage explosif Plusieurs centrales nucléaires se situent sur la façade orientale
formé s’est répandu sur le site sur une surface de 80 000 m2, puis de l’île d’Honshu, dont celle de Fukushima Daïchi. L’ASN – IRSN
à 5 h 50 le nuage se propagea hors du site. [19] a décrit pour cette centrale, exploitée par TEPCO, le déroule-
ment de l’accident, classé au niveau 7 de l’échelle INES par l’auto-
■ Première explosion rité de sûreté japonaise. La perception du séisme a entraîné
immédiatement l’arrêt automatique des trois réacteurs en fonc-
À 6 h 01, la surface au sol du nuage explosif a été réestimée à
tionnement à pleine puissance, les trois autres réacteurs étant à
environ 120 000 m2 avec une hauteur de 2 m. Le dimanche
l’arrêt pour maintenance.
11 décembre 2005 à 6 h 01, la première et principale explosion se
produit au niveau des parkings de Fuji et Northgate. L’onde de Le tremblement de terre a entraîné :
suppression provoquée par l’explosion fut extrêmement élevée
• la perte des alimentations électriques externes au site des
(entre 700 et 1 000 mbar), par rapport à ce que peut prévoir la
réacteurs ;
modélisation du phénomène dangereux UVCE dans ces condi-
tions. L’hypothèse d’une accélération du front de flamme par les • le démarrage automatique des groupes électrogènes à
turbulences créées au passage au niveau de la végétation des moteur diesel internes au site pour maintenir le fonctionne-
allées (arbres) permettrait d’expliquer cette surpression élevée. ment des pompes de refroidissement ;
WS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT
ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE ________________________________________________
• l’arrêt automatique des réacteurs par insertion des grappes un risque d’explosion en cas d’inondation. Le métro est inondé
de commande dans les cœurs étouffant la réaction de fission sous l’effet conjugué de la houle et de la marée. Le bilan humain
par absorption des neutrons ; pour la seule ville de New York est de 72 décès. Globalement,
• l’arrivée cinquante minutes plus tard de la vague de tsunami plus de 305 000 habitations ont été endommagées ou détruites
de 14 m de hauteur. dans l’état de New York et près de 6 000 000 d’Américains de la
côte Est des USA ont été affectés par les différentes coupures, et
La vague du tsunami a eu pour conséquences : surtout l’importance des dommages provoquées par la catas-
• l’endommagement des prises d’eau en mer conduisant à la trophe.
perte de la source froide nécessaire pour évacuer en perma-
nence toute la chaleur produite par les réacteurs ; Les quelques exemples sélectionnés d’accidents par effet
domino de cette revue montrent la diversité des cascades d’évé-
• la perte des diesels de secours de deux des réacteurs. nements, la spécificité des chemins de propagation, la nature
La perte successive et progressive des moyens de refroidisse- variée des facteurs d’aggravation et surtout l’importance des
ment de secours a entraîné un échauffement du combustible, dommages constatés.
dont l’emballement de température a provoqué la décomposi-
tion de l’eau au contact des gaines en zirconium, puis leur écla-
tement, leur fusion et la liquéfaction du combustible avec
production d’hydrogène et relâchement de produits radioactifs.
Malgré la pratique difficile de dépressurisations volontaires, une 2. Retour d’expérience (REX)
accumulation d’hydrogène a provoqué plusieurs explosions et
incendies, qui ont endommagé les bâtiments des réacteurs. Le
bilan de cet accident a entre autres conduit à la fusion partielle L’analyse statistique des accidents passés permet de recenser
des trois cœurs des réacteurs et au percement de la cuve de l’un les séquences accidentelles les plus fréquentes et les types de
d’eux. phénomènes dangereux les plus susceptibles d’initier un effet
Les rejets radioactifs atmosphériques ont conduit les autorités domino. Plusieurs articles ont été compilés à ce sujet dans la litté-
japonaises à évacuer, quelques heures après le début de la rature [2], [3], [5] à [8], [22] à [24]. En raison de sa plus grande
catastrophe, 80 000 personnes dans une zone de 20 km autour représentativité, il est proposé d’examiner essentiellement les
de la centrale, à mettre à l’abri la population située dans la zone résultats de l’article d’Hemmatian [8].
de 20 à 30 km de rayon, puis d’étendre l’évacuation de la popu-
La figure 1 présente la répartition en pourcentage des causes
lation de la zone entre 20 et 40 km en raison de la contamina-
générales, selon la nomenclature de la base de données MHIDAS,
tion des sols.
ayant généré des accidents par effet domino pour un échantillon
La gestion d’importants volumes de rejets d’effluents liquides de 330 accidents.
radioactifs n’a pas permis d’éviter rapidement la saturation des
capacités d’entreposage du site, entraînant le déversement en mer L’examen de la figure 1 montre que les défaillances méca-
avant l’installation de nouveaux réservoirs supplémentaires. niques, les événements externes et les facteurs humains consti-
Un panorama complet des principaux accidents, consécutifs au tuent les causes générales principales. Chacune des causes
séisme et au tsunami, classés par secteurs industriels a été publié générales résulte de la contribution de différentes causes spéci-
en mars 2013 par le BARPI [20]. fiques détaillées dans l’article [8]. À titre d’exemple, le tableau 1
récapitule les causes spécifiques relatives à la cause générale des
facteurs humains.
1.7 Ouragan Sandy, USA (2012) L’analyse de séquences accidentelles a été réalisée à travers
l’arbre des phénomènes dangereux, où chaque séquence acciden-
Le 22 octobre 2012, une dépression tropicale (1 003 hPa) se
telle (enchaînement d’accidents) est représentée par une branche,
forme au Sud-Ouest de la mer des Caraïbes. Le 23 octobre, cette
son événement initiateur et le nombre d’événements. La fré-
dépression tropicale évolue en une tempête tropicale nommée
quence finale relative de chaque branche a été calculée en divi-
Sandy. Le 24 octobre, la tempête se renforce, Sandy devient un
sant le nombre final d’accidents de chaque niveau par celui du
ouragan, puis le 25 octobre un cyclone avec des vents atteignant
niveau initial. Les résultats sont présentés sur la figure 2, les fré-
au moins 165 km/h et des rafales plus puissantes encore, accom-
quences d’occurrence globales d’une séquence étant données à la
pagnées d’une houle dépassant les 5 à 7 m sur le littoral. Les
fin de la branche.
côtes Nord-Est américaines sont atteintes dans la nuit du 29 au
30 octobre 2012, où l’ouragan provoque de nombreux dégâts.
Il faut remarquer que les accidents initiateurs sont soit des feux,
Plusieurs installations industrielles sont impactées. Le Barpi a soit des explosions. La dispersion de nuage n’est pas représentée
identifié plusieurs de ces conséquences [21]. À Linden, dans le sur la figure 2, car si le nuage s’enflamme, cette dernière est natu-
New Jersey, une fuite de fioul se produit dans une raffinerie dont rellement assimilée à un feu ou une explosion, selon les effets
deux quais sont endommagés. La raffinerie perd son alimenta- thermiques et/ou mécaniques observés. La dispersion de toxiques
tion électrique et son réseau vapeur, la centrale de cogénération y est considérée comme ne causant pas l’endommagement maté-
voisine étant inondée. À Sewaren, dans le New Jersey, deux riel d’un autre équipement.
réservoirs de gazole sont détruits, causant le rejet de 1 135 m3
d’hydrocarbures dans un affluent de la rivière Arthur Kill, où des Cette remarque peut être enrichie par la revue d’autres études
barrages flottants sont mis en place. À Salem, dans le New de cas désastreux, comme ceux rapportés par Kletz [25].
Jersey, un réacteur de la centrale nucléaire est mis à l’arrêt le
30 octobre 2012 à la suite de l’endommagement de quatre des six En complément, depuis les attentats meurtriers du 11 septembre
pompes d’eau de refroidissement. Les dommages aux raffineries 2001 sur les tours jumelles du World Trade Center à Manhattan
et aux installations portuaires couplés à l’arrêt préalable par (New York), le renforcement de la législation antiterroriste a
mesure de précaution entraînent une pénurie de carburant les entraîné la nécessité d’identifier et d’évaluer dans les installations
jours suivants. La ville de New York n’est pas épargnée. L’inonda- industrielles les événements initiateurs de risques dûs à la crimina-
tion provoque l’explosion d’une centrale électrique. La coupure lité, à la malveillance (vol, intrusion), au terrorisme, à la cyber-
consécutive impacte 250 000 abonnés pour plusieurs jours. Le criminalité et aux agressions externes en termes de sûreté
réseau de distribution de vapeur de la ville est arrêté pour éviter industrielle [26].
WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVT
_________________________________________________ ÉVALUATIONS QUALITATIVE ET QUANTITATIVE DES RISQUES D’EFFET DOMINO DANS L’INDUSTRIE
2,5 1,4
3,6
Défaillance mécanique
6,9
Événement externe
28,4
Facteur humain
13,5
Défaillance par impact
Emballement réactionnel
Défaillance instrumentale
19,9
Figure 1 – Répartition en pourcentage des causes générales des accidents par effet domino (adaptée d’après Hemmatian et al. [8])
WU
WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ
>ÞÃiÊ`iÃÊÀõÕiÃÊ`iÃÊÃÞÃÌmiÃÊ
`Þ>µÕiÃÊ\Ê>««ÀV
iÊ>ÀÛii
£°
ÃÌÀÕVÌÊ}À>«
µÕiÊ`½ÕÊ}À>«
iÊ`iÊ>ÀÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°° -
Ê{ÊäÇ£ÊÊÓ
Ó° ««ÀV
iÊ>ÀÛiiÊV>ÃõÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°£ +ÕiµÕiÃÊ`jwÌÃÊ`iÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°Ó À>«
iÊ`iÊ>ÀÛÊÛiÀÃÕÃÊ«>À>mÌÀiÃÊV>ÃõÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p {
Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌ
jÀµÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p x
ΰ ««ÀV
iÊÊÕÌjÌ>ÌÊ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
ΰ£ ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
ΰÓ
Ýi«iÃÊ`iÊ}À>«
iÃÊ`iÊ>ÀÛÊ«ÕÀÊ`iÃÊÃÞÃÌmiÃÊëið°°°°°°°°°°°°°°° p £Ó
ΰΠ,j`ÕVÌÊ`iÊ>ÊÌ>iÊ`iÃÊ}À>«
ià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £{
{° *ÀViÃÃÕÃÊÕÌ«
>Ãià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°£ ÌÀ`ÕVÌ°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°Ó
Ýi«iÃÊëiÃÊ`iÊÃÞÃÌmiÃÊÕÌ«
>Ãið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
x° Ì>ÌÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°£ />ÕÝÊ`iÊÌÀ>ÃÌÊVÃÌ>Ìð°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°Ó }>ÌÃiÊ`ÕÊLÀiÊ`½jÌ>ÌÃÊiÌÊ`vwVÕÌjÃÊ`iÊVÃÌÀÕVÌ°°°°°°°°°°°°°°°°°° p ÓÓ
È°
VÕÃ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
,jvjÀiViÃÊLL}À>«
µÕià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
½>««ÀV
iÊ >ÀÛiiÊ iÃÌÊ >Ê `Þii]Ê `VÊ >Ê «ÕÃÊ VÕiÊ iÌÊ >Ê «ÕÃ
ÕÌÃji]Ê`iÃÊjÌ
`iÃÊÃiÃÊiÊ ÕÛÀiÊ«ÕÀÊiÊÌÀ>ÌiiÌÊ«ÀL>LÃÌiÊ`iÃ
ÃÞÃÌmiÃÊÃiÊV«ÀÌ>ÌÊ`Þ>µÕiiÌ°
iÊiÌÀiÊ`>ÃÊ>ÊV>ÃÃiÊ`iÃÊÊ>««ÀV
iÃÊ>>Þ̵ÕiÃÊ«>ÀÊjÌ>Ìà ÊL>ÃjiÃÊÃÕÀ
½`iÌwV>ÌÊ `iÃÊ `vvjÀiÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌmiÊ VViÀjÊ «ÕÃÊ ÃÕÀÊ ½>>ÞÃiÊ `i
½jÛÕÌÊ`Õ`ÌÊÃÞÃÌmiÊiÌÀiÊiÃ`ÌÃÊjÌ>Ìð
1iÊ `iÊ ÃiÃÊ V>À>VÌjÀÃ̵ÕiÃÊ >Ê «ÕÃÊ ÌjÀiÃÃ>ÌiÊ iÃÌÊ Ã>Ê «ÃÃLÌjÊ `iÊ Ài«Àj
ÃiÌ>ÌÊ }À>«
µÕiÊ µÕÊ >ÕÌÀÃiÊ ÃÊ ÕÌÃ>ÌÊ Ã>ÃÊ >ÛÀÊ ÀjiiiÌÊ D
V>ÌÀiÊiÊ`jÌ>Ê`iÊ>Ê>Ì
j>̵ÕiÊÃÕÃ>ViÌi°Ê
i«i`>Ì]ÊViÊÊv>ÕÌ
ÃiÊ}>À`iÀÊ`iÊÃiÃÊiÊ ÕÛÀiÊ`ÕÊÌÞ«iÊÊLÌiÊÀiÊÊÃÕÛiÌÊÃÕÀViÃÊ`½iÀÀiÕÀÃ
iÌÊ`iÊVÌÀiÃiÃ]ÊViÊ`ÃÃiÀÊý>ÌÌ>V
iÊDÊ`j}>}iÀ]ÊiÊ>ÃÊ>ÛiVÊiÃÊ«ÀLmiÃ
VVÀiÌÃÊ ÀiVÌÀjÃÊ «>ÀÊ iÃÊ >>ÞÃÌiÃ]Ê iÃÊ «ÀV«iÃÊ iÃÃiÌiÃÊ `iÊ ViÌÌi
>Ì
j>̵Õi°
"ÕÌÀiÊ ÃÊ ÕÌÃ>ÌÊ VÕÀ>ÌiÊ «ÕÀÊ iÃÊ V>VÕÃÊ `iÊ w>LÌjÊ iÌÊ `ëLÌj
V>ÃõÕiÃ]Ê ViÌÌiÊ >««ÀV
iÊ ÀiVmiÊ `iÃÊ ÀiÃÃÕÀViÃÊ LiÊ ÃÕÛiÌÊ ÃÕ«XjiÃ
kiÊ`iÊÃiÃÊÕÌÃ>ÌiÕÀÃÊiÃÊ«ÕÃÊ>ÃÃ`ÕðÊ
½iÃÌÊ«ÕÀµÕÊViÊ`ÃÃiÀÊý>««µÕi
DÊ iÌÌÀiÊ iÊ ÕmÀiÊ iÃÊ V>«>VÌjÃÊ `iÊ ViÌÌiÊ >««ÀV
iÊ DÊ Àj«`ÀiÊ >ÕÊ ÌÀ>ÌiiÌ
`iÃÊ ÃÞÃÌmiÃÊ «ÀjÃiÌ>ÌÊ `iÃÊ jÌ>ÌÃÊ `j}À>`jÃÊViÊ iÃÊ ÃÞÃÌmiÃÊ `iÊ «À`ÕV
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPU
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ
iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊ`iÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
^Ê/iV
µÕiÃÊ`iʽ}jiÕÀ -
Ê{ÊäÇ£ vª£
WW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ
Ì>ÌÃ
/i«Ã
}ÕÀiÊ q *ÀViÃÃÕÃÊÃÌV >Ã̵Õi
i>ÊÌiÊÃ>ÊÃiÊiÊ ÕÛÀiÊÀ}ÕÀiÕÃiÊ>ÕÝÊ«iÌÌÃÊÃÞÃÌmiÃ]Ê>ÃÊiÃÊjÌ
`iÃÊ >««ÀV
jiÃÊ `jVÀÌiÃÊ `>ÃÊ ViÊ `ÃÃiÀÊ «iÀiÌÌiÌÊ `iÊ Ài«ÕÃÃiÀÊ ViÃÊ ÌiÃ
`>ÃÊÕiÊViÀÌ>iÊiÃÕÀi°
iÊ `ÃÃiÀÊ «ÀjVj`iÌÊQ-
Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ VÃ`jÀ>ÌÃÊ «Àj>ÀiÃ
VViÀ>Ìʽ>>ÞÃiÊ`iÃÊÀõÕiÃÊ`iÃÊÃÞÃÌmiÃÊ`Þ>µÕiÃÊ`j}>}iÊiÃÊ}À>`iÃ
}iÃÊ`iÃÊjjiÌÃÊDÊ«Ài`ÀiÊiÊV«ÌiÊ«ÕÀÊivviVÌÕiÀÊÕÊV
ÝÊ«iÀÌiÌÊ`i
>ÊjÌ
`iÊDÊiÌÌÀiÊiÊ ÕÛÀiÊ«ÕÀÊÀj>ÃiÀÊÕiÊjÌÕ`iÊw>LÃÌi°Ê ÕÃʽÞÊÀiÛi
`ÀÃÊ«>ÃÊVÊiÌÊÕÃÊÃÕ««ÃiÀÃʵÕiʽ>>ÞÃiÊ`ÕÊV«ÀÌiiÌÊ`ÕÊÃÞÃÌmi
VViÀjÊ>ÊÕÃÌwjÊ>ÊÃiÊiÊ ÕÛÀiÊ`½ÕiÊ`jÃ>ÌÊ«>ÀÊ«ÀViÃÃÕÃÊÃÌV
>Ã
̵ÕiÊw}ÕÀiÊ®°
jÌ
`iÊ>>Þ̵ÕiÊL>ÃjiÊÃÕÀÊiÃÊ«ÀViÃÃÕÃÊ`iÊ>ÀÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>̵Õji
`>ÃÊ ÃÊ ÕÛiÀÃÌjÃÊ iÌÊ iÊ LÕÌÊ `iÊ ViÊ `ÃÃiÀÊ iÃÌÊ `iÊ v>ÀiÊ >Ê «ÀjÃiÌ>ÌÊ `iÊ ÃiÃ
`vvjÀiÌiÃÊV>À>VÌjÀÃ̵Õið
£°
ÃÌÀÕVÌÊ}À>«
µÕiÊ
`½ÕÊ}À>«
iÊ`iÊ>ÀÛ *£
£ääʯ
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ
iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊ`iÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
-
Ê{ÊäÇ£ vªÓ ^Ê/iV
µÕiÃÊ`iʽ}jiÕÀ
WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ
Ã>ÃÊjÀi°Ê
i>Ê«µÕiʵսÊVÛiÀ}iÊ>ÕÊLÕÌÊ`½ÕÊ`j>Ê«ÕÃ
ÕÊÃÊ}ÊÛiÀÃÊÕÊjÌ>ÌÊ`½jµÕLÀiÊ`j«i`>ÌÊ`iÃÊV`ÌÃ
Î Ì>ið
o£ *£ oÓ
*Ó
Êý>}ÌÊVÊ`iÃÊV>À>VÌjÀÃ̵ÕiÃÊv`>iÌ>iÃÊ`iÃÊ«ÀViÃÃÕÃ
`iÊ>ÀÛÊ
}miÃÊ`ÌÊÊVÛiÌÊ`iÊLiÊÃiÊÃÕÛiÀ°
x£ xÓ
*ÓÊ«ÀÀÌ>Ài ÀõÕiÊ iÃÊ Ì>ÕÝÊ `iÊ ÌÀ>ÃÌÃÊ iÊ ÃÌÊ «>ÃÊ VÃÌ>ÌÃ]Ê Ê «>Ài
*£ «ÕÀÊ> Àj«>À>Ì *£
£
{ `iÊ «ÀViÃÃÕÃÊ Ãi>ÀÛiÃ°Ê ÕÃÊ iÊ iÃÊ >LÀ`iÀÃÊ «>ÃÊ `>Ã
*Ó *Ó
ViÊ`ÃÃiÀÊV>ÀÊiÕÀÊÌÀ>ÌiiÌÊ>>Þ̵ÕiÊiÃÌÊLi>ÕVÕ«ÊÃÊv>Vi
µÕiÊ iÃÊ «ÀViÃÃÕÃÊ >ÀÛiÃÊ
}miÃ°Ê *ÕÀÊ `iÃÊ ÃÞÃÌmiÃÊ `i
xÓ
Ì>iÊ `ÕÃÌÀii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>ÀÌVÕiÀÃ]Ê ÃiÕiÊ >Ê ÃÕ>ÌÊ `i
Ìi
>ÀÊ «iÀiÌÊ `iÊ iÃÊ ÌÀ>ÌiÀÊ ÀjiiiÌ°Ê
i>Ê ÃiÀ>Ê `jVÀÌÊ i
oÓ o£
`jÌ>Ê `>ÃÊ iÊ `ÃÃiÀÊ VViÀ>ÌÊ ½ÕÌÃ>ÌÊ `iÃÊ ÀjÃi>ÕÝÊ `iÊ *iÌÀ
*£
ÃÌV
>Ã̵Õið
*Ó
Ó
>ÀV
i *>i
Ó°£ +ÕiµÕiÃÊ`jwÌÃÊ`iÊL>Ãi
ÃÕÌ>jiÌÊ iÊ «>i]Ê Ê `iÛiÌÊ jViÃÃ>ÀiÊ `iÊ `jwÀÊ >Ê «Ì
µÕiÊ`iÊ>Ìi>ViÊDÊiÌÌÀiÊiÊ ÕÛÀiÊiÌ]Ê`>ÃÊÕÊ«ÀiiÀÊÌi«Ã] Û>ÌÊ `½>iÀÊ «ÕÃÊ ]Ê Ê VÛiÌÊ `iÊ À>««iiÀÊ µÕiµÕiÃÊ ÌÃ
ÕÃÊVÃ`jÀiÀÃʵÕiÊ*ÓÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì° jjiÌ>ÀiÃÊ `ÕÊ `>iÊ `iÊ >Ê Ã×ÀiÌjÊ `iÊ vVÌiiÌ°Ê
iÃ
`iÛÀ>iÌÊ kÌÀiÊ «>Àv>ÌiiÌÊ VÕiÃÊ >Ã]Ê DÊ ½iÝ«jÀiVi]Ê Ê iÃ
>Ê VÃÌÀÕVÌÊ `ÕÊ }À>«
iÊ `iÊ >ÀÛÊ Ài>ÌvÊ DÊ ÕÊ ÌiÊ ÃÞÃÌmi `jVÕÛÀiÊÕÊ«iÕÊÕLjiÃÊÕÊ>Ê>ÃÃjiÃÊ«>ÀÊiÃÊ}jiÕÀÃʵÕ
ýivviVÌÕiÊiÊ`iÕÝÊjÌ>«iÃÊw}ÕÀiÊÓ®Ê\ iÃÊÕÌÃiÌÊ\
p `iÌvV>ÌÊ`iÃÊ`vvjÀiÌÃÊjÌ>ÌÃʵÕiÊiÊÃÞÃÌmiÊ«iÕÌÊVVÕ«iÀ p v>LÌjÊ , Ì ®Ê\Ê «ÀL>LÌjÊ `iÊ LÊ vVÌiiÌÊ ÃÕÀÊ Õ
>ÕÊVÕÀÃÊ`iÊÃÊiÝ«Ì>Ì ÌiÀÛ>iÊ`iÊÌi«ÃÊ`jÊQä]ÊÌ RÊiÌÊ`>ÃÊ`iÃÊV`ÌÃÊ`jiÃÊÆ
p `ëLÌjÊ Ì ®Ê\Ê «ÀL>LÌjÊ `iÊ LÊ vVÌiiÌÊ DÊ Õ
U ÊÞÊiÊ>ʵÕ>ÌÀiÊ`jjÃÊ
£]Ê
Ó]Ê
ÎÊiÌÊ
{ÊÆ ÃÌ>ÌÊ`jÊÌÊiÌÊ`>ÃÊ`iÃÊV`ÌÃÊ`jið
p VÃÌÀÕVÌÊ`ÕÊ}À>«
iÊ`iÊ>ÀÛÊ«À«ÀiiÌÊ`ÌÊ\ Ê ÀjÃÕÌiÊ `iÊ ViÃÊ `jwÌÃÊ µÕiÊ >Ê w>LÌj]Ê >ÕÊ ÃiÃÊ >Ì
j>Ì
µÕiÊ `ÕÊ ÌiÀi]Ê VÀÀië`Ê DÊ ÕÊ vVÌiiÌÊ Ã>ÃÊ ÌiÀÀÕ«Ì
U Ài«ÀjÃiÌ>ÌÊ`iÊV
>VÕÊ`iÃÊjÌ>ÌÃÊ«>ÀÊÕÊViÀVi]
ÃÕÀÊ ÕiÊ ViÀÌ>iÊ «jÀ`i°Ê >Ê ÌÊ `iÊ w>LÌjÊ iÃÌÊ `VÊ ÌÀmÃÊ ÕÌi
U Ài«ÀjÃiÌ>ÌÊ`iÃÊÌÀ>ÃÌÃÊiÌÀiÊiÃÊjÌ>ÌÃÊ«>ÀÊ`iÃÊymV
ið «ÕÀÊ ÌÀ>ÌiÀÊ `iÃÊ «ÀLmiÃÊ jÃÊ DÊ >Ê ÃjVÕÀÌj]Ê V>ÀÊ iiÊ Ã½ÌjÀiÃÃiÊ D
½VVÕÀÀiViÊ `iÊ >Ê «ÀimÀiÊ «>iÊ ÕÊ «ÀiiÀÊ >VV`iÌ®Ê `Õ
>µÕiÊÌÀ>ÃÌÊÃÞLÃiÊ>Êv>XÊ`ÌÊiÊÃÞÃÌmiÊÃ>ÕÌiÊ`½Õ ÃÞÃÌmiÊVViÀj°
jÌ>ÌÊÛiÀÃÊÕÊ>ÕÌÀi°
i>Ê ÕÃÊ V`ÕÌÊ DÊ ÌÀ`ÕÀiÊ ÕiÊ >ÕÌÀiÊ ÌÊ `iÊ L>ÃiÊ `Ã
Ýi«i \ `iʽjÌ>ÌÊ`iÊ>ÀV
iÊ«>Àv>ÌÊ
£]ÊÊ«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ
ÓÊÕ ÃV>LiÊ`iÊViiÊ`iÊw>LÌjÊ\
ÎÊ«>ÀÊ`jv>>ViÊ`iÊ*ÓÊÕÊ*£]Ê`iʽjÌ>ÌÊ
ÓÊÊ«iÕÌÊ>iÀÊÃÌÊÛiÀÃʽjÌ>Ì
`iÊ«>iÊÌÌ>iÊ
{Ê«>ÀÊ`jv>>ViÊ`iÊ*£ÊÕÊÀiÛiÀÊDʽjÌ>ÌÊ
£Ê«>ÀÊÀj«> p //Ê\Ê Ìi«ÃÊ ÞiÊ >Û>ÌÊ >Ê «ÀimÀiÊ `jv>>ViÊ i>
À>ÌÊ`iÊ*Ó]Ê°°°]ÊiÌÊw>iiÌÊ`iʽjÌ>ÌÊ
{ÊÊ«iÕÌÊÀiÛiÀÊÕµÕiiÌ /iÊ/Ê> ®°
ÛiÀÃÊ
ÎÊ«>ÀÊÀj«>À>ÌÊ`iÊ*ÓʵÕÊiÃÌÊ«ÀÀÌ>ÀiÊ«ÕÀÊ>ÊÀj«>À>Ì° Ê iÃÌÊ DÊ ÌiÀÊ µÕi]Ê «ÕÀÊ ÕÊ V«Ã>ÌÊ jjiÌ>ÀiÊ Àj}Ê «>ÀÊ Õi
Ê iÝ«iÌiiÊ `iÊ Ì>ÕÝÊ `iÊ `jv>>ViÊ o]Ê iÊ //Ê iÃÌÊ >ÀÃÊ j}>
Ê>ÊwÊ`iÊViÌÊiÝiÀVVi]ÊÊÃiÊÀiÌÀÕÛiÊiÊ«ÀjÃiViÊ`½ÕÊ}À>«
i DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>ÀÌVÕiÀ]ÊViÌÌiÊ«À«ÀjÌjʽiÃÌÊiÊ}jjÀ>Ê«>Ã
`½jÌ>ÌÃÊ µÕÊ `jÃiÊ iÊ V«ÀÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ vÀjÊ `iÊ `iÕÝ ÛÀ>iÊ >ÕÊ Ûi>ÕÊ `ÕÊ ÃÞÃÌmiÊ }L>]Ê kiÊ ÃÊ ViÕVÊ iÊ V«ÀÌi
««iÃ°Ê *ÕÀÊ µÕ½Ê Ài«ÀjÃiÌiÊ >ÕÃÃÊ iÊ «ÀViÃÃÕÃÊ `iÊ >ÀÛ µÕiÊ`iÃÊV«Ã>ÌÃÊÀj}ÃÊ«>ÀÊ`iÃÊÃÊiÝ«iÌiiðʽ>ÕÌÀiÊ«>ÀÌ
>ÃÃVj]ÊÊÀiÃÌiÊDÊ«ÀjVÃiÀʵÕiiÃÊÃÌÊiÃÊV
>ViÃʵÕiÊV
>VÕiÊ`i iÊ //Ê iÃÌÊ ÕÊ «>À>mÌÀiÊ µÕÊ «iÕÌÊ kÌÀiÊ iÃÌjÊ ÃÌ>ÌÃ̵ÕiiÌÊ D
ViÃÊÌÀ>ÃÌÃÊÃÌÊÀjiiiÌÊi«ÀÕÌjiÊ>ÕÊVÕÀÃÊ`iÊ>ÊÛiÊ`ÕÊÃÞÃ «>ÀÌÀÊ `iÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ iÊ `iÊ «
ÞõÕiÊ ÀiÌÕÀ
Ìmi°Ê
i>ÊiÃÌÊLÌiÕÊiÊ>vviVÌ>ÌÊ`iÃÊÌ>ÕÝÊ`iÊÌÀ>ÃÌ o ÊDÊV
> `½iÝ«jÀiVi®°Ê Ê «iÀiÌÊ `VÊ `iÊ v>ÀiÊ iÊ iÊ iÌÀiÊ iÃÊ >Ì
j
VÕiÊ`½iið >̵ÕiÃÊiÌÊiÊ`iÊÀji°
>Ì
j>̵ÕiiÌ]Ê o ±Ê`ÌÊ iÃÌÊ >Ê «ÀL>LÌjÊ V`ÌiiÊ `i Ê ½««ÃjÊ `iÊ >Ê w>LÌj]Ê >Ê `ëLÌjÊ Ã½ÌjÀiÃÃiÊ DÊ >Ê «ÀL>
Ã>ÕÌiÀÊ `iÊ
Ê ÛiÀÃÊ
Ê iÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ ÀÃµÕ½Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ
Ê D LÌjÊ µÕiÊ iÊ ÃÞÃÌmiÊ vVÌiÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ Ã>ÃÊ ÃiÊ «Àj
½ÃÌ>ÌÊÌ°Ê>ÃÊiÊV>ÃÊÕÃÕi]ÊiÃÊÌ>ÕÝÊ`iÊÌÀ>ÃÌÊÃÌÊ VÃÌ>Ìà VVÕ«iÀÊ`iÊViʵÕÊýiÃÌÊ«>ÃÃjÊ>Õ«>À>Û>Ì°Ê
iÊV>À>VÌjÀÃiÊ`VÊÕ
iÌÊVÀÀië`iÌÊ>ÕÝÊÌ>ÕÝÊ`iÊ`jv>>ViÊÕÊ>ÕÝÊÌ>ÕÝÊ`iÊÀj«>À>Ì vVÌiiÌÊ«ÕÛ>ÌÊkÌÀiÊÌiÀÀ«ÕÊ«ÕÃÊÀi«Àð
`iÃÊV«Ã>ÌÃʵÕÊV>ÕÃiÌÊiÃÊV
>}iiÌÃÊ`½jÌ>Ì°Ê/ÕÌiÃÊiÃÊà >Ê`ëLÌjÊ Ì ®Ê>ÊÃÕÀÌÕÌÊÕÊÌjÀkÌÊÌ
jÀµÕiÊiÌ]ÊiÊ«À>̵Õi]
`iÊ «ÀL>LÌjÃÊ µÕÊ Àj}ÃÃiÌÊ iÃÊ `ÛiÀÃÊ «
jmiÃÊ «ÀÃÊ i V½iÃÌÊ«ÕÌÌÊDÊÃ>ÊÛ>iÕÀÊÞiiʵÕiʽÊýÌjÀiÃÃi°Ê½ÙʽÌÀ
V«ÌiÊÃÌÊ`VÊ`iÊ>ÌÕÀiÊiÝ«iÌiiÊiÌÊÕÊÌiÊ«ÀViÃÃÕÃÊÃÌ `ÕVÌÊ`iÊ`iÕÝÊ>ÕÌÀiÃÊ`jwÌÃÊ\
V
>Ã̵ÕiÊiÃÌÊ`jjÊ«ÀViÃÃÕÃÊ`iÊ>ÀÛÊ
}mi° p `ëLÌjÊÞiiÊ«ÕÀÊÕiÊÃÃÊ Ì £ ]ÊÌ Ó®Ê\
i]Ê `>ÃÊ ViÊ V>Ã]Ê >Ê «ÀL>LÌjÊ `iÊ Ã>ÕÌiÀÊ `iÊ
Ê ÛiÀÃÊ
Ê i U ÞiiÊ`iÊ Ì ®ÊÃÕÀʽÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR]
`j«i`Ê µÕiÊ `iÊ >Ê «ÀjÃiViÊ `>ÃÊ
Ê DÊ ½ÃÌ>ÌÊ ÌÊ >ÃÊ «>ÃÊ `iÊ > U À>ÌÊÌi«ÃÊÞiÊ`iÊLÊvVÌiiÌÉÌ Ó qÊÌ £®]
>mÀiÊ`ÌÊÊÞÊiÃÌÊ>ÀÀÛjÊiÌÀiÊäÊiÌÊÌ]ÊiÊ`iÛiÀÊ`ÕÊÃÞÃÌmiÊi U «ÕÀViÌ>}iÊ `ÕÊ Ìi«ÃÊ ÞiÊ `iÊ LÊ vVÌiiÌÊ ÃÕÀ
`j«i`Ê µÕiÊ `iÊ ÃÊ jÌ>ÌÊ DÊ ½ÃÌ>ÌÊ Ì°Ê Ê Ã½>}ÌÊ `VÊ `½ÕÊ «ÀViÃÃÕà QÌ £ ]ÊÌ ÓRÊÆ
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ
iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊ`iÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
^Ê/iV
µÕiÃÊ`iʽ}jiÕÀ -
Ê{ÊäÇ£ vªÎ
WY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ
p `ëLÌjÊÌiÊ \
/>Li>ÕÊ£ÊqÊëLÌjÊiÊvVÌÊ`ÕÊÌi«ÃÊ£®
U Û>iÕÀÊÌiÊ`iÊ Ì ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃʽw]
U Û>iÕÀÊÞiiÊ`iÊ Ì ®ÊÃÕÀÊÕiÊ`ÕÀjiÊwi] Q£ £]Êä
ÊqÊäx R£ £]Êä
ÊqÊä£
U Û>iÕÀÊÌiÊ`iÊ ä]ÊÌ ®ÊµÕ>`ÊÌÊÌi`ÊÛiÀÃʽw] *>À>mÌÀiÃ
U Û>iÕÀÊÌiÊ`ÕÊÀ>ÌÊÞiÊ`ÕÊÌi«ÃÊ`iÊ>ÀV
iÉÌi«ÃÊÌÌ>] QÓ x]Êä
ÊqÊä{ RÓ {]ÊÓ
ÊqÊäÓ
U «ÕÀViÌ>}iÊ`ÕÊÌi«ÃÊÞiÊ`iÊLÊvVÌiiÌÊÃÕÀÊÕi
`ÕÀjiÊwi° /i«Ã Ì>ÌÃ
® £ Ó Î {
ëLÌjÊÞiiÊiÌÊ`ëLÌjÊÌiÊ«ÃÃm`iÌÊ`VÊ`v
vjÀiÌiÃÊ ÌiÀ«ÀjÌ>ÌÃ°Ê Ê v>ÕÌÊ v>ÀiÊ ÕiÊ iÌÊ Ã«jV>iÊ «ÕÀ ä £]Êäää
ʳÊää ä]Êäää
ʳÊää ä]Êäää
ʳÊää ä]Êäää
ʳÊää
ViiÊ VÀÀië`>ÌÊ >ÕÊ À>ÌÊ `ÕÊ Ìi«ÃÊ `iÊ LÊ vVÌiiÌ
À>««ÀÌjÊ >ÕÊ Ìi«ÃÊ `½LÃiÀÛ>ÌÊ V>ÀÊ iiÊ «iÀiÌÊ `iÊ Àj>ÃiÀÊ `ià Óä ]ÊÎÓ
ÊqÊä£ È]ÊÇÎx
ÊqÊäÎ n]Êxx
ÊqÊäx £]Êäää
ÊqÊäÈ
iÃÌ>ÌÃÊ ÃÌ>ÌÃ̵ÕiÃÊ DÊ «>ÀÌÀÊ `iÊ `jiÃÊ LÃiÀÛjiÃÊ `>ÃÊ i {ä ]ÊäÎ
ÊqÊä£ ]ÊÈ£Î
ÊqÊäÎ ]ÊÇxn
ÊqÊäx Ó]ÊÓÓ
ÊqÊäÈ
`iÊ «
ÞõÕi°Ê "Ê ÀiÌÀÕÛiÊ >ÕÃÃÊ VÊ iÊ iÊ iÌÀiÊ iÃÊ >Ì
j
>̵ÕiÃÊiÌÊiÊ`iÊÀji° Èä ]Ên£
ÊqÊä£ £]Êän{
ÊqÊäÓ ]ÊÎ{
ÊqÊäx Î]ÊäÎn
ÊqÊäÈ
iÃÊ «ÀL>LÌjÃÊ V«jiÌ>ÀiÃÊ Ì ®Ê iÌÊ 1 Ì ®Ê `iÊ >Ê w>LÌjÊ iÌ nä ]Ênnx
ÊqÊä£ £]Ê£ÎÇ
ÊqÊäÓ ]ÊÇÓ
ÊqÊäx Î]Ê{n
ÊqÊäÈ
`iÊ >Ê `ëLÌjÊ ÃÌÊ `jjiÃÊ Ê`jw>LÌjÊÊ iÌ £ää ]ÊnnÎ
ÊqÊä£ £]Ê£x
ÊqÊäÓ ]ÊnÈ
ÊqÊäx Î]ÊÇ{Î
ÊqÊäÈ
Ê`ëLÌjÊ \
£Óä ]ÊnnÓ
ÊqÊä£ £]Ê£È
ÊqÊäÓ ]ÊÓ
ÊqÊäx Î]ÊnÈ
ÊqÊäÈ
p Ì ®ÊrÊ£ÊqÊ, Ì ®ÊÆ
p 1 Ì ®ÊrÊ£ÊqÊ Ì ®° £{ä ]ÊnnÓ
ÊqÊä£ £]Ê£ÇÎ
ÊqÊäÓ ]ÊÈ
ÊqÊäx Î]ÊΣ
ÊqÊäÈ
£Èä ]Ênn£
ÊqÊä£ £]Ê£Çx
ÊqÊäÓ ]ÊÇ
ÊqÊäx Î]ÊÈÓ
ÊqÊäÈ
£nä ]Ênn£
ÊqÊä£ £]Ê£ÇÈ
ÊqÊäÓ ]Ên
ÊqÊäx Î]ÊÇÇ
ÊqÊäÈ
Ó°Ó À>«
iÊ`iÊ>ÀÛÊÛiÀÃÕÃ
Óää ]Ênn£
ÊqÊä£ £]Ê£ÇÈ
ÊqÊäÓ ]Ê
ÊqÊäx Î]Ên{
ÊqÊäÈ
«>À>mÌÀiÃÊV>ÃõÕiÃ
Îää ]Ênn£
ÊqÊä£ £]Ê£ÇÈ
ÊqÊäÓ ]Ê
ÊqÊäx Î]Êä
ÊqÊäÈ
,iÛiÃÊ >ÕÊ }À>«
iÊ `iÊ >ÀÛÊ `iÊ >Ê w}ÕÀiÊÓ°Ê ÕÃÊ ½>ÛÃ {ää ]Ênn£
ÊqÊä£ £]Ê£ÇÈ
ÊqÊäÓ ]Ê
ÊqÊäx Î]Ê£
ÊqÊäÈ
iVÀiÊ ÀiÊ `ÌÊ ÃÕÀÊ >Ê >ÌÕÀiÊ `iÃÊ jÌ>ÌÃÊ ÀiVÌÀjÃ°Ê >ÃÊ iÊ V>`Ài
V>ÃõÕi]Ê >Ê «ÀimÀiÊ jÌ>«iÊ iÃÌÊ `iÊ iÃÊ Àj«>ÀÌÀÊ iÊ `iÕÝÊ V>ÃÃià £® "ÊÀ>««iiʵÕiÊ>ÊÌ>ÌÊ
äx]Ê«>ÀÊiÝi«i]ÊÃ}wiÊy £äqx°
`ÃÌVÌiÃÊ qÊ >ÀV
iÉ*>iÊ qÊ >wÊ `iÊ «ÕÛÀÊ iiÀÊ DÊ LiÊ iÃ
V>VÕÃÊ`iÊw>LÌjÉ`ëLÌjÊÀ`>Àið
iÊiÃÊ`iÕÝÊ««iÃÊÃÌÊÀi``>ÌiÃ]ÊViÌÌiÊÀj«>ÀÌÌÊiÃÌ Ó°Ó°Ó >LÌjÊ«ÀjÛÃii
ÌÀmÃÊ Ã«iÊ\Ê iÃÊ jÌ>ÌÃÊ O
£]Ê
Ó]Ê
ÎPÊ VÀÀië`iÌÊ >ÕÊ LÊ vVÌ
iiÌÊiÌʽjÌ>ÌÊO
{PÊDÊ>Ê«>iÊ`ÕÊÃÞÃÌmi° *ÕõÕiÊiÊ}À>«
iÊ`iÊ>Êw}ÕÀiÊÓÊ«iÀiÌÊ`½jÛ>ÕiÀÊ>Ê`ëLÌj
`ÕÊ ÃÞÃÌmi]Ê ViÌÊ v>ÕÌÊ iÊ `wiÀÊ «ÕÀÊ LÌiÀÊ ÕÊ `mi
«iÀiÌÌ>ÌÊ`½jÛ>ÕiÀÊ>Êw>LÌjÊ`Õ`ÌÊÃÞÃÌmiʶ
Ó°Ó°£ ëLÌjÊ«ÀjÛÃii >Ê Àj«ÃiÊ ÃiÊ ÌÀÕÛiÊ `>ÃÊ >Ê `jwÌÊ kiÊ `iÊ >Ê w>LÌjÊ\Ê
v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê VÌÕÌjÊ `ÕÊ LÊ vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ ÃÕÀ
1iÊ vÃÊ >Ê `V
ÌiÊ Àj>ÃjiÊ iÌÀiÊ iÃÊ jÌ>ÌÃÊ `iÊ >ÀV
iÊ iÌÊ `i
½ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`VÊjViÃÃ>ÀiÊ`iÊ`wiÀÊiÊ}À>«
iÊ`iÊ>
«>i]Ê Ê «iÕÌÊ ÃiÊ `i>`iÀÊ ViÊ µÕiÊ «iÀiÌÊ `iÊ V>VÕiÀÊ ivviVÌ
w}ÕÀiÊÓÊ`iÊ>mÀiʵս>ÕVÕÊV
iÊ>LÕÌÃÃ>ÌÊDʽÕÊÕʽ>ÕÌÀi
ÛiiÌÊiÊ}À>«
iÊ`iÊ>ÀÛÊ`iÃÃjÊ«ÀjVj`iiÌÊiÌÊÀi«ÀjÃiÌj
`iÃÊjÌ>ÌÃÊ`iÊ>ÀV
iÊ
£]Ê
ÓÊÕÊ
ÎÊDʽÃÌ>ÌÊÌÊiÊÃÌÊ>>ÃÊ«>ÃÃj
w}ÕÀiÊÓ°
«>ÀÊ ½jÌ>ÌÊ `iÊ «>iÊ
{Ê `>ÃÊ ½ÌiÀÛ>iÊ Qä]Ê Ì RÊ Õ]Ê ViÊ µÕÊ ÀiÛiÌÊ >Õ
*ÕÀÊ Àj«`ÀiÊ DÊ ViÌÌiÊ µÕiÃÌ]Ê Ê ÃÕvwÌÊ `iÊ Ài>ÀµÕiÀÊ µÕ½ÕÊ Ìi ki]Êv>ÀiÊiÊÃÀÌiʵս>ÕVÕÊV
iÊ«>ÃÃ>ÌÊ«>ÀʽjÌ>ÌÊ`iÊ«>i
}À>«
iÊ Ài«ÀjÃiÌi]Ê `iÊ >mÀiÊ ÃÞÌ
j̵Õi]Ê ÌÕÃÊ iÃÊ V
iÃ
{ÊiÊÀiÛiiÊ>>ÃÊÛiÀÃÊÕÊ`iÃÊjÌ>ÌÃÊ`iÊ>ÀV
iÊ
£]Ê
ÓÊÕÊ
ΰ
ÃjµÕiViÃÊ`½jÛjiiÌîʵÕiÊiÊÃÞÃÌmiÊ«iÕÌÊi«ÀÕÌiÀÊDÊ«>ÀÌÀ
>Ê `wV>ÌÊ `iÊ ÌÀiÊ }À>«
iÊ iÃÌÊ >ÀÃÊ ÌÀmÃÊ Ã«iÊ DÊ Àj>ÃiÀ
`iÊÃÊjÌ>ÌÊÌ>Ê`ÕÀ>ÌÊÃÊjÛÕÌÊ>ÕÊVÕÀÃÊ`ÕÊÌi«Ã°
«ÕÃµÕ½Ê ÃÕvwÌÊ `iÊ ÃÕ««ÀiÀÊ iÃÊ ÌÀ>ÃÌÃÊ `iÊ O
{PÊ ÛiÀÃÊ O
£]Ê
Ó]
1Ê ÌiÊ V
iÊ ÃiÀ>Ê «>ÀÊ iÝi«iÊ
£]Ê
Ó]Ê
£]Ê
Î]Ê
{]Ê
Ó]Ê
£°°°Ê
i
ÎP°Ê
Ê v>Ì]Ê Ê ½ÞÊ iÊ >Ê µÕ½ÕiÊ ÃiÕiÊ DÊ ÃÕ««ÀiÀÊ `iÊ
{Ê ÛiÀÃÊ
ÎÊ iÌ
}À>«
iÊ ÀiviÀiÊ `VÊ `iÃÊ V
iÃÊ «iÀiÌÌ>ÌÊ >ÕÊ ÃÞÃÌmiÊ `i Vi>ÊÕÃÊV`ÕÌÊ>ÕÊ}À>«
iÊ«ÀjÃiÌjÊÃÕÀÊ>Êw}ÕÀiÊΰ
«>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ `iÊ «>iÊ
{Ê «ÕÃÊ `iÊ ÀiÛiÀÊ `>ÃÊ ÕÊ jÌ>ÌÊ `i À@ViÊ DÊ ViÌÌiÊ ÌÀ>ÃvÀ>Ì]Ê * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê Ài«ÀjÃiÌi
>ÀV
iÊ
Ó°Ê Ê `jVÀÌÊ `VÊ iÊ V«ÀÌiiÌÊ `½ÕÊ ÃÞÃÌmiÊ µÕÊ «iÕÌ >Ìi>ÌÊ>Ê«ÀL>LÌjÊ`½kÌÀiÊiÊ>ÀV
iÊDʽÃÌ>ÌÊÌÊÃ>ÃÊ>>Ã
kÌÀiÊ iÊ >ÀV
iÊ DÊ ÕÊ ÃÌ>ÌÊ `jÊ iÊ >Þ>ÌÊ jÌjÊ ÕiÊ ÕÊ «ÕÃiÕÀÃ kÌÀiÊ ÌLjÊ iÊ «>iÊ >Õ«>À>Û>Ì]Ê V½iÃÌD`ÀiÊ >Ê «ÀL>LÌjÊ `½kÌÀi
vÃÊiÊ«>iÊ>Õ«>À>Û>Ì°ÊÊý>}ÌÊ`VÊÌÞ«µÕiiÌÊ`½ÕÊ`mi ÀiÃÌjÊ iÊ LÊ jÌ>ÌÊ `iÊ vVÌiiÌÊ ÃÕÀÊ ÌÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ Õ
`iÊ`ëLÌj° >ÕÌÀiiÌÊ`ÌÊ>Êw>LÌjÊ`ÕÊÃÞÃÌmiÊjÌÕ`j°
>Ê`ëLÌjÊ Ì ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`jÊiÃÌÊ`VÊj}>iÊDÊ>Ê«À iÊkiʵÕiÊ«ÀjVj`iiÌ]ÊÊ>Ê`VÊ\
L>LÌjÊ`iÊÃiÊÌÀÕÛiÀÊDʽÃÌ>ÌÊÌÊ`>ÃʽÕÊÕʽ>ÕÌÀiÊ`iÃÊÌÀÃÊjÌ>ÌÃ
`iÊ >ÀV
iÊ
£]Ê
ÓÊ ÕÊ
ÎÊ iÌÊ ÃÊ `ëLÌjÊ 1 Ì ®Ê iÃÌÊ j}>iÊ DÊ > p * £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®Ê³Ê* { Ì ®ÊrÊ£ÊÆ
«ÀL>LÌjÊ`iÊÃiÊÌÀÕÛiÀÊ`>ÃʽjÌ>ÌÊ`iÊ«>iÊ
{° p , Ì ®ÊrÊ* £ Ì ®Ê³Ê* Ó Ì ®Ê³Ê* Î Ì ®ÊÆ
p Ì ®ÊrÊ* { Ì ®°
*ÃÃÊ* Ì ®ÊrÊ«ÀL>LÌjÊ`½kÌÀiÊ`>ÃʽjÌ>ÌÊ
ÊDʽÃÌ>ÌÊÌ°
ä®
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ
iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊ`iÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
-
Ê{ÊäÇ£ v { ^Ê/iV
µÕiÃÊ`iʽ}jiÕÀ
XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ
ViÌÌiÊ«jÀ`i°ÊÊÃÕvwÌÊ`VÊ`iÊ`ÛÃiÀÊViÌÌiÊÃiÊ«>ÀÊ>Ê`ÕÀjiÊ`i
>`ÌiÊ«jÀ`iÊ«ÕÀÊLÌiÀÊ>Ê`ëLÌjÊÞiiÊ`ÕÊÃÞÃÌmiÊi
Î µÕiÃÌ°
o£ *£ oÓ iÊ ki]Ê >Ê ÃiÊ `iÃÊ/-
Ê «>ÃÃjÃÊ `>ÃÊ iÃÊ jÌ>ÌÃÊ `iÊ «>i
*Ó qÊ VÊ ÃiÕiiÌÊ
{Ê qÊ V`ÕÌÊ DÊ ½jÛ>Õ>ÌÊ `iÊ ½`ëLÌj
ÞiiÊ`ÕÊÃÞÃÌmiÊVViÀj°
xÓ -ÕÀÊiÊ}À>«
iÊ`iÊ>Êw}ÕÀiÊÎ]Ê>ÊÃiÊ`iÃÊ/-
Ê«>ÃÃjÃÊ`>ÃÊiÃ
x£ -Õ««ÀiÃÃ jÌ>ÌÃÊ
£]Ê
ÓÊ iÌÊ
ÎÊ VÀÀië`Ê >ÕÃÃÊ DÊ ÕiÊ `ÕÀjiÊ ÞiiÊ `iÊ L
vVÌiiÌÊ >Ã]Ê V]Ê Ê Ã½>}ÌÊ `iÊ >Ê `ÕÀjiÊ ÞiiÊ `iÊ L
*£ *£ vVÌiiÌÊ Ã>ÃÊ LÃiÀÛiÀÊ `iÊ `jv>>ViÊ ÃÕÀÊ >Ê «jÀ`iÊ Qä]Ê Ì R°
£ Ì>ÌÊ>LÃÀL>Ì
{
*Ó *Ó ÀõÕiÊÌÊÌi`ÊÛiÀÃʽw]ÊViÌÌiÊ`ÕÀjiÊÞiiʽiÃÌÊ>ÕÌÀiʵÕiÊi
V>ÃõÕiÊ//Êi>Ê/iÊ/Ê> ®Ê`ÕÊÃÞÃÌmiÊjÌÕ`j°
xÓ ÀõÕiÊÌʽiÃÌÊ«>ÃÊw]Ê>Ê`ÕÀjiÊÞiiÊÃ>ÃÊ`jv>>ViÊiÃÌ
ÕiÊ >ÕÌÀiÊ >mÀiÊ `½>««Àj
i`iÀÊ iÃÊ V
>ViÃÊ `½LÃiÀÛiÀÊ Õi
oÓ o£ `jv>>ViÊÃÕÀÊ>Ê«jÀ`iÊ`½iÝ«Ì>ÌÊÕÊ>Ê«jÀ`iÊ`iÊ}>À>Ìi®
*£ `ÕÊ ÃÞÃÌmiÊ VViÀj°Ê
iÊ «iÕÌÊ `VÊ iÌÀiÀÊ `>ÃÊ iÃÊ VÀÌmÀiÃÊ `i
*Ó VVi«ÌÊ >ÕÊ kiÊ ÌÌÀiÊ µÕiÊ >Ê w>LÌj]Ê >Ê `ëLÌjÊ ÕÊ i
//°
Ó
iÊiÌi`Õ]ÊViÊÊiÃÌÊ>LÃÀL>Ì]ÊiÊ/-
Ê`iʽjÌ>ÌÊ
{ÊÌi`
>ÀV
iÊVÌÕi £ÀiÊ«>i ÛiÀÃʽwÊÀõÕiÊ>Ê`ÕÀjiÊÌi`ÊÛiÀÃʽw°
}ÕÀiÊÎ q À>«
iÊ`iÊ>ÀÛÊ«ÕÀÊiÊV>VÕÊ`iÊ>Êw>LÌj
Ó°Î +ÕiµÕiÃÊjjiÌÃÊÌ
jÀµÕiÃ
1iÊvÃÊiÊ}À>«
iÊ`iÊ>ÀÛÊVÃÌÀÕÌ]ÊÊiÃÌÊjViÃÃ>ÀiÊ`½jÌ>LÀ
/>Li>ÕÊÓÊqÊ>LÌjÊiÊvVÌÊ`ÕÊÌi«Ã iÃÊ µÕiµÕiÃÊ vÀÕiÃÊ Ì
jÀµÕiÃÊ `iÊ L>ÃiÊ «iÀiÌÌ>ÌÊ `iÊ Àj>ÃiÀ
ivviVÌÛiiÌÊ iÃÊ V>VÕÃÊ «ÀL>LÃÌiÃÊ jÛµÕjÃÊ `>ÃÊ iÃÊ «>À>
/i«Ã Ì>ÌÃ
>î }À>«
iÃÊ«ÀjVj`iÌð
£ Ó Î { ÌÃÊ`mÃÊiÊ`j«>ÀÌʵÕi]ÊÃ>ÕvÊ«ÕÀÊ`iÊÌÀmÃÊ«iÌÌÃÊÃÞÃÌmiÃ]ÊÊiÃÌ
ä £]Êäää
ʳÊää ä]Êäää
ʳÊää ä]Êäää
ʳÊää ä]Êäää
ʳÊää «>Àv>ÌiiÌÊ ÕÃÀiÊ `½iÛÃ>}iÀÊ `iÊ V`ÕÀiÊ iÃÊ V>VÕÃÊ >Õi
iiÌ°Ê ÕÃÊiÊ`jVÀÀÃÊ`VÊVʵÕiÊiÃÊvÀÕiÃÊ>Ì
j>̵ÕiÃ
xä ]Ê£n£
ÊqÊä£ £]Ê£ä£
ÊqÊäÓ ]Ê£Îx
ÊqÊäx Ç]Êän£
ÊqÊäÓ
`ëiÃ>LiÃÊ «ÕÀÊ V«Ài`ÀiÊ >Ê «
ë
iÊ `iÊ >Ê jÌ
`iÊ iÌ
£ää n]ÊxΣ
ÊqÊä£ £]ÊäÓÎ
ÊqÊäÓ n]Ê{nn
ÊqÊäx £]ÊÎÈÈ
ÊqÊä£ iÊViÀiÀÊiÃÊ>Û>Ì>}iÃÊiÌÊiÃÊVÛjiÌð
£xä Ç]ÊÓÇ
ÊqÊä£ ]Êx£ä
ÊqÊäÎ Ç]ÊnnÇ
ÊqÊäx £]ÊÇn
ÊqÊä£ *ÕÀÊ iÊ ÌÀ>ÌiiÌÊ `iÊ ÃÞÃÌmiÃÊ Ê`ÕÃÌÀiÃÊ]Ê iÃÊ V>VÕÃÊ «À
«ÀiiÌÊ `ÌÃÊ jViÃÃÌiÌÊ >Ê ÃiÊ iÊ ÕÛÀiÊ `iÊ }ViÃÊ `ÌÊ
Óxä È]Ên{{
ÊqÊä£ n]ÊÓ£ä
ÊqÊäÎ È]Ên£ä
ÊqÊäx Î]ÊäÇ{
ÊqÊä£ iÝÃÌiÊ ÕÊ ViÀÌ>Ê LÀiÊ ÃÕÀÊ iÊ >ÀV
j°Ê iÃÊ V>À>VÌjÀÃ̵ÕiÃ]
{ää x]Ê{ä
ÊqÊä£ È]ÊxnÇ
ÊqÊäÎ x]Ê{ÈÎ
ÊqÊäx {]Ê{{Î
ÊqÊä£ «ÃÃLÌjÃÊ iÌÊ «iÀvÀ>ViÃÊ iÊ ÃÌÊ `ÛiÀÃiÃÊ iÌÊ ÕÃÊ ÕÃ
i«iÀÃ]Ê `>ÃÊ ViÌÌiÊ «>ÀÌiÊ Ì
jÀµÕi]Ê DÊ `jVÀÀiÊ «ÕÃÊ «>ÀÌVÕm
xää {]ÊÇ{ä
ÊqÊä£ x]ÊÈnÇ
ÊqÊäÎ {]ÊÇ£Ç
ÊqÊäx x]ÊÓäÎ
ÊqÊä£ ÀiiÌÊ ViÊ µÕÊ iÃÌÊ «jiÌjÊ `>ÃÊ iÊ }ViÊQÓRÊ µÕiÊ ÕÃÊ >ÛÃ
Çää Î]ÊxÎÎ
ÊqÊä£ {]ÊÓÎ
ÊqÊäÎ Î]Êx£È
ÊqÊäx È]Ê{Ó{
ÊqÊä£ `jÛi««jÊiÌÊ>ÌiÕÊ`i«ÕÃÊ>Ìi>ÌÊÕiÊÛ}Ì>iÊ`½>jið
£äää Ó]ÊÓÇ{
ÊqÊä£ Ó]ÊÇÓn
ÊqÊäÎ Ó]ÊÓÈÎ
ÊqÊäx Ç]ÊÈn
ÊqÊä£
Îäää £]ÊÓäx
ÊqÊäÓ £]Ê{{x
ÊqÊä{ £]Ê£
ÊqÊäÈ ]ÊnÇn
ÊqÊä£ Ó°Î°£ ÀÕiÊ`iÊL>Ãi
xäää È]ÊÎn£
ÊqÊä{ Ç]ÊÈxx
ÊqÊäÈ È]ÊÎ{
ÊqÊän ]Ê{
ÊqÊä£ >ÊvÀÕiÊ`iÊ`j«>ÀÌÊ`iÃÊ«ÀViÃÃÕÃÊ`iÊ>ÀÛÊiÃÌÊÌÀmÃÊëiÊD
`jwÀ°Ê
iÊ VÃÃÌiÊ Ã«iiÌÊ DÊ jÌ>LÀÊ >Ê «ÀL>LÌjÊ * Ì ³Ê`Ì ®
`½kÌÀiÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ Ì ³Ê`ÌÊ iÊ vVÌÊ `iÃÊ «ÀL>LÌjÃ
* Ì ®Ê`iÃÊ`vvjÀiÌÃÊjÌ>ÌÃÊ ®ÊDʽÃÌ>ÌÊÌ°
ÌLiÊiÊ«>iÊÃÕÀÊÕiÊ`ÕÀjiÊwi°ÊÊiÊÀjÃÕÌiʵÕiÊ Ì ®ÊÌi`
ÛiÀÃÊ£ÊiÌÊ, Ì ®ÊÛiÀÃÊäÊÀõÕiÊiÊÌi«ÃÊÌÊÌi`ÊÛiÀÃʽw°
iÌÌiÊ «ÀL>LÌjÊ ÃiÊ `ÛÃiÊ iÊ `iÕÝÊ «>ÀÌiÃÊ V«jiÌ>ÀiÃ
w}ÕÀiÊ{®Ê\
iÊ Ì>Li>ÕÊÓÊ ÌÀiÊ ½jÛÕÌÊ `iÊ >Ê «ÀL>LÌjÊ `iÃÊ `vvjÀiÌÃ
£® Ê>ÀÀÛiÊ`>ÃʽjÌ>ÌÊÊiÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ
jÌ>ÌÃÊ`ÕÊÃÞÃÌmiÊiÊvVÌÊ`ÕÊÌi«ÃÊiÌÊ>Ê«ÀL>LÌjÊ`iʽjÌ>ÌÊ{
Ó® Ê iÃÌÊ `>ÃÊ ½jÌ>ÌÊ Ê DÊ ½ÃÌ>ÌÊ ÌÊ iÌÊ Ê ½iÊ ÃÀÌÊ «>ÃÊ iÌÀiÊ ÌÊ iÌ
`iÊ`ÀiVÌiiÌÊ>Ê`jw>LÌjÊ Ì ®°
Ì ³Ê`Ì°
>Ê `iÕÝmiÊ «>ÀÌiÊ jÌ>ÌÊ Ã«iiÌÊ iÊ V«jiÌÊ DÊ £Ê `iÊ >
Ó°Ó°Î /i«ÃÊÞiÃÊ`iÊÃjÕÀÃÊVÕÕjð «ÀL>LÌjÊ `iÊ ÃÀÌÀÊ `iÊ ]Ê Ê >LÕÌÌÊ v>ViiÌÊ DÊ >Ê vÀÕi
ëLÌjÊÞiiÊiÌÊ// ÃÕÛ>ÌiÊ\
ÕÊ VÕÀÃÊ `iÊ ÃÊ jÛÕÌ]Ê iÊ ÃÞÃÌmiÊ Ã>ÕÌiÊ `½jÌ>ÌÊ iÊ jÌ>ÌÊ iÌ
ÃjÕÀiÊ`>ÃÊV
>VÕÊ`½iÕÝÊ«i`>ÌÊÕiÊViÀÌ>iÊ`ÕÀji°Ê
iÊ
* Ì ´ `Ì r * Ì o `Ì ´ * Ì M£ q o `Ì N £®
| |
«iÕÌÊ «>ÃÃiÀÊ «ÕÃiÕÀÃÊ vÃÊ «>ÀÊ iÊ kiÊ jÌ>Ì]Ê ÕÃÊ «>ÀiÀÃÊ `i
Ìi«ÃÊÞiÃÊ`iÊÃjÕÀÊVÕÕjÃÊ/-
®Ê>wÊ`½jÛÌiÀÊ>ÊVvÕÃ Ê ÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ÌÊ µÕiÊ iÊ ÃÞÃÌmiÊ ÀiÃÌiÊ `>Ã
>ÛiVÊ iÊ Ìi«ÃÊ ÞiÊ `iÊ ÃjÕÀÊ /-®Ê LÃiÀÛjÊ DÊ V
>µÕiÊ «>ÃÃ>}i ½jÌ>ÌÊ Ê >Ê jÌjÊ Ài«ÀjÃiÌjÊ «>ÀÊ ÕiÊ ÌÀ>ÃÌÊ LÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ °Ê
i
`Û`Õi° }iÀiÊ`iÊLÕViÊiÃÌÊ«VÌiÊiÌÊ}jjÀ>iiÌÊÃÊÃÕÀÊiÃÊ}À>«
iÃ
Ã`jÀÃÊiÊ}À>«
iÊ`iÊ>Êw}ÕÀiÊÓ \Ê>Ê`ÕÀjiÊÞiiÊ`iÊL `iÊ>ÀÛ°
vVÌiiÌÊ `ÕÊ ÃÞÃÌmiÊ jÌÕ`jÊ «ÕÀÊ ÕiÊ «jÀ`iÊ `ji *ÃÃÊ o rÊ o Ê «ÕÀÊ Ã«wiÀÊ >Ê vÀÕiÊ£®°Ê o Ê Ài«ÀjÃiÌi
VÀÀië`Ê DÊ >Ê ÃiÊ `iÃÊ Ìi«ÃÊ ÞiÃÊ `iÊ ÃjÕÀÃÊ VÕÕjà `VÊ iÊ Ì>ÕÝÊ `iÊ ÌÀ>ÃÌÊ `iÊ Ê ÛiÀÃÊ ½«ÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `v
«>ÃÃjÃÊ`>ÃÊiÃÊjÌ>ÌÃÊ`iÊLÊvVÌiiÌÊ
£]Ê
ÓÊiÌÊ
ÎÊ«i`>Ì vjÀiÌÊiÌÊÊ«>ÃÊiÊÌ>ÕÝÊ`iÊÌÀ>ÃÌÊ`iÊÊÛiÀÃÊÕki®°
/ÕÌiÊÀi«À`ÕVÌÊÃ>ÃÊ>ÕÌÀÃ>ÌÊ`ÕÊ
iÌÀiÊvÀ>X>ÃÊ`½iÝ«Ì>ÌÊ`ÕÊ`ÀÌÊ`iÊV«iÊiÃÌÊÃÌÀVÌiiÌÊÌiÀ`Ìi°
^Ê/iV
µÕiÃÊ`iʽ}jiÕÀ -
Ê{ÊäÇ£ vªx
XQ
XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR
1. Contexte...................................................................................................... SE 4 072 – 2
2. Analytique versus Monte-Carlo ............................................................ – 2
3. Modèles de comportement .................................................................... – 3
4. Simulation de Monte-Carlo.................................................................... – 4
4.1 Principe ......................................................................................................... – 4
4.2 Exemple simple............................................................................................ – 4
4.3 Génération des lois de probabilité ............................................................. – 5
4.4 Précision des résultats................................................................................. – 6
5. Réseaux de Petri ....................................................................................... – 7
5.1 Historique ..................................................................................................... – 7
5.2 Réseaux de Petri – RdP – de base ............................................................... – 7
5.3 Extensions .................................................................................................... – 11
6. RdP versus processus de Markov ........................................................ – 13
7. Réseaux de Petri colorés ........................................................................ – 14
8. Conclusion.................................................................................................. – 14
Pour en savoir plus ........................................................................................... Doc. SE 4 073
algré tout son intérêt, l’approche analytique par processus de Markov (cf.
M dossier [SE 4 070] « Analyse des risques des systèmes dynamiques :
préliminaires ») trouve rapidement des limites lorsque la complexité des sys-
tèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente.
Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche ana-
lytique pour l’approche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste à tirer des nombres au hasard pour animer un modèle repré-
sentant le comportement du système étudié dont l’évolution ainsi simulée sur
un grand nombre d’histoires permet d’évaluer les informations probabilistes –
fiabilité, disponibilité, disponibilité de production, etc. – recherchées.
Une fois franchi le pas de la simulation, reste à sélectionner un modèle de
comportement efficace sur lequel s’exerce cette simulation. Le comportement
des systèmes industriels présentant beaucoup d’analogie avec celui des auto-
mates à états finis – états discrets et dénombrables – l’un d’entre eux s’est
détaché et a été adopté et adapté à ce propos dès la fin des années soixante-
dix : le réseau de Petri (RdP).
p。イオエゥッョ@Z@。カイゥャ@RPPX
XS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR
C’est la représentation graphique du réseau de Petri qui lui confère ses carac-
téristiques les plus intéressantes : construction maîtrisée de grands modèles
complexes à partir d’un nombre très limité d’éléments, visualisation synthé-
tique du modèle obtenu, animation manuelle pas à pas pour en vérifier le
comportement, etc.
Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier
s’attache à montrer comment les réseaux de Petri constituent un formidable
support de simulation permettant d’appréhender pratiquement tous les pro-
blèmes probabilistes rencontrés dans le domaine industriel.
Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et
approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposés pour présenter de manière progressive la façon d’aborder les
problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant
de se confronter aux situations autrement plus ardues de la disponibilité de
production impliquant une modélisation très détaillée des procédures de main-
tenance et des niveaux de production du système étudié.
Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui
les ont conduits progressivement aux réseaux de Petri à prédicats et asser-
tions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette
approche à absorber les améliorations, aucune remise en question drastique
des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant
d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas
encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont
abordées succinctement à la fin de ce dossier.
Pour un investissement intellectuel somme toute très minime, les réseaux de
Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de
modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure
actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans
l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !
XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR
XU
XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS
XW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS
Même si les réseaux de Petri tirent une grande partie de leur puissance
d’expression de leur aspect graphique, la construction maîtrisée de grand
modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour
donner la ligne directrice d’une modélisation modulaire incontournable pour
qui veut maîtriser ses modèles au cours de leur développement.
Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des cal-
culs, les astuces à connaître et les écueils à éviter sont indiqués au détour des
exemples servant de support.
Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans
le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années
2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modélisation. Attention l’addiction guette... !
Concernant les notations et les graphismes utilisés, le lecteur se reportera
utilement au dossier [SE 4 072].
XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS
2.2 Disponibilité
Marche
Les tableaux 1 et 2 montrent les résultats pouvant être obtenus Fin_R1 19,36
directement à partir du réseau de Petri ci-dessus. Pour réaliser ces P_2 19,41
Figure 1
calculs, nous avons adopté un classique taux de défaillances (λ) de
2.10−3/h pour chacun des composants mais, pour les réparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser l’influence de la dispersion du temps de répa-
ration autour de cette moyenne en faisant varier le paramètre de P_3 19,37
forme β.
Composant 3 St_R3 19,37
Les premiers résultats standards sont présentés sur le
tableau 1. Ils ont été établis en réalisant 106 histoires et avec Fin_R3 19,34
β = 2. Ils concernent la fréquence de tir de chacune des transi-
Panne 3,35
tions. On constate qu’en moyenne chaque composant subit de Figure 2 Disponibilité
l’ordre de 19,4 pannes au cours des 10 000 h simulées et que Réparation 3,35
cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte
que l’équipe de maintenance a été mobilisée environ 58,2 fois. Figure 6 Fiabilité Défaillance 0,96
Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places
T = 10 000 h, β = 2, Temps moyen Écart type Marquage moyen Écart type
Nom
106 histoires (h) (h) (%) (%)
XY
YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
finalement à un accident.
YQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
ISA International Society of Automation THERP Technique for Human Error Rate Prediction
YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
1. Présentation Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle
du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de
de la méthode LOPA
répondre à la définition d’une couche de protection indépendante (IPL).
Ex : LOPA
YS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
Sélection du premier
scénario d’accident
Développement
du scénario d’accident
ÉTAPE 2
ÉTAPE 4
ÉTAPE 6 ÉTAPE 7
Évaluation de la criticité
NON du scénario d’accident
ÉTAPE 8
OUI
NON
NON
Fin de l’analyse
Comme pour toutes les méthodes d’analyse de risques, il est et hypothèses émises par le groupe de travail lors des 8 étapes décri-
important : tes au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche
– que toutes les phases d’exploitation de l’installation soient étu- d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les
diées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; cases non cochées sont celles qui doivent être renseignées par le
– que toutes les causes pouvant mener à un événement initia- groupe de travail. Dans la pratique, les revues sont généralement
teur soient identifiées et étudiées séparément car les barrières et conduites avec des tableaux d’analyse qui diffèrent (dans la forme)
IPL valorisables ne seront pas nécessairement les mêmes. du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme
de tableau proposé au chapitre 3 de la norme IEC 61511.
1.3.3 Contenu des tableaux d’une revue LOPA Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décri-
vant la méthode LOPA [1] les attentes vis-à-vis des différents items
Lors d’une revue LOPA, des tableaux d’analyse sont remplis en qui doivent être renseignés dans le tableau 2. Ces précisions sont
temps réel. Ces tableaux ont pour objectif de formaliser les décisions résumées dans le tableau 3.
YU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
Événement initiateur du scénario Cet item doit être renseigné avec le plus de précision possible.
Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci
soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus
de T1 (en précisant la valeur de T1)
Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.
YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU
Conditions de réalisation du scénario Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer
la probabilité à associer à chacune des conditions. Par exemple, si un emballement
de réaction ne peut se produire que durant une phase spécifique de la réaction,
il est nécessaire de préciser la durée de cette phase par rapport à la durée totale
de la réaction
Facteurs conditionnels de réalisation Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte
(si applicables au scénario) dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont
pris en compte :
la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable)
la probabilité de présence du personnel dans la zone d’effet
la probabilité de blessure ou de mort dans la zone d’effet
Barrières de sécurité respectant Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis
les critères d’indépendance explicités du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être
dans la méthode LOPA (IPL) et valeur justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident
de PFD associée doit être documentée
Autres barrières de sécurité ne respectant Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL.
pas les critères d’indépendance explicités L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières
dans la méthode LOPA ne constituent pas des IPL
Total des PFD associées aux barrières Cet item correspond au produit des PFD associées à chaque IPL
de sécurité indépendantes (IPL)
Fréquence du scénario avec les barrières Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident,
indépendantes c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées
La fréquence « cible » permettant Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence
de justifier d’un risque acceptable résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence
cible, alors le risque est acceptable
Actions requises pour atteindre le niveau Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable.
de risque acceptable Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler
et en parallèle de démontrer qu’elle peut être considérée comme une IPL
Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.
Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilité
Probabilité
PFD d’occurrence
No EI G CI P(CI) Conception Atténuation Barrière d’occurrence Note
(SIF) résiduelle
générale BPCS Alarmes supplémentaire de mitigation intermédiaire
(avec SIF)
du procédé accès limité, etc. (non SIF)
YW
YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW
Méthode PDS
our prévenir et limiter les risques, les industriels sont amenés à mettre en
P œuvre des barrières de sécurité. Il existe différents types de barrières de
sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par
des systèmes instrumentés de sécurité (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier
que les risques sont maîtrisés. L’objectif est de démontrer que les architectures
proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis.
Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de
chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les
systèmes en mode continu). La méthode PDS, largement utilisée dans l’indus-
trie offshore (et plus particulièrement en Norvège), permet de répondre à ce
besoin.
Cet article présente les principes de la méthode PDS et met en lumière les
principales différences avec l’approche présentée dans l’IEC 61508-6. Plus
précisément :
– il retrace les origines de la méthode ;
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQV
YY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW
Système instrumenté de sécurité (SIS) : ensemble de maté- Tableau 1 – Définition des niveaux SIL
riels qui composent le système de sécurité. Il comprend tous pour un système en mode faible sollicitation
les capteurs, les logiques et les actionneurs. d’après IEC 61511-1
Fonction instrumentée de sécurité (SIF) : automatisme de Niveau
sécurité composé par un ou plusieurs capteurs, une logique et Facteur de réduction
d’intégrité avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de sécurité
de sécurité.
SIL 1 10–2 PFDavg < 10–1 10 < FRR 100
À titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 10–3 PFDavg < 10–2 100 < FRR 1 000
quatre niveaux de réduction de risques appelés niveaux de SIL.
SIL 3 10–4 PFDavg < 10–3 1 000 < FRR 10 000
Les niveaux de SIL sont rattachés à :
• une probabilité de défaillance sur sollicitation (notée PFDavg) SIL 4 10–5 PFDavg < 10–4 10 000 < FRR 100 000
pour les systèmes en mode faible sollicitation ;
• une probabilité de défaillance par heure (notée PFH) pour les
systèmes en mode continu ou en mode sollicitation élevée. Tableau 2 – Définition des niveaux SIL
pour un système en mode continu ou en mode
sollicitation élevée d’après IEC 61511-1
Mode à faible sollicitation : Mode de fonctionnement dans
Niveau
lequel la SIF n’est réalisée que sur sollicitation, afin de faire Facteur de réduction
d’intégrité PFH
passer le processus dans un état de sécurité spécifié, et où la du risque (FRR)
de sécurité
fréquence des sollicitations n’est pas supérieure à une par an.
Définition IEC 61511-1. SIL 1 10–6 PFH < 10–5 10 < FRR 100
Mode à sollicitation élevée : Mode de fonctionnement dans
SIL 2 10–7 PFH < 10–6 100 < FRR 1 000
lequel la SIF n’est réalisée que sur sollicitation, afin de faire
passer le processus dans un état de sécurité spécifié, et où la SIL 3 10–8 PFH < 10–7 1 000 < FRR 10 000
fréquence des sollicitations est supérieure à une par an. Défini-
tion IEC 61511-1. SIL 4 10–9 PFH < 10–8 10 000 < FRR 100 000
QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW
Proposition Comparaison
Allocation
d’architectures Calcul des probabilités
Identification des niveaux de SIL
pour atteindre des probabilités de défaillance
des SIF requis pour
les niveaux de défaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)
La méthode PDS peut être considérée comme « réaliste » car Trois contributeurs à la CSU sont désignés :
elle prend en compte les principaux paramètres qui ont une 1/ L’indisponibilité liée aux défaillances dangereuses non détectées
influence sur la disponibilité d’un système, tels que : (λDU) qui couvre :
• les différentes catégories de défaillances/causes ; a) l’indisponibilité liée aux défaillances aléatoires de matériels
(λDU-RH) ;
• les défaillances de cause commune ;
b) l’indisponibilité liée aux défaillances systématiques (λDU-
• les autotests (internes aux équipements dotés de cette fonc-
SYST).
tionnalité) ;
Cette indisponibilité est associée à la probabilité de défaillance
• les tests périodiques de bon fonctionnement ; sur demande notée PFD (Probability of Failure on Demand).
• les défaillances systématiques ; 2/ L’indisponibilité liée aux arrêts qui couvre :
• les redondances d’équipements. a) l’indisponibilité liée à la réparation d’équipements décelés en
panne (maintenance corrective) → DTUR ;
Comme présenté en figure 1, la méthode PDS constitue une
alternative aux formules de calculs proposées dans l’annexe B de b) l’indisponibilité liée à l’inhibition d’équipements afin de réali-
l’IEC 61508-6 lors de l’étape de calcul de la probabilité de défail- ser les tests périodiques de bon fonctionnement et la maintenance
lance pour justifier de l’atteinte du niveau SIL requis. préventive → DTUT.
Toutes les approches précitées pour déterminer le niveau de SIL Cette indisponibilité est associée à l’indisponibilité pour arrêts
nécessitent d’utiliser des données de fiabilité pour caractériser les planifiés notée DTU (Down Time Unavailability).
équipements qui permettent de remplir la fonction de sécurité 3/ L’indisponibilité liée à des défaillances dangereuses cachées qui
(détecteur, automate, vanne d’isolement, etc.). Pour faciliter la ne peuvent pas être décelées pendant les tests périodiques de bon
fonctionnement, mais uniquement lors d’une sollicitation réelle.
mise en œuvre de la méthode PDS, le SINTEF propose en complé-
ment un recueil de données de fiabilité (PDS Data Handbook [3]). Cette indisponibilité est associée aux défaillances cachées notée
PTIF (Test Independant Failure Probability).
QPQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW
Ces contributeurs à l’indisponibilité critique de sécurité (CSU) Sur la figure 3, il est possible d’observer que la PFD et la CSU
sont repris en figure 2. atteignent leurs maximums juste avant la période de test et leurs
La figure 3 inspirée de [1] illustre la contribution à la CSU de la minimums juste après. Cependant, la valeur de CSU générale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU n’est ment retenue correspond à la moyenne. Par conséquent, il est
pas considérée. L’évolution de la PFD(t) est donnée pour un équi- possible que la valeur moyenne permette de justifier de l’atteinte
pement en 1oo1 et est approximée comme suit : de l’objectif visé, mais qu’il ne le soit plus en considérant la valeur
maximum. Pour cette raison, il peut être intéressant de déterminer
le temps passé dans chaque classe de SIL.
Indisponibilité associée
aux défaillances dangereuses Indisponibilité associée
→ PFD : 1a (défaillances aléatoires aux pannes cachées (non révélées
de matériel) et 1b (défaillances systématiques) par les tests)
→ PTIF : 3
Indisponibilité critique
de sécurité (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF
Évolution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps
PFD maximum
PTIF
Temps
T 2T 3T 4T
Période de test
QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP
nalyse des risques – point critique pour leur maîtrise », telle a été la
«A traduction de l’acronyme anglais HACCP (Hazard Analysis Critical
Control Point) adoptée par la commission du « Codex Alimentarius » en 1997
dans la troisième révision du texte fondateur [1]. L’évolution de la terminologie
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQU@M@d・イョゥ│イ・@カ。ャゥ、。エゥッョ@Z@ェオゥャャ・エ@RPQX
a cependant conduit à préférer par la suite « analyse des dangers et des points
critiques pour leur maîtrise ». Cette terminologie rend mieux compte de la
mission dévolue à la méthode au sein de chaque entreprise, se démarque et
évite la confusion avec la démarche globale d’analyse des risques, décrite éga-
lement par le Codex, qui est du ressort des États au sein de l’Organisation
Mondiale du Commerce. L’HACCP est donc une méthode, une approche struc-
turée par sept principes permettant de se prémunir de tous problèmes
d’insécurité des aliments par la mise en place d’activités opérationnelles,
moyens et solutions techniques préétablies et d’en apporter la preuve !
Ainsi, l’HACCP va rassurer et donner confiance en démontrant la capacité de
l’organisme à identifier les dangers menaçant véritablement l’hygiène de ses
productions et à organiser ses activités pour les maîtriser. Initialement déve-
loppée à la fin des années soixante pour l’industrie chimique aux États-Unis, la
méthode HACCP fut rapidement reprise par les IAA (industries agroalimen-
taires) toujours aux États-Unis, avant d’être aujourd’hui mondialisée. De nos
jours, après quelques années de flottement dues à des textes décrivant la
méthode avec un nombre d’étapes variant de 11 à 14, le texte du « Codex
QPS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP
Alimentarius » fait référence et a fixé ce nombre à 12. De fait, une façon très
simple de présenter globalement la méthode HACCP est d’indiquer qu’il s’agit,
dans ses dernières étapes, des sept principes de la méthode, précédées de
cinq étapes préliminaires destinées à collecter toutes les informations néces-
saires à l’accomplissement des fameux sept principes (tableau 1). Ce caractère
global de la méthode en fait un de ses atouts, chacun utilisant le même dérou-
lement de méthode.
Le statut réglementaire de la méthode HACCP a lui aussi évolué, en particu-
lier sur le territoire européen. D’abord fortement recommandée, puis
obligatoire (après transposition dans la loi nationale) pour l’application de ses
principes dans la célèbre directive hygiène 93/43 (aujourd’hui abrogée), la
méthode HACCP est maintenant ancrée fortement dans la réglementation
(règlement CE 178/2002 ou « food law ») et largement répandue dans les entre-
prises. Au-delà de son caractère obligatoire, la méthode HACCP représente
pour celles-ci un véritable outil d’amélioration continue et, appliquée de façon
pragmatique dans la logique de ses 12 étapes, constitue le meilleur moyen
pour assurer la sécurité de leurs produits finis.
Cet article se propose de décrire les différentes étapes de la méthode en les
accompagnant, à des fins didactiques, de commentaires, remarques et autres
retours d’expérience de l’utilisation de cette méthode.
1. Étape 1 : constitution C’est un truisme que de dire que la mise en place d’une
démarche HACCP est un véritable travail d’équipe. C’est au moins,
de l’équipe HACCP – et à l’évidence, une démarche pluridisciplinaire nécessitant pour sa
mise en œuvre des compétences très variées. Mais c’est égale-
délimitation du champ ment, et plus particulièrement, l’affaire d’une ou deux personnes.
À ce titre, le rôle de l’animateur est primordial pour la réussite de
de l’étude la démarche et sa compétence reconnue en matière de méthode
HACCP doit le conforter. Il veille en particulier à l’adéquation entre
la composition de l’équipe et les besoins de l’étude. Dans l’idéal,
une équipe de 5 à 6 personnes compétentes, volontaires et moti-
vées doit constituer une structure fonctionnelle non hiérarchique
Hygiène des aliments : ensemble des conditions et mesures
avec un animateur et un secrétaire technique. Au-delà des fonc-
nécessaires pour assurer la sécurité et la salubrité des aliments
tions qualité (assurance, contrôle) et production – incontournables
à toutes les étapes de la chaîne alimentaire :
–, les fonctions recherche et développement, entretien et mainte-
– sécurité des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont préparés l’équipe HACCP. Il s’agit de constituer une équipe avec un noyau
et/ou consommés conformément à l’usage auquel ils sont dur qui va accompagner la démarche du début jusqu’à la fin. De
destinés ; fait, la formation à la méthode HACCP de tous les membres de
– salubrité des aliments : assurance que les aliments lorsqu’ils l’équipe est indispensable. Le référent HACCP de l’équipe peut, par
sont consommés conformément à l’usage auquel ils sont desti- exemple, s’appuyer sur le manuel de formation édité par la FAO
nés, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) « Système de qualité et de
Ainsi, l’hygiène des aliments n’est pas l’hygiène alimentaire sécurité sanitaire des aliments : manuel de formation » [2]. Il
(apport raisonné par l’alimentation des éléments et nutriments insiste en particulier sur les liens, ainsi que la chronologie à res-
nécessaires à la vie). De même, la sécurité des aliments n’est pecter dans leur mise en place respective, entre bonnes pratiques
pas la sécurité alimentaire (sécurité des approvisionnements, hygiéniques et HACCP. Après la formation, l’équipe HACCP
suffisance alimentaire). s’accorde sur une définition des points critiques de maîtrise (CCP)
et autres points d’attention (voir étape 7, § 7), ainsi que sur un
Les notions de « dangers » et de « risques » sont souvent calendrier de réalisation. Un secrétaire technique seconde l’anima-
employées de manière inappropriée, laissant penser que cela teur et veille à l’établissement des comptes rendus des réunions
puisse être confondu, ce qui ne devrait pas être le cas. de l’équipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, présent réunions.
dans un aliment, ou état de cet aliment, pouvant entraîner un
Il est possible et recommandé d’adjoindre à ce noyau dur, au
effet néfaste sur la santé.
gré des besoins et de la progression de l’étude, toute personne
Risque : fonction de la probabilité d’un effet néfaste sur la jugée collectivement comme indispensable à l’avancée du projet.
santé et de la gravité de cet effet résultant d’un ou de plusieurs Cette personne peut être extérieure à l’organisme (fournisseur,
dangers dans un aliment. consultant, experts divers et variés...). Il est important toutefois de
« garder la main » sur le sujet et de ne pas dépendre entièrement
Ces confusions sémantiques sont très répandues et de personnes extérieures, et il convient d’être très prudent
devraient être bannies, car elles ne participent pas à simplifier vis-à-vis de la promesse d’un système complet « clés en main ». Il
le débat et la communication. faut comprendre, assimiler et s’approprier la méthode HACCP pour
QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP
QPU
QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP
La sûreté de fonctionnement :
méthodes pour maîtriser les risques
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 1
QPW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
AG 4 670 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle
QPX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP
Historique
Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’acci-
concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la dents. Elles ont développé des approches déterministes très poussées et se
comparaison des fréquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyées sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. l’analyse logique pour assurer la sécurité. L’apport des approches probabilis-
tes permet de chercher à ajuster les mesures de prévention des événements
■ À partir de la deuxième guerre mondiale, une discipline se développe sous aléatoires au lieu de rester abrité derrière des normes de dimensionnement
le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractéri- larges et coûteuses.
sées par la découverte de l’efficacité d’une approche probabiliste appliquée à ■ À partir de la décennie 1980, les efforts entrepris dans tant de directions
l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette dis-
de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une cipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionne-
chaîne de composants est le produit des probabilités de succès de chacun des ment. On note les développements suivants :
composants – fut l’origine d’un développement très rapide dans les domaines — constitution de bases de données de fiabilité ;
cités. — début de normalisation en matière de sûreté de fonctionnement ;
Cette période fut aussi celle d’un développement rapide de l’électronique — développement des méthodes d’analyse, de modélisation, de représen-
qui introduit des composants nombreux dont les défaillances individuelles tation des systèmes complexes ;
sont imprévisibles à ce stade des connaissances, mais dont les défaillances — développement de logiciels de calculs ;
collectives présentent des régularités statistiques ; sur un lot de composants — développement de logiciels de modélisation ;
homogène, on sait prédire avec une bonne confiance le nombre de — campagnes d’essais pour recueillir des données de fiabilité ;
défaillances par unité de temps qui vont se produire alors qu’on reste totale- — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart
ment incapable de prédire quel composant va tomber en panne et quand. des industries ;
— utilisation de la sûreté de fonctionnement pour maîtriser tout type de
risque industriel (et peu à peu des risques juridiques, individuels, financiers,
■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser etc.) et non seulement la sécurité ;
cette approche probabiliste si réussie à d’autres « composants » : — apparition et développement des clauses contractuelles de sûreté de
mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences légales et réglementaires de sûreté de
l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la fonctionnement ;
maintenabilité). En même temps se développent des méthodes permettant de — besoin croissant de connaissances pointues dans les domaines scienti-
maîtriser les risques de systèmes complexes (centrale nucléaire, supersoni- fiques concernés dans les systèmes complexes : systèmes programmés,
que...) et non plus simplement de chaînes de composants (même complexes). sciences humaines et sociales.
Ces démarches sont conduites par les équipes constituées autour de la Aujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble
« théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une confiance jus-
risques qui a toujours accompagné les activités à risque comme le transport. tifiée dans le succès d’un projet, d’une activité et son innocuité.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 3
QPY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP
Entre une position très prudente consistant à ne pas utiliser ces La sûreté de fonctionnement est souvent définie comme :
composants faute de pouvoir éviter les pannes, en les remplaçant à
temps par exemple, et une position très risquée consistant à espérer — fiabilité, disponibilité, maintenabilité et sécurité ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet — science des défaillances ;
d’évaluer statistiquement le risque pris en fonction des choix — maintien de la qualité dans le temps.
d’architecture, de politique de maintenance, etc., mais elle ne le per-
met que parce qu’il y a une information utile qui est, ici, la loi de pro- Toutes ces définitions sont reconnues à divers titres par l’Institut
babilité de défaillance des composants en fonction du temps ! de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est
porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant réductrice, trop étroite.
1.3 Produire de la confiance partageable ■ La définition « fiabilité, maintenabilité, disponibilité et
grâce à la sûreté de fonctionnement sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à
§ 2.6) et met en avant la cohérence de ces approches. Par contre, si
En vertu du principe évoqué en premier dans le paragraphe 1.1, la la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est
sûreté de fonctionnement tend à « tout prévoir » (à ne pas confon- aussi une performance d’un système, la SdF ne se réduit pas facile-
dre avec « empêcher tout accident »). En vertu du deuxième prin- ment à une performance.
cipe (§ 1.2), elle tend à prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que ■ La définition « science des défaillances » met l’accent sur la
choix et décisions ont pu être faits et pris en toute connaissance de prise en compte des défaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, l’importance de la connaissance sur
les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a
Il n’y a pas à proprement parler de décisions de SdF. Il y a des pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF
décisions techniques, politiques, des choix de conception, d’organi- prend en compte et traite plus que des défaillances.
sation, d’exploitation, etc., toutes les décisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, privée... La En ce qui concerne les événements finaux (les conséquences), la
SdF permet de prendre en compte de façon explicite les SdF ne prend pas en compte que les défaillances dans l’accomplis-
défaillances, les incertitudes, les aléas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances qu’on détient à leur che fiabilité, maintenabilité, disponibilité ou « dependability »), mais
propos. Ce caractère explicite permet de justifier, de montrer, de dis- aussi des événements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la représentation des conséquences (souhai- tionnel du système (approche orientée sécurité).
tées et non souhaitées, mais maîtrisées) des décisions que l’on En ce qui concerne les événements initiateurs (les causes), la SdF
prend ou que l’on veut faire prendre. ne se limite pas aux défaillances, mais peut permettre de prendre en
compte aussi bien des agressions de l’environnement, des actions
Utiliser la sûreté de fonctionnement, c’est rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phénomè-
exploiter les informations relatives aux événements non nes aléatoires...
voulus : pannes, agressions, aléas..., les prendre en compte
pour des décisions plus fines, plus justes, inspirant plus ■ La définition « maintien de la qualité dans le temps » souli-
confiance. gne l’importance de la durée et l’importance de la référence à des
exigences (explicites ou non). Elle a le défaut de laisser supposer
Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de qu’une activité SdF se conduit nécessairement dans le cadre d’une
fonctionnement possible s’il n’y a pas de connaissances. La SdF est démarche qualité, ce qui est faux. C’est le choix – explicable histori-
toujours totalement dépendante de la connaissance du système étu- quement – de certains secteurs industriels où la sûreté de fonction-
dié et de l’état des sciences concernées. La recherche de ces infor- nement est très développée à l’intérieur de l’organisation Qualité,
mations, en particulier par le retour d’expérience et les essais, est mais n’est pas une nécessité ; d’autres secteurs ont une forte expé-
donc indissociable de la SdF. rience de la sûreté de fonctionnement antérieure à la Qualité au
sens moderne incarné par les normes ISO 9 000 et bien d’autres, en
particulier une expérience de la sûreté de fonctionnement orientée
vers la sécurité.
2. Notions fondamentales Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problè-
mes.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
AG 4 670 − 4 © Techniques de l’Ingénieur, traité L’entreprise industrielle
QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
QQQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de système à action manuelle de sécurité (SAMS), des
conditions quant à la nature de l’action humaine sont à vérifier avant de
pouvoir les considérer comme des MMRI. Le présent article s’attache à donner
les clés au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations nécessaires à la réalisation des fiches de vie. Les
aspects liés à l’exploitation et à la gestion des compétences ne seront pas
abordés dans cet article. Le lecteur pourra se référer aux recommandations
présentées dans la guide méthodologique pour la gestion et la maîtrise du
vieillissement des MMRI (guide DT 93).
Glossaire 1. Caractérisation
Acronyme Signification d’une mesures de maîtrise
ADR
APS
Analyse détaillée des risques
Automate programmable de sécurité
deRs risques
(aussi nommé APidS pour automate instrumentées (MMRI)
programmable dédié à la sécurité)
AU Arrêt d’urgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrière technique de sécurité
Entre 2007 et 2009, les pertes de confinements survenues à
EDD Étude de dangers Ambès (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI Événement initiateur de-la-Crau (7 août 2009) avec des conséquences environnementales
importantes ont mis en lumière la problématique du vieillissement
ER Événement redouté des installations. Le tableau 1 présente les causes et les consé-
FCV Flow Control Valve quences associées à ces trois pertes de confinement.
GMAO Gestion de la maintenance assistée Au regard des accidents listés dans le tableau 1 et de l’âge
par ordinateur moyen de l’outil industriel en France, le ministère du Développe-
ment a décidé d’initier fin 2008 par sa note du 12 décembre 2008
ICPE Installations classées pour la protection (note BRTICP 2008-601-CBO) un plan pour la maîtrise du vieillisse-
de l’environnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annoncé de prévenir la survenue d’incidents dont les causes
seraient liées à l’âge des installions.
MMR Mesure de maîtrise des risques
MMRI Mesure de maîtrise des risques instrumentée Il est demandé aux industriels d’évaluer si la défaillance de leurs
installations est susceptible de conduire à un risque technologique
MMRI C Mesure de maîtrise des risques instrumentée direct ou indirect. Dans l’affirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de maîtrise des risques instrumentée
de sécurité Les équipements concernés sont :
NC Niveau de confiance – les capacités et tuyauteries ;
PID Piping and Instrumentation Diagram – les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour l’environnement et bacs cryogéniques ;
industrielles – les canalisations de transport de gaz, d’hydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;
QQR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
Localisation/
Cause Conséquence
date
Déversement de fioul
lourd dans l’estuaire
de la Loire au cours
d’un chargement de À l’origine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brèche de 16 cm due à une corrosion
navire Fuite décelée seulement 5 h après
478 t de fioul déversées dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilisées
pendant 3 mois et demi pour nettoyer
90 km de berges souillées
Dommages, coûts de dépollution et
indemnisations estimés à environ
50 millions€
Source : présentation faite par le ministère de l’Environnement sur l’état d’avancement du plan de modernisation du 13 janvier 2010
Cet arrêté définit une MMRI comme une mesure de maîtrise des traitement comprenant une prise d’information (capteur, détec-
risques faisant appel à de l’instrumentation de sécurité. Le guide DT teur...), un système de traitement (automate, calculateur, relais...) et
93 vient préciser cette définition : MMR constituée par une chaîne de une action (actionneur avec ou sans intervention d’un opérateur).
QQS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
QQT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
1.3 MMRI parmi les MMR Les différents types de MMR sont présentés sur le schéma de la
figure 1.
Dans son rapport Ω 10 [3], l’INERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de décembre 2008, la terminologie utilisée
cation présentée en figure 1 pour caractériser les MMR. Les défini- est le terme de barrière (remplacé ici par MMR).
tions sont les suivantes :
À l’heure actuelle, la sémantique retenue par les inspecteurs
– MMR humaine : MMR constituée d’une activité humaine qui DREAL dans le cadre des instructions des EDD et PPRT est celle
s’oppose à l’enchaînement d’événements susceptible d’aboutir à rapportée sur le schéma de la figure 1.
un accident ;
– MMR technique : MMR constituée d’un dispositif de sécurité Il est important de bien comprendre que comme représenté sur
ou d’un système instrumenté de sécurité (SIS) qui s’oppose à la figure 1, les MMRI sont tout d’abord des MMR et que de ce fait,
l’enchaînement d’événements susceptible d’aboutir à un accident ; elles doivent répondre aux exigences de l’article 4 de l’arrêté du
– système à action manuelle de sécurité (SAMS) : MMR faisant 29 septembre 2005.
intervenir des éléments techniques et humains. Les MMRI peuvent donc être considérées comme un sous-
groupe de MMR. Deux types de MMRI sont à différencier :
– les MMRI qui couplent des dispositifs techniques (capteurs,
En croisant les définitions précédentes à celle d’une MMRI automate, etc.) et une action humaine (action opérateur). Ces
(cf. arrêté du 4 octobre 2010), il apparaît que les SIS et certains MMRI sont assimilables à des systèmes à action manuelle de sécu-
SAMS peuvent entrer dans la catégorie des MMRI. rité (SAMS) dans lesquels l’action humaine est limitée (§ 1.5.1) ;
MMR
Systèmes à action
manuelle de sécurité
(SAMS)
Dispositif de
sécurité Systèmes
instrumentés de
sécurité (SIS)
Passif Actif
Figure 1 – Caractérisation des mesures de maîtrise des risques d’après l’INERIS [3]
QQU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP
QQV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
QQW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Utiliser les fréquences de fuite rapportées par l’EGIG 6th dans le cadre d’une
analyse de risques portant sur une canalisation de transport de gaz ne pose a
priori pas de problème, puisque les valeurs rapportées dans cette banque de
données sont spécifiques à ce secteur d’activité. En d’autres termes, les
valeurs rapportées dans cette banque constituent de bons estimateurs des fré-
quences de fuite. En revanche, lorsque l’on souhaite évaluer la fréquence de
fuite sur une canalisation pour un secteur d’activité qui n’est pas couvert par
une banque de données spécifique, il se pose la question de la représentativité
des valeurs. En effet, comment juger si la valeur rapportée dans la banque est
trop pessimiste, ou au contraire trop optimiste, au regard des différentes
causes de fuite et mesures de prévention identifiées lors de l’analyse des ris-
ques. Pouvoir s’écarter à la hausse ou à la baisse des valeurs rapportées dans
les banques de données devient alors nécessaire si l’on souhaite mener une
analyse des risques spécifique en prenant en compte les particularités du
système étudié (nature et intensité des causes pouvant mener à la fuite, perfor-
mance des mesures de prévention mises en place par l’industriel, etc.).
Cet article propose de faire un point sur l’état des connaissances actuelles
sur le thème de la pondération des fréquences de fuite dans le cadre des ana-
lyses de risques quantifiées.
QQX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
1. Introduction 2. Quantification
Les enjeux liés à la réalisation d’analyses des risques deviennent
des fréquences de fuite :
de plus en plus cruciaux pour les industriels. En effet, à gravité une nécessité
dans les analyses
constante, un scénario d’accident peut, en fonction de sa probabi-
lité, nécessiter des modifications des concepts de sécurité, voire
dans le cas de la réglementation française, aboutir :
– au refus de l’autorisation d’exploiter (étude de danger réalisée
de risques quantifiées
dans le cadre de DAE) ;
– à la fermeture de site industriel dans le cas où l’acceptabilité
du site ne pourrait être démontrée au sens de la circulaire du 2.1 Rappel sur la quantification
29 septembre 2005 ; des risques
– à l’expropriation de riverains consécutivement à la mise en
œuvre d’un plan de prévention des risques technologiques (PPRT). La quantification des risques implique l’évaluation de la probabi-
L’évaluation des probabilités d’occurrence des accidents indus- lité et de la gravité des accidents. Cette dernière repose générale-
triels nécessite un degré de détail de plus en plus poussé, et donc ment sur une évaluation des distances d’effets, puis sur le
le recours à l’utilisation de méthodologies de plus en plus décompte des cibles impactées. L’évaluation de la probabilité,
complexes (arbre de défaillances, arbre d’événements, etc.) pour repose de plus en plus sur la mise en œuvre de méthodologies qui
lesquelles l’utilisation de banques de données est souvent nécessitent le recourt à l’utilisation de banques de données. La
nécessaire. Afin d’éviter de surestimer ou de sous-estimer les figure 1 présente de manière simplifiée les différentes étapes
risques, ou encore de réaliser des études « standard », il parait menées lors d’un processus de quantification des risques.
indispensable de s’écarter à la hausse ou à la baisse des valeurs Lors de l’évaluation des probabilités des accidents, trois princi-
rapportées dans les banques de données. Mener une réflexion sur paux facteurs doivent être évalués :
la nécessité de pondérer ces valeurs est aujourd’hui essentiel au
regard des enjeux liés aux analyses des risques. Ainsi, dans le – 1) la fréquence de l’événement redouté à l’origine de
cadre des projets d’ingénierie, estimer au plus juste les fréquences l’accident [SE 4 055] ;
de fuite est impératif, d’une part pour démontrer l’acceptabilité des – 2) la probabilité de défaillance des mesures de mitigation
risques, et d’autre part pour optimiser les coûts liés aux résultats [SE 4 057] [SE 4 058] ;
des études de sécurité (implantation des équipements, perfor- – 3) la probabilité d’inflammation (dans le cas des produits
mances à allouer aux chaînes de sécurité, etc.). inflammables) [SE 4 020].
QQY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
Probabilité de défaillance
des barrières de sécurité
Évaluation Évaluation
de la probabilité (P) de la gravité (G)
Probabilité
d'inflammation
Divers (direction
des vents, etc.)
Évaluation du risque
(P x G)
Critères
d'acceptabilité
NON Barrière(s)
Risque acceptable ? de sécurité
supplémentaire(s)
OUI
Fin de l'analyse
D’autres paramètres sont parfois introduits dans le cadre de – substances inflammables (12,5 %) ;
l’évaluation des probabilités d’accident ; on peut citer par exemple – substances extrêmement inflammables (8,9 %) ;
la répartition statistique des directions de vent. – substances très toxiques (6 %).
Bien que l’objet de cet article ne soit pas de détailler les diffé- Cette étude permet aussi d’identifier le poids des différents équi-
rentes méthodologies permettant de quantifier les fréquences des pements à l’origine de la plupart des pertes de confinement recen-
événements redoutés, il est important de rappeler qu’il existe deux sées. Cette répartition est présentée dans le tableau 1.
approches :
1) l’approche dite « directe » qui consiste à allouer à l’événement La majorité des incidents se produit lors du fonctionnement nor-
redouté une fréquence extraite d’une banque de données ; mal de l’installation ; seuls 15,6 % des incidents se sont produits
2) l’approche dite « par calcul » qui consiste à évaluer la fré- durant une opération de maintenance.
quence de l’événement redouté à partir de la connaissance des fré- Les canalisations (en incluant les brides, les soudures, le corps
quences des événements initiateurs et des probabilités de et les open end ) sont à l’origine de 23,3 % des pertes de
défaillances des mesures de prévention. confinement ; celles-ci se produisent dans 51 % des cas durant le
À ce jour, l’approche directe est généralement retenue pour les fonctionnement normal de l’installation et 32 % durant une phase
événements redoutés de type perte de confinement sur capacité. de maintenance.
Cette approche est aussi préférée dans le cadre de la réalisation Une analyse plus profonde de la causalité des pertes de
des analyses QRA du fait du très grand nombre d’événements confinement permet de mettre en évidence une « défaillance » du
redoutés traités dans ce type d’étude. système de management de la sécurité.
L’analyse démontre que 81 % des incidents sont le résultat de
2.2 Perte de confinement sur capacité : plans ou d’application de procédures inadéquats qui incluent :
événement redouté « type » – la conception de l’installation dans 25,6 % des cas ;
dans les analyses de risques – la planification d’opération d’exploitation ou de maintenance
qui représentent respectivement 15,6 % et 22,6 % des cas ;
Le rapport de projet mené par le Health & Safety laboratory, qui – la gestion des modifications dans 5,7 % des cas ;
vise à fournir des informations au HID (hazardous installations – la gestion du permis feu dans 4,9 % des cas ;
directorate ) [1], apporte des éléments qui permettent de mettre en – les procédures d’inspection dans 3,5 % des cas ;
évidence l’importance du poids des pertes de confinement au tra- – l’évaluation des compétences dans 1,7 % des cas.
vers des incidents et accidents recensés. Cette étude, effectuée en
Grande Bretagne sur une durée de onze ans (entre 1991 et 2002)
démontre que sur 2 500 incidents, 718 impliquent une perte de À retenir : l’étude du HSL permet de confirmer que la perte
confinement d’équipement. de confinement sur équipement constitue l’un des événements
La nature des produits impliqués dans ces incidents sont en redoutés récurrents lors de l’analyse des incidents et accidents
majorité (63,6 %) soumis aux réglementations COMAH (control of recensés dans l’accidentologie. Il ressort aussi l’importance du
major accidents hazards ) en Grande Bretagne. Ces produits sont système de management de la sécurité dans la prévention des
des : accidents, puisque 81 % des incidents recensés dans cette
étude sont le résultat de plan ou d’application de procédures
– produits toxiques (15,3 %) ;
– liquides très inflammables (13,2 %) ; inadéquats.
QRP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
QRQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________
3 × 10–5 3 × 10–5
ER ER
3 × 10–4 3 × 10–4
A B C A B C
QRR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP
_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS
n
Fp = FBdD × ∑i =1(wi × Pdi )
Nota : seules les barrières qui sont supposées ne pas être déjà prises en compte dans
la valeur de fréquence issue de la banque de données peuvent être retenues. À retenir : l’approche décrite dans ce paragraphe ne doit pas
être confondue avec la démarche de quantification d’un arbre
À partir de l’arbre présenté en figure 3, la fréquence de l’événe- des causes ou de défaillances. Dans l’approche faisant l’objet
ment redouté « Rupture guillotine de canalisation » se calcule de ce paragraphe, la fréquence de l’événement redouté F(ER)
comme suit : est évaluée à partir d’une valeur issue d’une banque de don-
nées F(BdD) qui est pondérée à l’aide de la répartition statis-
F(ER) = F′(C1) + F′(C2) + F′(C3) + F′(C4) tique des causes et des probabilités de défaillance allouées aux
F(ER) = F(C1)) × (Pd1) + F(C2) × (Pd2) + F(C3) × (Pd3) + F(C4) × (Pd4)) barrières de prévention.
A contrario, la quantification d’un arbre des causes permet
avec F(Ci) = F(BdD) × wi, d’évaluer la fréquence de l’événement redouté à partir des fré-
quences des événements initiateurs (ou causes) et des probabi-
F(BdD) fréquence de fuite issue de la banque de données,
lités de défaillance des barrières de prévention.
wi poids statistique de la cause no i,
Pdi probabilité de défaillance de la barrière no i. 3.2.2 Principe de l’approche 2
Cette approche, qui paraît relativement simple à mettre en Contrairement à l’approche 1, celle-ci est plus macroscopique.
œuvre, implique de détenir des données difficiles à trouver. Tout En effet, elle ne se base pas sur une pondération de chacune des
d’abord, il est impératif de disposer d’une répartition statistique de causes pouvant mener à l’événement redouté, mais pondère direc-
causes pouvant amener à la réalisation de l’événement redouté, tement la fréquence issue de la banque de données. Cette pondé-
afin de pouvoir évaluer le poids de chacune des causes. Ensuite, il ration repose généralement sur une identification au préalable
faut être en mesure de quantifier l’effet des barrières de préven- d’une liste de paramètres qui sont supposés avoir une influence
tion mises en place sur la fréquence des événements initiateurs. sur la fréquence de fuite. Ces paramètres font généralement
Pour chacune des deux phases de cette démarche « idéale », le intervenir :
tableau 2 liste les difficultés de mise en œuvre.
– la conception des installations (code utilisé, prise en compte de
La figure 4 présente les différentes étapes de cette approche. facteur de sécurité, etc.) ;
QRS
QRT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
Évaluation de la criticité
des équipements
Méthodes d’exploitation des jugements
d’experts
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique,
d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur – Docteur ès sciences
Professeur associé des universités retraité, Université Paris Est Créteil, France
1. Brainstorming SE 4 004 - 3
1.1 Origine et domaines d’applications ........................................................ — 3
1.2 Principes originaux du brainstorming .................................................... — 3
1.3 Adaptation de la méthode du brainstorming pour la recherche
de la criticité des équipements ................................................................ — 3
1.4 Déroulement d’une séance de brainstorming........................................ — 3
1 .5 Avantages et inconvénients de la méthode du brainstorming............. — 4
1.6 Conclusions ............................................................................................... — 4
2. Méthode Delphi ....................................................................... — 4
2.1 Origine et domaines d’applications ........................................................ — 4
2.2 Description de la méthode Delphi initiale............................................... — 5
2.3 Variantes de la méthode Delphi .............................................................. — 7
2.4 Avantages et inconvénients de la méthode Delphi ............................... — 7
2.5 Conclusions ............................................................................................... — 7
3. Méthode de l’Abaque de Régnier® ........................................... — 8
3.1 Origine et domaines d’applications ........................................................ — 8
3.2 Principe original de la méthode............................................................... — 8
3.3 Adaptation de la méthode pour la détermination de la criticité ........... — 8
3.4 Variante de la méthode Delphi : méthode de Delphi Régnier® ............ — 11
3.5 Avantages et inconvénients de l’Abaque de Régnier® .......................... — 12
3.6 Conclusions ............................................................................................... — 12
4. Méthode de notation Pieu ....................................................... — 12
4.1 Origine et domaines d’applications ........................................................ — 12
4.2 Principe de la méthode............................................................................. — 12
4.3 Variantes de la méthode Pieu .................................................................. — 14
4.4 Avantages et inconvénients de la méthode Pieu ................................... — 16
4.5 Conclusions ............................................................................................... — 17
5. Méthodes fondées de la maintenance basée sur la fiabilité (MBF) — 17
5.1 Origine et domaines d’applications ........................................................ — 17
5.2 Principes de la maintenance basée sur la fiabilité ................................. — 17
5.3 Méthodes de détermination de la criticité pour la MBF : RCM ............. — 18
5.4 Avantages et inconvénients des méthodes fondées
sur la maintenance basée sur la fiabilité ................................................ — 22
5.5 Conclusions ............................................................................................... — 22
6. Méthode d’Ishikawa (arbres causes-conséquence-5M) .............. — 22
6.1 Origine et domaines d’applications ........................................................ — 22
6.2 Principe général de la construction du diagramme d’Ishikawa............ — 22
6.3 Avantages et inconvénients du diagramme d’Ishikawa........................ — 25
7. Études comparatives des méthodes d’élaboration
de la criticité par jugements d’experts ........................................... — 26
8. Conclusion .............................................................................................. — 26
p。イオエゥッョ@Z@。カイゥャ@RPQT
QRU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
QRV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
1. Brainstorming
Analyse
Brainstorming
fonctionnelle
1.1 Origine et domaines d’applications
Identification
Pour la détermination de la criticité des équipements d’une des défaillances
installation industrielle et en absence de retour d’expérience, il est des équipements
possible d’adapter la méthode dite du « brainstorming » ou
« remue-méninges », utilisée dans les entreprises pour trouver des
solutions innovantes, en réunissant un groupe d’experts des
équipements, piloté par un animateur, pour obtenir un consensus Identification
sur les différents attributs associés à la criticité des équipements. des conséquences
des défaillances
Pour atteindre cet objectif, il est indispensable de s’inspirer de la des équipements
méthode définie ci-dessous par son concepteur Alex Osborn [1] et
de faire les adaptations nécessaires.
Classification
1.2 Principes originaux du brainstorming de la criticité
des équipements
« On est plus intelligent à plusieurs que seul », tel est le principe
de base du brainstorming. Le brainstorming (association des
termes anglais « brain » [cerveau] et « storm » [tempête]) est une Figure 1 – Étapes d’une session de brainstorming – analyse
technique de créativité en groupe élaborée en 1940 par le publici- fonctionnelle
taire Alex Osborn. Selon lui, la qualité d’une idée ou d’une solution
naît de la quantité des propositions d’un groupe. Le principal
intérêt de la méthode provient du fait que des idées très nombreu- conception, exploitation, maintenance, sécurité et environnement
ses et originales sont produites. Pour cela, les suggestions et d’une personne prenant les notes.
absurdes sont admises durant la phase de production d’idées et de
stimulation mutuelle. En effet, des personnes ayant une certaine 1.4.1 Nomination d’un modérateur expérimenté
réserve peuvent alors être incitées à s’exprimer, par la dynamique
sur le sujet
de la formule et/ou par les effets volontaires (interventions) de
l’animation. Résultat : en dépit de la peur première de formuler La principale tâche de l’animateur est de rendre les séances de
une idée absurde, des idées excellentes peuvent se mettre à brainstorming aussi productives que possible. Son rôle est capital et
surgir. C’est pour amener à l’accouchement de ces bonnes idées il doit en particulier maîtriser le comportement des équipements et
en toute quiétude que l’absence de critique, la suggestion d’idées les effets de leurs défaillances. Il énonce le but recherché lors des
sans aucun fondement réaliste et le rythme, sont des éléments séances de travail, distribue le temps de parole lors d’un tour de table
vitaux pour la réussite du processus. par exemple, et finalement il réalise les documents de synthèse.
Cette tâche est complexe car elle implique de faire respecter
1.3 Adaptation de la méthode strictement les règles de base du brainstorming, de noter les avis
du brainstorming pour la recherche émis et de piloter subtilement le processus de classification de la
criticité des équipements, surtout si les séances de brainstorming
de la criticité des équipements sont des occasions uniques de rassembler les experts en raison de
La méthode du brainstorming a fait l’objet d’une adaptation pour la leur faible disponibilité.
définition de la criticité des équipements en fonction des
conséquences fonctionnelles des défaillances [2]. Cette adaptation a 1.4.2 Constitution de l’équipe de travail
été réalisée dans le domaine de la sécurité aéronautique et combine et planification des réunions et préparation
une approche fonctionnelle et la méthode classique du brainstorming. du brainstorming
Dans la phase fonctionnelle préliminaire de détermination de la
criticité, on procède en trois étapes : Le modérateur sélectionne les experts représentant les différents
– réalisation de l’inventaire des fonctions ; spécialistes des équipements et planifie les réunions.
– identification des défaillances du système (perte ou dégra- Ce sont des acteurs essentiels pour la détermination des équi-
dation des fonctions) et des équipements qui en sont la cause ; pements critiques.
– identification des conséquences potentielles des défaillances L’expérience montre qu’un groupe de quatre à six personnes est
des équipements et de leurs fréquences acceptables d’occurrence. tout à fait adéquat pour le brainstorming.
Comme cette première approche n’est que rarement exhaustive,
Comme en général les participants sont très sollicités par leurs
il devient nécessaire de faire appel à l’étape de brainstorming
responsabilités opérationnelles quotidiennes, le modérateur doit
réunissant un animateur et un panel d’experts spécialistes des
s’assurer auprès de leurs responsables hiérarchiques de leur
différents aspects liés à l’exploitation, à la maintenance, à la
disponibilité, sinon leur absence entraînera obligatoirement des
sécurité et aux aspects réglementaires.
retards. Pour une bonne efficacité des séances, il est indispensable
La figure 1 montre les étapes de la méthode. de procéder en plusieurs étapes :
– sélectionner et organiser les participants, en particulier les
1.4 Déroulement d’une séance experts opérationnels ;
– présenter aux membres du groupe les objectifs ;
de brainstorming – réparer l’approche de la méthode du brainstorming ;
Le brainstorming suppose le respect de certaines règles et un – préparer et préciser le contenu de la méthode de détermi-
déroulement en plusieurs étapes pendant les réunions de travail. nation des défaillances des équipements ;
Un groupe optimal pour obtenir la meilleure efficacité des séances – présenter les aspects pratiques de la détermination de la criti-
de brainstorming est composé d’un modérateur, d’experts en cité des équipements.
QRW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
QRX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
travers observés pendant des discussions directes en réunion par • Variance : on appelle variance de la série statistique
une méthode définie avec beaucoup de soins avec une interro- (xk ; nk ) le nombre :
gation personnelle et anonyme de chaque expert à l’aide de
questionnaires consécutifs et individuels sous la responsabilité
d’un animateur. Entre chaque nouveau questionnaire, de nouvelles n1 (x1 − x ) 2 + n 2 (x 2 − x ) 2 + ... + n p (x p − x ) 2
V=
informations et de nouvelles justifications sont demandées à N
chaque expert jusqu’au moment où l’animateur aura obtenu un
consensus parmi tous les experts. La procédure est représentée • Écart type : l’écart type d’une série statistique est défini
sur la figure 2. Cette procédure appelée « élicitation » d’experts
permet d’obtenir les avis des différents experts qui ne se par : σ = V .
connaissent pas ; le département de la Défense américain définit Elle caractérise la dispersion autour de la moyenne.
l’« élicitation » (intelligence) comme l’acquisition d’information
auprès d’une personne ou d’un groupe avec une procédure qui ne • Médiane : la médiane Me d’une série ordonnée par ordre
dévoile pas l’utilisation des réponses qui seront fournies. croissant partage cette série en deux parties telles que la
moitié au moins prend des valeurs inférieures ou égales à la
L’objectif de ces questionnaires successifs est de diminuer médiane :
l’espace interquartile tout en précisant la médiane (encadré – si le nombre de données est pair, N = 2p : la médiane est
« Rappels statistiques »). la moyenne des pième et (p + 1) ième valeurs ;
La méthode Delphi utilise une interrogation personnelle et – si le nombre de données est impair, N = 2 p + 1 : la
anonyme de chaque expert à l’aide de questionnaires consécutifs médiane est la (p + 1) ième valeur.
et individuels sous la responsabilité d’un animateur. Entre chaque • Les quartiles : les valeurs d’une série d’effectif N sont
nouveau questionnaire, de nouvelles informations et de nouvelles rangées par ordre croissant :
justifications leur sont demandées jusqu’au moment où
l’animateur aura obtenu un consensus de tous les experts. Dans – le premier quartile Q1 de la série est la valeur xi dont
cette procédure d’élicitation d’experts, l’animateur renvoie de N
nouveaux questionnaires pour demander des justifications l’indice i est le plus petit entier supérieur à ;
4
détaillées sur leurs réponses. Il rassemble les différents avis et les – le troisième quartile Q3 de la série est la valeur xj dont
envoie aux autres experts pour commentaires et critiques, et éven-
tuellement pour obtenir un changement d’avis. Ainsi, les experts 3N
l’indice j est le plus petit entier supérieur à .
peuvent réviser leurs jugements initiaux et prendre en compte des 4
faits qu’ils avaient négligés en les considérant comme non impor- • Intervalle interquartile : c’est une mesure de dispersion.
tants ou totalement négligeables.
L’intervalle interquartile est l’intervalle [Q1 ; Q3].
• L’écart interquartile : l’écart interquartile est la différence
2.2 Description de la méthode Delphi Q = Q3 – Q1.
initiale Le schéma ci-dessous permet de visualiser ces caractéris-
tiques statistiques.
Dans un premier temps la démarche d’origine est présentée sachant
que de nombreuses variantes ont été développées par la suite avec
l’émergence des nouvelles technologies (Internet, réseaux sociaux) et 75 %
qui feront l’objet de paragraphes spécifiques dans ce chapitre. 25 %
■ Phase 1 : formulation du problème
L’élaboration du questionnaire doit se faire selon certaines Min Q1 Médiane Q3 Max
règles : les questions doivent être précises, quantifiables (elles
portent par exemple sur les probabilités de réalisation d’hypo-
Remarques : le couple (médiane ; écart interquartile) est
thèses et/ou d’événements, le plus souvent sur des dates de réali-
robuste par rapport aux valeurs extrêmes, mais sa détermi-
sation d’événements) et indépendantes (la réalisation supposée
nation (les quartiles) n’est pas très pratique. Plus l’écart inter-
d’une des questions à une date donnée n’a pas d’influence sur la
quartile est grand, plus la dispersion est importante.
réalisation d’une autre question).
QRY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT
■ Phase 2 : choix des experts explicitement si celle-ci se situe hors de l’intervalle (Q1-Q3). Les
Le manque d’indépendance des experts peut constituer un experts renvoient les réponses, éventuellement les raisons.
inconvénient ; c’est pourquoi, par précaution, les experts sont iso- Il comporte deux parties principales : d’abord, les résultats et les
lés et leurs avis sont recueillis par voie postale ou par courrier réponses du premier questionnaire sont présentés sous forme de
électronique et de façon anonyme : on obtient donc l’opinion de liste ou de tableau ; ensuite, les experts classent les éléments de
chaque expert et non une opinion plus ou moins faussée par un résultats afin d’établir des priorités et sont autorisés à examiner
processus de groupe (pas de leader ). leurs réponses à la lumière de l’avis d’autres experts, à ajouter des
commentaires et à modifier leurs réponses.
■ Phase 3 : déroulement pratique et exploitation des résultats
Une fois le processus de sélection des experts achevé, un L’animateur traite ces informations et prépare le troisième
questionnaire est distribué à chaque membre du panel. Les questionnaire.
membres sont encouragés à tirer parti de leurs expériences et à Le troisième questionnaire et tous les questionnaires suivants
utiliser toutes les données historiques ou d’autres ressources pour contiennent trois grandes parties. D’abord, ils comprennent les
les aider à répondre aux questions posées. Toutefois, les experts réponses à toutes les questions précédentes, avec quelques
du panel ne doivent pas se consulter entre eux pour éviter un biais données statistiques permettant aux experts de voir comment
dans les réponses. leurs réponses sont liées à celles des autres membres du groupe.
Le premier questionnaire se compose généralement d’une ou de
deux questions. Celles-ci sont destinées à être ouvertes sur le Deuxièmement, ils incluent des commentaires et des raison-
domaine concerné. Les experts donnent leur avis et retournent le nements que les experts mettent dans leurs réponses. Troisiè-
questionnaire à l’animateur. mement, ils donnent l’occasion aux experts d’examiner et de réviser
leurs réponses précédentes. Puis le questionnaire est retourné à
Celui-ci examine les réponses et utilise cette information pour l’animateur. Ce troisième questionnaire vise à opposer les réponses
élaborer des questions plus spécifiques qui seront utilisées dans le extrêmes en rapprochant leurs arguments. Il est en outre demandé
deuxième questionnaire. à chaque expert de critiquer les arguments de ceux qui se situent
On notera que selon les versions de la méthode Delphi, on peut en-deçà de Q1 et au-delà de Q3. Comme on le voit, la convergence
utiliser une échelle de cotation comme l’échelle de Likert, est forcée, voire manipulée, puisque seuls les extrêmes sont oppo-
fréquemment utilisée dans les questionnaires de psychologie. Elle sés, alors qu’ensemble, ils représentent autant de réponses qu’il y
a été développée par le spécialiste en psychologie organisation- en a dans l’intervalle (Q1-Q3). En outre, il n’est jamais demandé aux
nelle Rensis Likert [5]. Dans la majorité des cas, une échelle à cinq extrêmes de critiquer les arguments de ceux qui sont dans l’espace
ou sept niveaux est utilisée. interquartile. La procédure Delphi est représentée sur la figure 3.
Ce premier questionnaire a pour objectif de repérer la médiane Ce processus se poursuit jusqu’à ce qu’un consensus définitif
et l’intervalle interquartile (encadré « rappels statistiques »). La soit atteint par le groupe (nombre de tours pouvant aller de 3 à 7).
médiane (deuxième quartile) est l’item au-dessous duquel 50 %
des experts pensent que l’évolution sera négative et au-dessus Un ingrédient clé de ce processus est l’anonymat des membres
duquel 50 % des experts pensent qu’au contraire, elle sera posi- du panel d’experts car il élimine de nombreux problèmes qui
tive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on défi- découlent de préjugés et de l’influence de ses pairs.
nit aussi respectivement le premier quartile (Q1) et le troisième
quartile (Q3). L’espace interquartile est constitué par l’intervalle Cette méthode a été utilisée pendant la guerre froide pour
(Q1-Q3). L’animateur réalise une première synthèse pour élaborer connaître par exemple le nombre de bombes soviétiques néces-
le second questionnaire. saires pour détruire des sites industriels aux États-Unis. La
consultation de sept experts après trois questionnaires successifs
Le second questionnaire est élaboré et a pour objectif de réduire a permis de réduire de façon significative les premières
les positions contradictoires (c’est-à-dire l’intervalle Q1-Q3). Ce estimations comme indiqué sur le tableau 1.
questionnaire est envoyé aux experts pour qu’ils révisent leurs
positions et on demande explicitement aux experts ayant des On peut noter que le rapport initial maximum/minimum qui était
jugements extrêmes de se justifier. Cela signifie qu’il est demandé de 100 a été réduit à 360/167 très proche de 2 d’où l’efficacité
à chaque expert de fournir une nouvelle réponse et de se justifier remarquable de la méthode Delphi.
Coordinateur
Groupe • questionnaires Rapport
d’experts • dépouillements final
• analyse
• synthèse
• statistiques
QSP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
Évaluation de la criticité
des équipements.
Méthodes analytiques
QSQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
Le 9 novembre 1949, l’armée américaine a publié la norme – 1988 : Alain Villemeur [2] présente dans son ouvrage neuf
MIL-P-1629 [1] qui a défini l’un des tous premiers outils méthodes d’analyse en sûreté de fonctionnement ;
analytiques de la sûreté de fonctionnement : l’AMDEC (analyse des – 2002 : Jérôme Tixier et al. [3] ont établi un inventaire de 62
modes de défaillances, de leurs effets et de leur criticité). méthodes pour l’analyse des risques pour les installations indus-
Initialement conçu pour les systèmes d’armement, cette norme trielles. Il classe les méthodes en deux groupes : qualitatifs et
avait pour objectifs de déterminer les effets des défaillances des quantitatifs, qui sont à leur tour divisés en trois catégories :
systèmes et des équipements. La criticité des défaillances s’évalue déterministes, probabilistes et mixtes ;
QSR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
QSS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
QST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
L’utilisation d’un tableau d’analyse tabulaire constitue un outil [SE 4 010], il est important de retenir une trame qui contient les
utile pour synthétiser le raisonnement et assurer le raisonnement notions de gravité et d’occurrence des conséquences des défaillan-
intellectuel du groupe de travail chargé de la détermination de la ces des équipements dans le cadre d’une étude sur la criticité des
criticité des équipements. On remarquera qu’il n’y a pas de trame équipements.
unique, mais celle-ci doit au minimum contenir les résultats Dans le cadre de la recherche de la criticité des équipements, il
attendus de l’analyse et éventuellement d’autres colonnes est recommandé de mettre en œuvre des tableaux utilisés pour
(structuration, traçabilité). Cependant, comme indiqué dans ces analyses qui contiennent :
QSU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
Mesures
Événement
Sous- Événement de
Entité causant Situation Effets – Occurrence
système ou Phase causant un Accident Gravité prévention
dangereuse une situation dangereuse conséquences (fréquence)
équipement accident ou de
dangereuse
protection
QSV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU
■ Définition du système, de ses fonctions et de ses composants ■ Établissement de leurs effets et de leur criticité
Dans cette première étape, on identifie les principales fonctions Dans cette étape, on recense les effets ou conséquences que
du système, ses limites fonctionnelles (systèmes et composants) peut avoir chaque mode de défaillance. Il convient de les évaluer
les spécifications relatives au fonctionnement du système, de ses sur le (ou les) niveau(x) supérieur(s), jusqu’au niveau le plus haut
composants ou de l’environnement du système. (effet local, effet au niveau immédiatement supérieur, effet final).
Ensuite, il est impératif de définir le niveau de définition de La criticité est l’expression de l’importance globale d’une
l’AMDEC : niveau procédé, niveau système, niveau composant ou défaillance donnée.
niveau pièce élémentaire.
Elle permet de hiérarchiser les défaillances selon leur influence
■ Établissement des modes de défaillance des composants et globale sur le système, le process, le client, etc. vis-à-vis des
leurs causes objectifs à maîtriser (sécurité, maintenance…).
Cette phase doit être la plus complète possible et demeure le Elle peut être exprimée par un paramètre ou une combinaison
point faible de la méthode. Un mode de défaillance décrit l’altéra- de paramètres tels que :
tion d’une fonction attendue. Les modes de défaillance sont définis
par rapport à un fonctionnement précis du système et sont donc – gravité : classe ou degré sur les effets des défaillances ;
dépendants de celui-ci. Pour aider l’analyse, on utilise des tableaux – probabilité d’occurrence : taux de défaillance, fréquence
comme le tableau 4 donnant quelques modes de défaillance de la d’apparition ;
liste-guide de modes génériques de défaillance (norme – détection : probabilité ou niveau, de détectabilité du mode de
EN 60812 [16] qui remplace la norme AFNOR X 60-510). défaillance ;
Suivant les besoins de l’étude, on recherche les causes attribua- – autres paramètres spécifiques aux particularités de l’étude
bles à chaque mode de défaillance et un mode de défaillance peut (durée de fonctionnement, temps moyen de réparation...).
avoir plusieurs causes. On recherche souvent la cause la plus élé-
mentaire (cause des causes). Pour évaluer la criticité, il existe plusieurs solutions. La première
solution consiste à utiliser un indice numérique de criticité souvent
appelé IPR (indice de priorité de risques) qui est le produit des
valeurs numériques données à la gravité, la probabilité
Remarques sur les notions de causes, modes et effets d’occurrence et la détectabilité du mode de défaillance suivant des
échelles propres à la norme d’AMDEC retenue :
Selon le niveau où l’on situe le problème, la cause devient
le mode ou bien l’effet. Indice de priorité de risque (IPR) = gravité × probabilités × détection
En raison du décalage dans l’arborescence fonctionnelle,
l’effet devient le mode de défaillance au niveau supérieur, et Pour définir si un mode de défaillance est critique, il appartient
le mode devient la cause au niveau supérieur. au groupe de travail de définir un seuil au-delà duquel
l’équipement sera considéré comme critique. Dans de nombreux
cas, on choisit le seuil au quart de la valeur maximale de la
criticité.
Tableau 4 – Exemple de modes génériques
de défaillance ■ Définition des actions correctives et nouveau calcul de la
Modes génériques de défaillance suivant la norme EN 60812 criticité
1 Défaillance structurelle Dans certaines études, si la criticité n’est pas acceptable, il est
demandé de définir des actions correctives telles que reconcep-
2 Blocage physique tion, maintenance préventive, moyens de prévention. Pour juger
9 Fuite externe de l’efficacité de ces actons correctives, il est de nouveau
indispensable de recalculer le nouvel IPR :
13 Fonctionnement intempestif
14 Fonctionnement intermittent IPR = gravité × probabilité × détection
Effet
au Gra- Fré- Détec- Action Gra- Fré- Détec-
Fonc- Effet Effet IPR ini- IPR
Mode niveau Cause vité quence tion correc- vité quence tion
tion local final tial finale
supé- initiale initiale initiale tives finale finale finale
rieur
QSW
QSX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
Évaluation de la criticité
des équipements
Métriques et indicateurs de performance
QSY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
QTP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
1. Typologie des impacts geants et de leurs actionnaires est de fournir un retour sur inves-
tissements optimisé. Cependant, toute activité industrielle
des défaillances critiques implique des équipements et des personnels pour les exploiter.
Les responsables de ces entreprises sont obligatoirement soumis à
des réglementations concernant la santé et la sécurité des
personnels et le respect de l’environnement. Très souvent, une ins-
1.1 Notions de défaillance critique tallation conventionnelle comporte une partie dangereuse soumise
à réglementation.
Le choix des métriques et des indicateurs de performance, et la
collecte des données associées impliquent de définir les notions
de criticité et de défaillance critique. En effet, depuis la naissance 1.2.2 Secteurs d’activités soumises
des premiers concepts de la sûreté de fonctionnement dans les à règlementation
années 1930, de nombreuses définitions ont vu le jour. Dans cet
article, la définition de la criticité sera déduite de la norme Lorsque des atteintes à la santé et la sécurité des personnes ou
américaine sur les AMDEC (analyse des modes de défaillance, de à l’environnement sont susceptibles de se produire dans un sec-
leurs effets et de leur criticité) qui a vu le jour le 10 septembre teur d’activités donné, des réglementations nationales ou interna-
1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et tionales ont été élaborées pour les encadrer. Ainsi, dans le
remise à jour par la Mil-STD 1629A [1] et qui définit la criticité domaine des activités industrielles dangereuses, le ministère de
comme étant une « mesure relative des conséquences d’un mode l’Écologie, du Développement durable et de l’Énergie réglemente
de défaillance et de sa fréquence d’occurrence ». À partir de cette et fait inspecter les installations classées pour la protection de
mesure relative, il est possible de définir un seuil au-delà duquel la l’environnement (ICPE) [2]. Les installations classées ICPE sont
conséquence sera considérée comme critique. La gravité des susceptibles de générer des risques ou des dangers, ou de provo-
conséquences d’un mode de défaillance critique, conformément à quer des pollutions ou nuisances, notamment pour la sécurité et la
cette même norme, prend en considération ses pires santé des riverains et pour l’environnement.
conséquences finales : par exemple, mort de personnes, blessures, Il existe quatre catégories d’installations classées :
atteintes aux biens et aux systèmes. Les paragraphes suivants 1. les installations soumises à déclaration : pour les activités les
décrivent les typologies des causes et des conséquences des moins polluantes et les moins dangereuses ;
défaillances pour deux familles de secteurs d’activités : les
2. les installations soumises à autorisation : pour les installations
secteurs d’activités conventionnelles et les secteurs d’activités sou-
présentant les risques ou pollutions les plus importants ;
mises à règlementation.
3. les installations dites « Seveso seuil bas » : cette catégorie
correspond au seuil bas de la directive européenne Seveso II ;
4. les installations soumises à autorisation avec servitudes
1.2 Classification des secteurs d’activités d’utilité publique (AS) : cette catégorie inclut les installations dites
« Seveso seuil haut » de la directive européenne Seveso II.
Les conséquences des défaillances des équipements varient de
façon très notable suivant leurs potentialités à induire des risques
ou des dangers pour la sécurité et la santé des personnels des
À partir de 2015, la réglementation SEVESO III remplacera
entreprises ou des riverains. Pour ces raisons, il est important de
la réglementation SEVESO II.
différencier le cas des secteurs d’activités conventionnelles de
celui des secteurs d’activités présentant des dangers et des
risques. Dans le domaine des transports ferroviaires, de nombreux
règlements régissent leur sécurité. L’Union européenne [3] a établi
1.2.1 Secteurs d’activités conventionnelles le règlement (UE) no 1078/2012 du 16 novembre 2012 concernant
une méthode de sécurité commune aux fins du contrôle que doi-
Les secteurs d’activités conventionnelles directement liés à vent exercer les entreprises ferroviaires et les gestionnaires
l’industrie représentent environ 80 % de toutes les activités d’infrastructure après l’obtention d’un certificat de sécurité ou d’un
recensées en France. La principale préoccupation de leurs diri- agrément de sécurité, ainsi que les entités chargées de l’entretien.
QTQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
QTR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
accidents surviennent. Incontestablement, le modèle « Swiss cachées pour les opérateurs, peuvent se propager à l’intérieur du
cheese » ou « gruyère » développé par le Professeur James système de barrière et conduire à des erreurs actives.
Reason de la Manchester University au Royaume-Uni est actuelle-
ment le plus répandu. Ces travaux considèrent que l’erreur La figure 3 représente toute la chaîne causale pouvant conduire
humaine n’est plus la cause d’un accident, mais la conséquence à un accident.
d’un environnement organisationnel défaillant [9]. La figure 2 Le modèle initial de Reason a fait l’objet depuis son premier
représente le modèle de Reason. Il utilise un système de plaques concept de nombreuses modifications pour l’améliorer et le
correspondant à des barrières redondantes qui s’interposent entre compléter. Parmi ces améliorations, on peut citer la méthode
le danger et l’accident. Tripod développée par Cambon et Guarniéri dans le domaine de la
L’occurrence d’un accident se produit si toutes les barrières sécurité du travail et celle de la méthode ALARM dans le domaine
mises en place s’avèrent défaillantes. Les points faibles d’une médical.
barrière sont représentés par « trous » d’où le surnom de la La méthode Tripod [10] repose sur les analyses faites a poste-
méthode « Swiss cheese » ou « gruyère ». L’apparition simultanée riori sur les rapports d’accidents et d’incidents. Les conclusions de
de trous dans chacune des barrières peut alors provoquer ces analyses permettent de classer les défaillances latentes en un
l’accident. Le chemin ainsi défini entre le danger, les trous et nombre limité de onze facteurs types de risques organisationnels.
l’accident est alors appelé la « trajectoire accidentelle ». Les tra-
vaux de Reason se sont penchés sur les conditions d’apparition de La méthode ALARM a été développée dans le domaine de la
ces trous. Les erreurs actives correspondent aux conséquences prévention des risques hospitalier par Charles Vincent et son
d’erreurs commises par les opérateurs de première ligne. Selon équipe et publiée en 1998 [11]. Elle est inspirée directement du
son modèle, ces erreurs actives sont les conséquences de modèle de REASON. Les fondements de la méthode ALARM
mauvaises décisions organisationnelles prises par le management repose sur les constatations et définitions suivantes : Tout opé-
(conception, communication, planification, etc.). Ces dysfonction- rateur fait des erreurs, et il est même impossible d’imaginer un
nements organisationnels sont appelés « conditions latentes » et opérateur qui n’en fasse pas. Ces erreurs sont « patentes »,
sont les sources « d’erreurs latentes ». Ces erreurs latentes, visibles de tous.
Conditions latentes
Barrière
DANGER
n° 3
Barrière
n° 3
Barrière
n° 2
Barrière
n° 1
Erreurs actives
Accident
QTS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV
Événement
indésirable
Arrêt de progression
par une barrière
Pression à Mauvaise Fatigue
la production organisation stress
interface
• La sécurité repose sur des « défenses en profondeur » qui sont fréquente de l’occurrence des défaillances techniques. Ainsi, le
des procédures organisées pour récupérer les erreurs des choix d’une mauvaise nuance d’un acier entraînera à terme sa
opérateurs (aucune de ces procédures ou barrières n’est suffisante rupture par fatigue lors de sollicitations mécaniques répétées.
pour procurer une sécurité totale, mais leur empilement bloque
presque toutes les propagations d’erreurs dans le système. Une exploitation de l’équipement ne respectant les spécifica-
tions techniques d’exploitation est une source de défaillance
• L’organisation du travail, sa conception et son management classique. Par exemple, si l’opérateur d’un pont roulant manipule
par la hiérarchie, pèsent sur la fréquence et le type d’erreur des une charge dépassant la valeur limite de conception, cela induira
opérateurs. Mais les dysfonctionnements à ce niveau sont long- sa destruction structurelle. Il est important de noter que dans ce
temps invisibles : on les appelle des « erreurs latentes ». cas, le facteur humain y joue également un rôle important.
La méthode ALARM fournit un guide pour retrouver ces erreurs
latentes de l’organisation et de son management. Une politique de maintenance mal maîtrisée et/ou inefficace est
une source majeure de défaillances. À titre d’exemple, une mau-
La figure 4 illustre les principes et concepts de la méthode vaise périodicité du graissage d’un palier conduit inévitablement à
ALARM. une défaillance.
1.3.1.3 Défaillances techniques Comme largement développé au paragraphe 1.3.1.2 les facteurs
humains opérationnels et humains (FOH) sont des contributeurs
Les défaillances techniques sont définies dans la discipline de la
majeurs à l’apparition de défaillances techniques. Ainsi, un person-
sûreté de fonctionnement comme est la cessation de l’aptitude
nel mal formé ou non habilité pourra endommager un équipement
d’une entité à accomplir une fonction requise (norme NF EN 13306
et conduire à la défaillance, ou bien une procédure de maintenance
Maintenance – Terminologie de la maintenance) [12]. La
non remise à jour peut engendrer à terme une défaillance techni-
défaillance est observée à travers son mode et résulte d’une cause
que. Un inventaire exhaustif de toutes les causes liées aux FOH est
initiale. Elle se caractérise donc par le couple cause-mode. Le
impossible à réaliser en pratique. Chaque secteur d’activités dis-
mode de défaillance est la manière par laquelle la défaillance est
pose de son propre référentiel lié aux FOH. Les facteurs extérieurs
observée et correspond à une perte totale ou partielle de fonctions
qui conduisent à des défaillances techniques correspondent à des
assurées par l’équipement. La cause potentielle de la défaillance
agressions externes non prévues lors de la conception de l’équipe-
représente l’événement initial susceptible de conduire au mode de
ment. Parmi ces facteurs on peut prendre en compte :
défaillance. L’effet est la conséquence du mode de défaillance sur
le bon fonctionnement du moyen de production ou sur l’utilisateur – les environnements d’exploitation en dehors des plages spéci-
final du moyen. La figure 5 représente les facteurs qui contribuent fiées (humidité, pression atmosphérique, température, vibrations,
à l’occurrence des défaillances techniques. champs électriques et magnétiques, poussières, atmosphère
Une mauvaise conception des équipements conjuguée à la corrosive) ;
sélection de matériaux inadaptés ou trop fragiles est une cause – les sabotages ou actes de malveillance ;
Facteurs influants
sur les défaillances
techniques
Facteurs
Conception Exploitation Maintenance organisationnels Facteurs
et humains (FOH) externes
QTT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
Évaluation de la criticité
des équipements
Méthodologie globale
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique,
d’électronique, d’informatique et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite
Université Paris Est Créteil , France
QTU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
La première étape insiste sur le besoin de définir les objectifs précis d’une
étude de criticité qui doivent être validés et entérinés par les dirigeants de
l’entreprise. En effet, ces évaluations de la criticité peuvent concerner des
aspects économiques, stratégiques, financiers, réglementaires, techniques,
organisationnels. Elles pourront servir à l’établissement d’indicateurs de per-
formance et/ou à l’élaboration de tableaux de bord.
La deuxième étape propose une organisation du groupe de travail regrou-
pant tous les acteurs indispensables pour mener à bien l’étude de criticité.
En fonction des objectifs définis dans la première étape, la troisième étape cor-
respond à la définition précise du système, de ses équipements et de ses limites.
La quatrième étape décrit les principales méthodes d’analyse fonctionnelle.
Ces méthodes sont indispensables pour réaliser des arborescences fonction-
nelles et/ou matérielles d’un procédé industriel complexe. L’objectif de ces
méthodes est d’aider à comprendre les raisonnements en visualisant le chemi-
nement entre les causes et les différents effets des défaillances et à définir le
niveau approprié du critère. Les méthodes FAST, SADT®, IDEF0 et Apte® feront
l’objet de descriptions succinctes.
La cinquième étape propose une sélection des métriques et indicateurs de
performances les plus appropriés aux objectifs recherchés. Les indicateurs
d’impacts « lagging indicators » et les indicateurs d’activité « leading
indicators » feront l’objet de descriptions spécifiques. Parmi le grand foisonne-
ment de métriques et d’indicateurs de performance « clés », les échelles de
cotation de la gravité et de la fréquence d’occurrence, les ordres de priorité de
risque (RPN) et la courbe de Farmer seront exposés. Il sera fait également réfé-
rence aux principales normes internationales définissant des indicateurs de
criticité organisationnels, économiques et techniques.
La sixième étape fournit une typologie des données de fiabilité nécessaires à
la construction des métriques de mesure de la criticité. Ces données étant par
nature des variables aléatoires, seules des estimations statistiques sont possi-
bles. Les méthodes d’estimation ponctuelles ou par intervalles sont décrites et
les principes des estimations des lois de probabilité par les approches fréquen-
tistes et bayésiennes y sont rappelés.
La septième étape établit un inventaire des banques internationales de
données de fiabilité (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC
217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer)
en mentionnant le degré d’obsolescence de certaines d’entre elles. Il y sera
souligné que pratiquement toutes ces banques donnent des taux constants de
défaillance suivant la loi exponentielle. La liste des autres banques sera men-
tionnée par souci d’exhaustivité. Dans la septième étape, les principaux outils
pour évaluer la criticité des défaillances des équipements sont présentés en
suivant pour chaque méthode la trame suivante : origine, principe, avantages
et inconvénients. La première famille d’outils est consacrée aux méthodes qua-
litatives à base des jugements des experts quand les données de fiabilité ne
sont pas disponibles (brainstrorming, Delphi, Abaque de Régnier®, méthodes
PIEU et Méride, Méthode de la MBF (maintenance basée sur la fiabilité et le
diagramme d’Ishikawa). La seconde famille est dédiée aux outils quantitatifs
d’évaluation de la criticité en soulignant les métriques utilisées. Seront passés
en revue : l’APR (analyse préliminaire des risques), l’AMDEC (analyse des
modes de défaillance de leurs effets et de leur criticité), l’HAZOP (HAZard and
OPerability study) utilisé pour l’analyse des risques industriels, What-If (Que se
passe-t-il si ?), les arbres de défaillances, les blocs diagrammes de fiabilité.
Pour guider le lecteur sur le choix le plus adapté à leur problématique, une
grille comparative des méthodes est ensuite proposée.
Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, on
recense les méthodes les plus utilisées pour réduire leurs conséquences (bar-
rières de sécurité, arbres d’événements, nœud papillon, méthode MOSAR,
méthode LOPA (Layer Of Protection Analysis). En conclusion, des recommanda-
tions seront émises pour s’assurer que les résultats obtenus sont conformes aux
objectifs recherchés et de nouvelles approches seront mises en perspective.
QTV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
QTW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
QTX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
RV
Le système est représenté à l’aide d’un diagramme comportant
trois régions délimitées par des traits pointillés verticaux :
Regard de 1) la partie centrale correspond au domaine fonctionnel propre
visite au système ;
2) dans la partie gauche, on trouve les fonctions principales du
Vanne de purge V5
système ;
3) dans la partie droite, on trouve les ressources extérieures
au système, ressources qui, si elles n’existaient pas, ne modi-
Figure 2 – Schéma d’une installation de production d’air comprimé fieraient pas la capacité du système à satisfaire les fonctions.
Chapeau pare-pluie
Filtre Sous-système
Capteur pression P1 entrée d’air/filtration
Tuyauterie
Système
de compression
Moto compresseur
Automate programmable Sous-système
Soupape de sécurité Ensemble compressueur
Tuyauterie
Sécheur n° 1
Sécheur n° 1 Système
Système
Vannes 1, 2, 3, 4 de production
de séchage
Tuyauterie air comprimé
Capteur d'alarme humidité
Réservoir d’air
Vanne de purge V5 Système
Capteur presssion P2 de stockage
Regard de visite distribution
Tuyauterie
QTY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW
Fournir et
distribuer de l’air Enlever l’humidité dans
comprimé les sécheurs
Enlever l’humidité dans
Enlever l’humidité
le réservoir d’air
de l'air
Enlever l’humidité dans
Enlever les pots de condensation
l’humidité de
l’air et les
polluants
Enlever les
polluants de l’air
Intérieur du système
Comment ? Pourquoi ?
Fonction 2 Fonction 5
Fonction 3 Fonction 6
Quand ?
Fonction 4
Les fonctions sont ordonnées et représentées dans des – les datagrammes, où les données sont générées par des fonc-
« boîtes » rectangulaires. tions de génération, utilisées par des fonctions d’utilisation, sous
Le graphe se construit progressivement sur une ligne baptisée la surveillance des activités de contrôle.
« chemin critique ». Au-dessus ou en dessous d’une fonction, on
placera les fonctions qui se produisent dans le temps, ou en même SADT® définit une décomposition fonctionnelle hiérarchisée
temps (on se pose la question « Quand ? ») comme l’indique la entre les différents niveaux de détail, la décomposition à un niveau
figure 5. donné doit faire apparaître des fonctions ou des données qui sont
à leur tour décomposées (approche descendante top-down ). Pour
la validation, on doit s’assurer que les entrées d’une fonction d’un
2.1.3 Méthode SADT® niveau donné doivent impérativement se retrouver dans sa
décomposition, et celle-ci ne doit produire que les sorties de la
La méthode SADT® (Structure Analysis Design Technique ) est fonction de niveau supérieur.
une méthode graphique d’analyse et de conception des systèmes
importants et complexes. Elle met en œuvre deux représentations L’accent est porté tout d’abord sur l’analyse et la spécification
complémentaires : du « Quoi ? » (ce que le système doit faire) et ensuite sur les
– les actigrammes, où les fonctions transforment les données considérations sur le « Comment ? » (avec quels moyens on réa-
d’entrées en données de sortie, suivant les contraintes imposées lise le « Quoi ? »). SADT® utilise un seul type de boîte rectangu-
pour cette transformation, en utilisant certains moyens ou sup- laire dont chacun des quatre côtés possède une signification
ports de l’activité ; particulière (figure 6).
QUP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRURU
’objectif de cet article ne vise pas à ce que le lecteur puisse tout connaître sur
L la méthode B ; ce serait impossible et prétentieux. The B-BOOK – Assigning
Programs to Meanings de Jean-Raymond ABRIAL, l’inventeur de la méthode B,
qui est à la base du langage B, possède déjà plus de 750 pages et est basé sur de
nombreuses connaissances en mathématiques et en logique ; de plus, de nom-
breuses formations sur la méthode B existent aujourd’hui. L’objectif se limitera à
donner des éclairages pour mieux porter une appréciation sur une telle méthode
en essayant d’en comprendre les principaux concepts. Il n’est donc pas question
de trop développer les aspects mathématiques, bien que ceux-ci soient essen-
tiels. Le propos restera toujours assez général, en simplifiant volontairement
parfois pour rester compréhensible.
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQR
QUQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRURU
1. Complexité croissante les-ci doivent être interprétées par l’homme et traduites manuelle-
ment et progressivement en des exigences plus précises qui
des systèmes tiennent compte d’un certain nombre de contraintes. Des
optimisations de l’architecture sont effectuées à l’aide de regroupe-
et des logiciels – ments de fonctions (architecture fonctionnelle) puis de modules
logiciels (architecture logicielle) par exemple. Quand on passe au
Les logiciels critiques langage de programmation, un certain nombre de vérifications peu-
vent être effectuées par des outils. La traduction du langage de pro-
et leur processus grammation en langage machine s’effectue à l’aide d’un outil qui
peut générer des erreurs si celui-ci n’a pas un niveau de garantie
de réalisation suffisant, et qui doit être cohérent avec l’objectif que l’on s’est fixé
concernant le logiciel. Les transformations et allocations doivent
Depuis des décennies, la complexité des systèmes et des logi- être suivies et vérifiées tout au long du projet. Il existe des outils de
ciels s’est accrue pour différentes raisons : d’une part à cause de la traçabilité, mais ils ne garantissent pas les transformations
puissance des calculateurs qui a sans cesse augmenté (tant en elles-mêmes. Heureusement, lorsque le logiciel est réalisé, on peut
vitesse qu’en capacité mémoire), mais aussi à cause de la le tester afin de vérifier s’il répond au fonctionnel demandé. Les
demande croissante des industriels et des clients qui, en général, tests effectués sont d’abord unitaires (chaque module du logiciel est
demandent toujours plus de fonctionnalités parce que le logiciel testé unitairement par rapport à sa spécification), puis on passe aux
ne semble pas avoir de limite, étant immatériel (il suffit d’écrire du tests d’intégration une fois que les différents modules d’une entité
code, seules les idées pourraient manquer, et les frais ne sont sont intégrés par rapport à la spécification de cette dernière, qui est
importants que pour la conception et la réalisation, et de plus en elle-même intégrée pour former un ensemble plus vaste jusqu’à
plus faibles lorsqu’il s’agit de multiplier les exemplaires). La majo- l’intégration complète de l’ensemble du logiciel sur le calculateur de
rité des capteurs, des actionneurs et des interfaces contiennent développement. Des tests portent ensuite sur le logiciel et son cal-
aujourd’hui du logiciel. Un autre aspect important est l’utilisation culateur (tests sur calculateur cible avec simulateur ou directement
de l’informatique dans le monde industriel (automatismes, postes in situ ), puis sur l’ensemble des calculateurs jusqu’à l’intégration
de commande, process), le développement des télécommunica- complète du système.
tions, l’utilisation de réseaux avec des calculateurs répartis et les Deux problèmes de fond existent. Le premier est lié à la manière
systèmes d’information auxquels une disponibilité élevée est exi- dont les scénarios de tests sont générés. Ceux-ci sont issus des
gée. Cela nécessite d’y associer des redondances qui doivent être spécifications, ce qui signifie que les tests unitaires et d’intégration
gérées convenablement si l’on veut éviter des problèmes, par ne sont valables que si la spécification correspondante est cor-
perte d’informations rendant le système global incohérent, recte. Or, celle-ci est issue de transformations manuelles de la spé-
lorsqu’il y a des commutations suite à des défaillances. cification d’origine, certes vérifiées. Une erreur dans une
Des logiciels sont devenus critiques parce qu’ils sont utilisés pour spécification intermédiaire se traduira par le fait que le test, si
supporter des fonctions de sécurité, pouvant en cas de défaillance celui-ci est réalisé convenablement, est correct. Il reste malgré tout
(erreur) porter atteinte aux hommes, aux biens, à l’environnement, le test fonctionnel global, mais celui-ci ne peut être exhaustif ; c’est
ou parce qu’ils sont utilisés pour supporter des applications qui peu- le deuxième problème. En effet, sur des systèmes complexes, il est
vent entraîner des pertes financières importantes, la désorganisa- impossible de parcourir tous les chemins (cela pourrait demander
tion d’entreprise ou de territoire entier. On peut citer leur un nombre excessif d’années pour certains systèmes dont la
importance dans le secteur du transport, de l’énergie, des télécom- combinatoire de scénarios possibles est extrêmement élevée). En
munications, des processus de fabrication (chimique, chaîne général, on teste au moins chaque branche et on complète par des
d’assemblage, etc.), dans le secteur bancaire ou de la prévision tests plus ou moins agressifs bien ciblés en couvrant le domaine
(météorologie) qui ne sont pas sans lourdes conséquences si certai- des entrées. Cela ne garantit souvent pas qu’une erreur n’a pas pu
nes erreurs apparaissent lors de l’utilisation de ces logiciels. s’introduire dans le processus de conception du logiciel. Reste
enfin le réel problème de la qualité de la spécification de départ
De plus, le fait de réaliser des fonctions en logiciel à la place de sur lequel nous reviendrons.
matériel a compliqué certaines applications industrielles parce que
la part des fonctions de conception nécessaires est devenue pré-
pondérante par rapport à celle des fonctions principales propre- 1.1.2 Aspect cohérence d’ensemble
ment dites. et interactions entre éléments
Quand un logiciel est important, peut se poser le problème de la
1.1 Principales difficultés de réalisation cohérence d’ensemble et d’interaction entre éléments. Les
d’un logiciel critique éléments doivent conserver un certain niveau d’indépendance de
manière à minimiser les interactions, source souvent de
La réalisation d’un logiciel critique ou complexe n’est pas sans complexité et donc d’erreurs à la conception.
poser un certain nombre de problèmes théoriques que nous allons
aborder dans les paragraphes suivants. 1.1.3 Aspect modification et réutilisation
de composants
1.1.1 Aspect traçabilité des exigences
Quand il est nécessaire d’effectuer une modification sur un logi-
Tout au long du processus de conception/réalisation du logiciel, ciel, qu’elle soit liée à des évolutions du besoin ou de la technique
peuvent se glisser des erreurs, les difficultés se situant en premier (traitement d’obsolescence ou diminution des coûts de mainte-
lieu au niveau de la spécification des exigences, puis au niveau des nance par exemple) ou qu’elle soit corrective (suite à la découverte
transformations successives ou de l’allocation sur plusieurs d’erreurs), se pose le problème de mesurer l’impact de la modifi-
éléments logiciels à mesure que la solution se concrétise, enfin au cation sur le reste du logiciel (et du système). Cela n’est pas a priori
niveau du code, installé dans les mémoires des calculateurs, qui tra- évident car cela dépend beaucoup des architectures fonctionnelles
duit la solution en langage machine compréhensible par le et logicielles retenues et du niveau d’indépendance entre les élé-
calculateur. Un premier problème existe au niveau des exigences de ments modifiés et leurs variables, et les autres éléments et leurs
départ car elles doivent être exhaustives par rapport au problème variables. Souvent, pour éviter de se poser la question à laquelle il
posé et cohérentes entre elles (non contradictoires) ; ensuite, cel- serait difficile de répondre facilement, on fait des tests de
QUR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRURU
non-régression complets comme sur le logiciel d’origine. Cela ne 1.3 Analyses de sécurité et exigences
s’applique pas toujours si les logiciels deviennent importants ou sur
des systèmes avec des logiciels répartis sur des réseaux de calcula-
de sécurité
teurs. Malgré tout, par mesure de précaution, on évite, dans la
Lorsque l’on traite des fonctions de sécurité, il est nécessaire
mesure du possible, de modifier un logiciel critique si celui-ci ne
d’effectuer des analyses de sécurité associées à l’environnement,
présente pas d’anomalie qui pourrait avoir de graves conséquences.
aux principes utilisés, aux architectures fonctionnelles et tech-
niques et aux défaillances internes au système (techniques ou
humaines) afin de générer une liste d’exigences de sécurité qui
1.2 Lien entre niveau de qualité devront être respectées par le système à réaliser.
du processus (méthodes et outils)
et SIL (Safety Integrity Level )
Comment fait-on pour garantir le niveau de sécurité d’un 2. Petit panorama des
logiciel ? Peut-on en mesurer le niveau ? Pour des logiciels
critiques, compte tenu du niveau de « fiabilité » exigé, il n’est pas méthodes de fiabilisation
possible d’effectuer des mesures de fiabilité en comptabilisant les
erreurs détectées. En effet, cela nécessiterait une expérimentation des logiciels
sur une période extrêmement longue. Pour tester un seul exem-
plaire logiciel, dont on vise 10–n/heure (en moyenne une erreur sur Il existe de nombreuses méthodes (et outils associés) qui per-
10n heures de fonctionnement), cela nécessite au moins n × 10n mettent d’améliorer la fiabilité des logiciels. Ces méthodes sont
heures de fonctionnement sans erreur. Les modèles de fiabilité basées sur un formalisme parfois complexe qui autorise un niveau
prévisionnelle sont inadaptés pour les niveaux recherchés dans les plus ou moins pertinent de vérification. Elles peuvent porter sur
logiciels critiques. De plus, la mise en parallèle de plusieurs logi- une phase particulière du cycle de développement ou sur l’ensem-
ciels, comme on le fait avec du matériel, n’apporte probablement ble des phases, sur certaines propriétés (statiques ou dynamiques)
pas les gains que l’on pourrait espérer. La redondance est plutôt ou sur l’ensemble des propriétés du logiciel. L’effort est fonction
un élément supplémentaire de confiance, sans diminuer l’effort bien entendu du champ sur lequel porte les méthodes. Un contrôle
porté sur chacun des logiciels élémentaires. Il est difficile d’évaluer de type (comme le font la plupart des langages de programmation)
ces gains. En effet, le taux d’erreurs communes à plusieurs logi- est d’un apport moindre qu’une analyse statique, qui elle-même
ciels en parallèle n’est pas négligeable, même avec des équipes est moins efficace qu’une vérification par modèle ou qu’une abs-
diversifiées. Il serait possible d’obtenir des résultats valables si on traction automatisée. Le maximum de confiance est obtenu sur
avait deux systèmes totalement différents (capteurs, actionneurs) des logiciels développés avec un langage sur lequel on peut effec-
mais il resterait pour certains systèmes l’algorithme lié à des prin- tuer directement la preuve de théorèmes.
cipes physiques attachés à la nature même du problème à traiter.
Il est à noter que le terme fiabilité n’a pas une grande signification Pour éviter des erreurs sur le logiciel, on peut, pour chaque
en logiciel s’agissant pour celui-ci d’erreurs systématiques et non phase de la conception, disposer de plusieurs principes de
d’erreurs aléatoires comme pour de nombreuses défaillances du solutions. Nous avons vu que les erreurs sont issues des transfor-
matériel ; des erreurs latentes ne peuvent donc se révéler que mations que l’on effectue successivement sur les exigences (trans-
dans un certain contexte. On a vu des erreurs se révéler plus de formations directes et/ou allocations). Pour vérifier qu’une
dix ans après une mise en service parce que certaines transformation/allocation faisant passer de l’état i à l’état i + 1 a
combinaisons de défaillances sont apparues. bien été effectuée, on peut :
Dans tous les secteurs industriels ont été développées les notions 1) comparer, en utilisant la transformation inverse du résultat,
très voisines de SIL (Safety Integrity Level) dans le domaine du T (i + 1) · T1 (i + 1) à l’état initial T (i) ;
transport ferroviaire et de l’industrie, d’ASIL (Automotive Safety 2) comparer, en utilisant une transformation analogue mais pré-
Integrity Level ) dans le domaine automobile ou de DAL (Develop- sentant une forme différente (un modèle de la transformation),
ment Assurance Level) dans le domaine aéronautique. Un SIL est lié T (i + 1) à T′ (i + 1) ;
au niveau de confiance que l’on peut avoir dans un système. Ce 3) s’assurer que la transformation est intrinsèquement sûre en y
niveau de confiance est associé au niveau de qualité du processus apportant une preuve mathématique.
de conception/réalisation pour éviter les erreurs systématiques Mais à une étape donnée de la réalisation du logiciel, il existe
(principalement pour le logiciel ou des circuits intégrés complexes) des méthodes plus ou moins complètes qui prennent en compte
et est associé à un niveau de probabilité par heure (et par ensemble) partiellement ou totalement les caractéristiques ou propriétés de
d’obtenir une défaillance contraire à la sécurité pour les erreurs l’exigence transformée. Certaines méthodes concernent plus
aléatoires (principalement pour le matériel). Un processus de l’aspect dynamique et comportemental, d’autres l’aspect statique
conception/réalisation est caractérisé par une organisation, des dans lequel certaines se limitent à vérifier le typage (de variable
méthodes, des outils et des techniques spécifiques pour répondre par exemple), d’autres des caractéristiques générales (non division
au niveau de confiance exigé. Plus un logiciel est critique, plus on par zéro par exemple), d’autres enfin portent sur des caractéris-
doit disposer d’une organisation robuste et des méthodes et outils tiques plus spécifiques à l’application.
qui permettent d’éviter les erreurs ou de les détecter si elles appa-
raissent malgré tout. Par exemple, dans le secteur ferroviaire, la D’autres méthodes sont basées sur la génération automatique
norme EN50128 précise que pour un logiciel SIL3 et SIL4, les métho- de code et/ou la génération automatique de tests de conformité à
des formelles sont hautement recommandées, et cela a tendance à partir d’un modèle issu de la spécification. Les outils de génération
se généraliser à l’ensemble du monde industriel. doivent être bien entendu qualifiés, et le modèle est souvent de
plus bas niveau. Pour les tests, une difficulté existe entre les cas de
Nota : la norme européenne EN 50128 (IEC62270) est aussi appelée norme CENELEC tests abstraits générés et les données concrètes.
(Comité européen de normalisation électrotechnique) « Application ferroviaire, système
de signalisation, de télécommunication et de traitement – Logiciels pour systèmes de Pour développer un logiciel, deux catégories d’approches alter-
commande et de protection ferroviaire ». Elle complète la norme 50126 (IEC62278) qui natives existent :
définit la specification et la démonstration de la FDMS (fiabilité, disponibilité,
maintenabilité et sécurité) équivalent du RAMS en anglais (Reliability, Availability, Main- 1) celles visant l’absence de défaut par vérification mathéma-
tenability, Safety) des systèmes ferroviaires dans leur ensemble, et la norme 50129 (pas tiques formelles ;
d’équivalent IEC) qui définit les conditions d’acceptation et d’approbation de la sécurité
du matériel électronique. La norme générique qui chapote l’ensemble des normes des 2) celles permettant la détection de défauts par des logiciels
équipements électroniques industriels est l’EN61508. diversifiés.
QUS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRURU
En ce qui concerne la première approche, il existe un foisonne- tes inhérentes à l’application que l’on en fait. Par exemple, partir
ment de méthodes. Cette première approche peut être classée en d’une spécification très détaillée ne conduit pas au même résultat
deux grandes catégories : que d’entamer le processus du logiciel par une spécification de haut
1) vérification par modèle ; niveau. Si une approche est du type formel sur une partie du proces-
2) analyse statique. sus (par exemple, appliquer la méthode formelle uniquement à la
spécification pour la « blinder ») sera meilleure qu’une approche ne
La vérification par modèle est basée le plus souvent sur une l’utilisant pas, mais moins bonne qu’une approche qui l’utilisera à
représentation de la spécification sous forme de diagrammes toutes les étapes de la conception. Cela ne signifie d’ailleurs pas
transitions/états (automates à états finis, réseaux de Petri) qui per- qu’une approche partielle ne soit pas suffisante dans un certain
mettent la vérification d’un certain nombre de propriétés, à nombre de cas ou que l’on ne puisse pas appliquer une démarche
condition de simplifier le modèle et les propriétés si l’on ne veut limitée aux seules parties critiques d’un logiciel.
pas avoir une explosion combinatoire.
Les notations utilisées peuvent être orientées vers des données
Nota : le réseau de Petri est un graphe, avec places et transitions, non déterministe de type algébrique (Larch, OBJ et Specware) ou modèles (VDM, Z
développé au départ par Carl Adam Petri. Un cas particulier est l’automate à état fini,
chaque transition ayant une seule entrée et une seule sortie.
et B), vers le comportement et les interactions (Statecharts, SCR et
CSP), ou vers le langage de programmation (ADA, C). Il peut aussi
La vérification peut être automatisée au niveau de la syntaxe par y avoir des notations mixtes comme RSL qui cumule VDM, CSP et
un compilateur (comme pour le langage de haut niveau), pour des l’algébrique, ou Lustre qui regroupe à la fois le langage de pro-
propriétés génériques (absence de blocage ou déterminisme dans grammation et l’aspect comportemental.
des automates, division par zéro, overflow...) ou des propriétés Les techniques de vérification peuvent être la preuve avec le
spécifiques (par comparaison de deux énoncés formels, par prouveur B, PVS et Caveat qui utilisent des axiomes et des règles
comparaison des traces de deux automates, par preuve de raf- d’inférence, le model-checking qui permet une exploration exhaus-
finement en B...) à l’application (par comparaison de deux énoncés tive du graphe d’exécution pour SVM et SPIN, la résolution de
formel, comparaison). À partir du modèle, on peut aussi générer contraintes par instanciation et propagation avec Design Verifier,
du code et des tests. Il est possible pour certains modèles d’effec- miniSAT, Yices, Ilog Solver, l’interprétation abstraite (analyseur de
tuer des simulations (par exemple, prototypage par SADT code) par la vérification d’une abstraction sûre du système pour
complété le plus souvent par des automates à états finis), et ainsi une propriété donnée par l’implantation d’un algorithme pour le
de faire des tests au plus tôt de la spécification. calcul de l’abstraction avec ASTREE, Absint et Polyspace. SCADE,
Nota : SADT (Structured Analysis and Design Technic) est une méthode de représen- qui intervient au niveau de la conception détaillée avec un seul
tation d’analyse fonctionnelle et non de conception comme son nom l’indique. niveau d’abstraction, associe un simulateur, un générateur de
code, un outil de vérification formelle qui vérifie le modèle globa-
Se pose ici le problème de la conformité de l’implantation par lement et l’analyse de couverture au niveau du modèle. Enfin,
rapport au modèle. On peut classer dans la vérification de modèle Altarica possède un langage de haut niveau adapté au domaine de
l’approche par langages synchrones qui traitent de systèmes réac- la sûreté de fonctionnement et peut générer en particulier des
tifs avec des contraintes de synchronisme et de flots de données, arbres de défaillance et des séquences.
dont le langage Lustre en est une illustration (par exemple dans
l’outil SCADE) ou les outils de model-checking.
Nota : Lustre est un langage de programmation synchrone de type déclaratif et par
flots de données développé conjointement par Paul Caspi et Nicolas Halbwachs au labo- 3. Principes de la méthode B
ratoire VERIMAG de Grenoble
SCADE (Safety Critical Application Development Environment) est un environnement
de développement intégré diffusé par Esterel Technologies fondé sur le langage Lustre. Il y a seulement quelques décennies, l’unique formalisme utilisé
Model checking est une famille de techniques de vérification automatique de pro- dans un logiciel était celui du code, qui était obligatoire si l’on vou-
priétés des systèmes dynamiques par comparaison avec un modèle. lait que la machine comprenne ce qu’on lui demandait d’exécuter !
L’analyse statique s’effectue à partir du code source du logiciel Pour donner une définition simple, la méthode B est une méthode
et s’attache à détecter des erreurs qui se produiraient à l’exécu- pour spécifier, concevoir, coder et prouver des logiciels de
tion. Elle complète ou remplace des tests effectués sur le code manière rigoureuse et progressive.
source d’un logiciel. Le contrôle de type qui vérifie la syntaxe d’un
modèle et l’abstraction automatisée, qui vise à établir un pont
entre vérification de modèle et preuve de théorème, sont d’autres 3.1 Principes généraux de la méthode B
méthodes. La plupart des méthodes ci-dessus visent à révéler et
éliminer des défauts introduits durant la production du logiciel, Cette méthode utilise un langage mathématique unique tout au
soit par essence comme l’analyse statique, soit en raison de leur long du processus de conception afin de permettre la vérification de
limitation comme la vérification de modèle, alors que le dévelop- chaque étape à l’aide de preuves mathématiques. La difficulté de la
pement formel vise à éviter leur introduction. Le niveau de vérification de toutes les transformations qui font passer de la spéci-
confiance croît en fonction de l’effort depuis le contrôle de type fication initiale au code (voir B0) qui sera transformé dans un lan-
jusqu’à la preuve par théorème, en passant par l’analyse statique, gage classique, se trouve par là même résolue. C’est une méthode
la vérification de modèle et l’abstraction automatisée. progressive, le langage lui-même prenant en compte l’aspect
preuve, un modèle supplémentaire n’est donc pas nécessaire.
La deuxième approche, par diversification logicielle, si elle est
utilisée seule, n’apporte pas d’amélioration sensible du niveau de La méthode B est donc plus qu’un langage de programmation
confiance parce que des erreurs communes sont toujours car elle introduit en elle-même la possibilité de vérification. En
possibles au niveau de parties délicates, sauf si l’on travaille à par- effet, il n’est pas nécessaire de réaliser une modélisation supplé-
tir de deux systèmes totalement diversifiés quant aux principes uti- mentaire et d’effectuer une comparaison pour vérifier si ce qui a
lisés au niveau des actionneurs et des capteurs pris au sens large, été fait est correct. Bien appliqué (nous verrons ce que cela signi-
et en modifiant complètement la manière d’effectuer les fie), B est un langage intrinsèquement sûr. On peut comparer le
traitements (algorithme, états/transitions du système, etc.). concept utilisé dans la méthode au concept de sécurité intrinsèque
(false-safe ) qui a cours au niveau de la sécurité du matériel.
Les approches purement processus, fondées sur une organisation
et un ensemble de méthodes et d’outils associés aux différentes Nota : la sécurité intrinsèque suit la règle suivante : toute défaillance ou ensemble de
phases de conception/réalisation, ne peuvent apporter qu’une défaillances qui pourrait se révéler contraire à la sécurité doit être détectée par la
conception même du système de manière à positionner l’état du système dans un état sûr.
confiance subjective, alors que les approches formelles donnent Pour un logiciel, la preuve, si elle ne peut être faite, montre que celui-ci a probablement une
une confiance objective, avec toutefois, pour ces dernières, les limi- anomalie.
QUT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRURU
Les bases mathématiques sur lesquelles est fondée la méthode Le set comprehension : si P est un prédicat, on peut définir un ensemble par
compréhension comme l’ensemble de tous les objets d’un ensemble E qui vérifient le
apportent la rigueur et la notation proposée élimine les ambigüités prédicat P (la formule P ). On note cet ensemble {x ∈ E | P (x )}.
bien connues du langage naturel, source d’erreur parfois très Le choice (v ) est un élément particulier de l’ensemble v.
grave. La vérification mathématique de chaque étape est si étroi-
tement imbriquée qu’il est impossible de séparer les choix de
conception du processus de vérification garantissant la justesse 3.2.2 Relations binaires
vis-à-vis des spécifications initiales.
La relation binaire est une relation p (un ensemble de paires)
La méthode B introduit un langage rigoureux pour représenter depuis un ensemble u vers un ensemble v (noté p ∈ u ↔ v). On
les programmes et leurs propriétés en utilisant le concept de subs- peut définir la relation inverse de p de u vers v qui est p–1 de v
titution généralisée. Elle utilise la notion simple de machine abs- vers u, la notion de domaine dom (p ) (le membre a ∈ u de la paire
traite qui est assez voisine de la notion d’objet, mais qui, en plus, {a ֏ b } , avec b ∈ v, ne figure qu’une seule fois) et de distance
intègre la notion d’invariant assurant la préservation de propriétés (range ) ran (p ) d’une relation [ran (p ) est le domaine de la relation
des variables d’état de la machine, quelles que soient les opé-
rations appliquées. inverse qui est égal à dom (p–1)], de composition relationnelle (p ;
q ou p · q ), de relation d’identité [id (u )] qui est la relation de
l’ensemble sur lui-même, des formes plus restrictives de relations,
l’image ([]) d’un ensemble sous une relation, l’overriding d’une
3.2 Bases mathématiques relation par une autre (<+), le produit direct (⊗) de deux relations,
les deux projections pour des paires ordonnées et le produit paral-
La méthode B conçue par J.-R. ABRIAL, qui avait participé à la lèle de deux relations (||). Ces concepts permettent de développer
conception de Z dans les années 1980, est fondée sur les travaux un calcul relationnel très riche qui facilite la preuve.
d’un certain nombre de mathématiciens ou de scientifiques : par
exemple ceux de E.-W. DIJKSTRA, C.-A.-R. HOARE, R. FLOYD, C.-B.
JONES, C. MORGAN et Jifeng He. Ces travaux font eux-mêmes 3.2.3 Fonctions
suite à ceux d’A.-M. TURING.
C’est un cas particulier de relation où il n’existe pas deux points
Nota : Hoare, puis Floyd et Dijkstra ont développé les premiers l’idée de preuve des à distance qui peuvent être en relation avec un seul point du
programmes. Cela nécessitait de les représenter en se donnant des règles et des domaine : f (a) est unique (s ֏ t ) . Plus simplement, une fonction
méthodes de preuve. Hoare raisonnait sur les valeurs des variables apparaissant dans les est une relation telle que chaque élément a une image au maxi-
programmes, les fonctions étant vues comme des transformateurs de prédicats.
mum. On peut définir aussi des fonctions totales (domaine = s ) et
Pour prouver un logiciel, il faut le soumettre à une analyse partielles (domaine inclus dans s ), des injections partielles
mathématique ; cela nécessite que chaque construction de la (fonction partielle de s à t dont l’inverse est une fonction partielle
notation utilisée par le langage ne soit pas seulement syntaxi- de t à s ), des surjections partielles (fonction partielle de s à t dont
quement correcte, mais, ce qui est le plus important, reçoive une la distance = t ) ou des bijections partielles (surjection partielle et
définition axiomatique très précise. La notation doit être capable injection partielle). Les injections, surjections et bijections peuvent
d’aider non seulement à produire des descriptions formelles, mais être aussi totales. On peut aussi définir les concepts d’abstraction
aussi à exprimer et à prouver des théorèmes. Le formalisme de fonctionnelle (appelée aussi Abstraction Lamda) et d’évaluation
modélisation s’appuie sur plusieurs concepts : la théorie des fonctionnelle. Il existe là aussi un certain nombre de théorèmes.
ensembles, la logique des prédicats du premier ordre et le langage Aux constructions de fonction peuvent être aussi associées des
de substitutions généralisées, composantes que nous allons pré- vérifications de type. Il existe aussi toute une liste de propriétés
senter brièvement. associées (monotonicité, inclusion, lois d’égalité, lois d’adhésion,
etc.).
QUU
QUV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPVU
et Franck GUARNIERI
Docteur, HDR
Maı̂tre de recherches, MINES ParisTech, CRC (Centre de recherche sur les risques et les
crises)
QUW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPVU
utilisée vers 2900 avant J.-C. à Hiérakonpolis en Égypte, fondée sur un dispositif
de défense mettant en jeu deux murailles parallèles et indépendantes, renfor-
çant la protection de cette citée. Ce dispositif était complété par une organisa-
tion particulière des troupes qui bénéficiaient elles-mêmes de la protection
qu’offraient les murailles. Le but d’un tel dispositif était d’obliger l’assaillant à
rencontrer plusieurs barrières et lignes de défenses successives afin de l’affai-
blir et de ralentir sa progression dans la ville. Cette stratégie défensive a été par
la suite reprise par le domaine nucléaire dans le but de protéger les opérateurs,
la population et l’environnement de tout rejet de radioéléments. Elle s’est
d’abord appuyée sur la structuration de trois barrières physiques organisées
selon trois niveaux de protection. Puis, au fur et à mesure des travaux en sûreté
nucléaire, cette stratégie a intégré des aspects organisationnels. Aujourd’hui, le
concept de défense en profondeur repose sur l’organisation de moyens de pré-
vention des risques, de protection de leurs conséquences et de sauvegarde à la
fois techniques, structurels et organisationnels agencés selon cinq niveaux de
protection. L’objectif de cet article est donc de comprendre, dans un premier
temps, comment la défense en profondeur est définie dans le nucléaire, sur
quels principes repose-t-elle et quel est son mode d’application. Dans un
second temps, la transposition de ce concept et son intérêt pour la maı̂trise
des risques industriels sont étudiés, notamment à l’aide de deux exemples.
QUX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPVU
QUY
QVP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQRQR
Méthodes d’analyse
de la vulnérabilité des sites
industriels
es attaques sur les tours jumelles du World Trade Center à New York aux
L États-Unis le 11 septembre 2001 ont marqué un changement de dimension
dans les modes d’actions terroristes. Elles ont notamment mis en lumière les
menaces potentielles pouvant peser sur les activités économiques.
Les attaques terroristes qui se sont succédées par la suite ont porté sur les
transports en commun (Madrid en 2004, Londres en 2005), le domaine mari-
time (USS Cole et le Limburg au Yémen en 2000 et 2002) ou le domaine
industriel avec la tentative d’attentat suicide sur la raffinerie de Baqiq en Irak
en 2006.
Outre les menaces terroristes, des actes de malveillance dans le domaine
industriel ont montré également leur potentiel de menace. En France, des
conflits sociaux durs avec occupation de site par des salariés et menaces
d’atteinte à l’environnement ont été particulièrement médiatisés : Cellatex en
2000 (menace de déversement de produits toxiques dans l’environnement),
Daewoo en 2003, Sublistatic en 2007 ou New Fabris en 2009. Ainsi, loin d’être
isolés, les actes de malveillance représentent plus de 10 % des incidents
technologiques.
Au lendemain de ces attaques, des guides d’analyse de la vulnérabilité ont
été publiés aux États-Unis dans différents secteurs, notamment dans le
domaine de l’industrie chimique en raison du potentiel de danger inhérent à
p。イオエゥッョ@Z@ュ。ゥ@RPQV
QVQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQRQR
QVR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seQRQR
Le principe de défense en profondeur, défini comme la combi- PI probabilité d’interruption de l’agresseur (dont la
naison de plusieurs niveaux de systèmes et de mesures tech- détection),
niques ou organisationnelles qui doivent être surmontés ou
PN probabilité de neutralisation de l’agresseur.
contournés avant que la protection physique soit compromise, est
retenu pour le choix des prescriptions en matière de protection La gravité de l’événement n’est pas cotée car on doit considérer
physique. que l’on ne peut pas agir sur cette composante. L’interface entre
Des prescriptions sont apportées pour chacun de ces types de sécurité et sûreté est également abordée. En effet, l’ajout d’un élé-
risque selon la catégorie de matières nucléaire concernée, et cela ment de sécurité peut avoir un effet sur la sûreté d’un réacteur, et
de manière proportionnée. inversement.
Il s’agit d’une méthode probabiliste et itérative basée sur les scé-
1.1.2 Présentation du guide de l’US NRC narios, sur le temps de réponse et les itinéraires (pathway ) pos-
sibles face à un acte malveillant par rapport au système de
1.1.2.1 Contexte et champ du document protection physique mis en place selon le principe
« deter/detect/respond » (dissuader/détecter/intervenir).
L’United States Nuclear Regulatory Commission (US NRC) a
développé en 2007 un guide d’évaluation de la sécurité nucléaire,
au sens « security » qui a été remis à jour en 2013. Le Nuclear
Power Plant Security Assessment Guide, NUREG/CR-7145 [2] a
1.2 Méthodes d’analyse
pour objectif de fournir le plan et le contenu d’une évaluation de la de la vulnérabilité développées
sécurité. Il s’applique sur la base du volontariat et en lien avec le dans le transport des marchandises
Nuclear Power Plant Security Assessment Technical Manual [3]. dangereuses
Bien que développé pour la certification de la conception de
nouvelles centrales nucléaires, ce guide s’applique également aux
centrales existantes voulant améliorer ou modifier leurs systèmes 1.2.1 Présentation du chapitre 1.10
de protection physique face aux menaces contre la conception de l’ADR/RID/ADNR
(design-basis threat – DBT) fournies par la US NRC [4]. Ce guide :
– décrit les six étapes de l’évaluation de la sécurité ; 1.2.1.1 Contexte et champ du document
– propose un plan pour l’étude de sécurité à valider par les Afin de prévenir les actes de terrorisme, la réglementation inter-
agents de l’US NRC ; nationale des transports terrestres de matières dangereuses (ADR
– en annexes, décrit succinctement des méthodes de modélisa- pour la route, RID pour le fer, ADNR pour la voie d’eau) comprend
tion d’évaluation de la sûreté. depuis le 1er janvier 2005 un chapitre nouveau, le chapitre 1.10 sur
la sûreté [5]. Ces dispositions sont obligatoires depuis le 1er juillet
1.1.2.2 Présentation de la démarche 2005. Depuis, quelques amendements ont été adoptés et incorpo-
Les étapes de l’évaluation de sécurité sont présentées dans la rés. Dans l’ADR de 2013, les exigences pour les marchandises
figure 1. radioactives à haut risque ont été séparées de celles des autres
marchandises à haut risque.
La méthode d’évaluation, en six étapes, vise à s’assurer de l’effi-
cacité de la conception du système de protection physique (équi- Cette réglementation ne s’applique ni lorsque les quantités
pements, processus supports, procédures, etc.) et de la défense en transportées sont inférieures à certains seuils, ni aux marchandises
profondeur de ce système en utilisant une méthodologie accep- emballées en quantités limitées. Elle n’est pas exclusive des régle-
table, plusieurs d’entre elles étant présentées en annexe C du mentations spécifiques applicables aux explosifs et aux matières
guide. Celle-ci est évaluée selon l’équation : nucléaires.
La « sûreté » est définie comme « les mesures ou les précau-
tions à prendre pour minimiser le vol ou l’utilisation impropre de
avec PE probabilité d’efficacité ou d’efficacité globale du marchandises dangereuses pouvant mettre en danger des per-
système, sonnes, des biens ou l’environnement ».
Conception
terminée
OUI
NON
Reconcevoir
le système
de sécurité
physique
QVS
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
ACCÈS
SERVICES ET OUTILS PRATIQUES
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com