Cours d’analyse des risques

Initiation à la méthode MADS-MOSAR

Méthode d’Analyse des Dysfonctionnement des Systèmes

Méthode Organisée Systémique d’Analyse des Risques

 Objectifs du cours de MADS-MOSAR

Avoir une vision générale de la notion d’analyse des risques

S’initier à une méthode globale d’analyse des risques : MOSAR

Généralités sur notion de risque
 Rappels de grandes catastrophes industrielles
Accident Nature de l'accident Date Conséquence Cause identifiée Retour d'expérience
BLEVE de sphère de stockage Non respect de la procédure Prise de conscience du risque
FEYZIN (France) 1966 16 morts (pompiers)
de propane d'ouverture des vannes de BLEVE
Prise de conscience de la
Pas d'étude de stabilité des
ABERFAN (GB) Effondrement d'un terril minier 1967 144 morts dont 116 enfants nécessité d'étude du cycle de
risques
vie d'une installation
Echouage du pétrolier TORREY Problème d'idemnisation des
Bretagne 1967 Pollution marine
CANYON victimes
Non respect de la
Feu acceléré par des
SAINT LAURENT réglementation en vigueur/
Feu dans une discothèque 1970 146 morts matières plastiques très
DU PONT (Isère) Renforcement des contrôles
combustibles
dans les ERP
Non prise en compte de la
Feu dans des hotêls situés Mise en place de la
1971/ compléxité des
Brésil/Corée dans des immeubles de grande Plusieurs centaines de mort réglementation IGH en France
1974 configurations de grande
hauteur en 1977
hauteur
Changement de
Prise en compte des
configuration d'une
FLIXBOROUGH Rupture d'une canalisation de contraintes économiques/ de la
1974 27 morts destruction de l'usine installation sans
(GB) cyclohexane dans une usine ICI formation des intervenants aux
renouvellement de l'étude de
risques
fiabilité
Explosion d'une réacteur et
Prise de conscience d'un
SEVESO (Italie) diffusion de Dioxine dans 1976 Pas de morts directe Défaut de refroidissement
besoin de réglementation ICPE
l'atmosphère
Hydrolyse accidentelle du
produit pendant une Nécessité d'organiser la
Dispersion atmospherique de opération de maintenance de maintenance des ICPE
BHOPAL (Inde) 1984 entre 2000 et 10000morts
methyl isocyanate l'usine ne pouvant être Problème des Habitat dense
stoppée car toute autour des usines.
l'installation est à l'arrêt
50 morts directs et plus de Opérations de test de
Explosion d'un réacteur 13000 personnes présents sur sécurité trop poussées
TCHERNOBYL 1986
nucléaire zones dans les premiers jours ayant entrainée la fission du
avant évacuation réacteur
Causes non établies
AZF Toulouse Explosion d'une usine d'engrais 2001 31 morts Problème de l'habitat dense
réellement
 Définitions

Danger : source potentielle de dommage

Cyndinique : Ensemble des sciences étudiant le danger

Dommage : Blessure physique ou atteinte à la santé des

personnes / atteinte aux biens ou à l’environnement

Probabilité : degré de vraisemblance pour qu’un événement se

produise

Risque : 1. combinaison de la probabilité d’un événement

et de ses conséquences
2. combinaison de la probabilité d’un dommage
et de sa gravité
 Autres définitions du risque

R associe D * P * G * A
(Définition des assureurs)
D = Danger : Ensemble de processus qui découlent
l’enchaînement des évènements conduisant à un événement non
souhaité ayant un impact destructeur sur une ou plusieurs des
quatre cibles possibles : individu, populations, écosystèmes,
systèmes matériels
P = Probabilité d’enchaînement des évènements conduisant à
l’événement non souhaité.
G = Gravité : effet des événements non souhaités sur le cibles
A = Acceptabilité

Risque : 1. Vulnérabilité = sensibilité d’un enjeu face à un aléa

2. Risque = Alea*capacité à réagir et à lui résister
 Autres définitions du risque

R associe D * P * G * A
(Définition des assureurs)
D = Danger : Ensemble de processus qui découlent
l’enchaînement des évènements conduisant à un événement non
souhaité ayant un impact destructeur sur une ou plusieurs des
quatre cibles possibles : individu, populations, écosystèmes,
systèmes matériels
P = Probabilité d’enchaînement des évènements conduisant à
l’événement non souhaité.
G = Gravité : effet des événements non souhaités sur le cibles
A = Acceptabilité

Risque : 1. Vulnérabilité = sensibilité d’un enjeu face à un aléa

2. Risque = Alea*capacité à réagir et à lui résister
 Analyse des risques

1 – Traiter le Danger : identifier les processus de dangers c’est à

dire l’enchaînement d’événements issus de systèmes sources de
dangers et pouvant conduire à des ENS.

2 – Représenter l’enchaînement des événements conduisant à

l’ENS : représentation du type arbres logiques ou réseaux.
Arbres de Défaillances (ADD), Arbres d’Evénements, Arbres
Causes-Conséquences, Réseaux de Pétri, Chaînes de Markov), qui
permettent aussi de calculer les probabilités de ces événements dans
certains cas.

3 – Pour déterminer la Gravité des ENS : Détermination de

l’impact sur les cibles.
 Analyse des risques

4 – La détermination de l’acceptabilité : négociation de tous les

acteurs concernés dont les cibles. Peuvent être imposées par une
réglementation (cas du nucléaire) ou par une règle spécifique (cas
des installations classées).

5 – La neutralisation des risques : Recherche de toutes les

barrières de prévention et de protection qu’il est possible d’identifier
pour éviter la production d’événements et leur enchaînement.
Analyse des risques
 Diagramme de Farmer
PROBABILITE

PREVENTION

Courbe isorisque

PROTECTION
GRAVITE
 Diagramme de Farmer
PROBABILITE

Risque assuré

Risque maximum

Risque admissible
Risque minimum

GRAVITE
Méthode d’Analyse des Dysfonctionnement des Systèmes

ou

MADS
 Modèle d’analyse de processus du danger

MADS : Ecole de Bordeaux

Hyperespace des dangers : Kerven (1995)

Autres : 1. Lois de Murphy

2. Loi de la réticularité cyndinique
3. Loi de l’anti-danger
4. Loi d’invalidité cyndinogène
5. Loi de l’étique cyndinique
6. Loi d’accoutumance au danger
Evènement Evènement
initiateur CHAMPS renforçateur
DE DANGER

FLUX DE DANGER
SOURCE CIBLE

Evènement Evènement Impact du flux

Initial principal de danger sur
la cible
Approche probabiliste du modèle MADS
Système sources Système cible Points de vues
Installation Installation Sécurité des matériels
Sûreté de fonctionnement
Installation Opérateur Ergonomie
Sécurité des installations
Opérateur Installation Fiabilité humaine
Malveillance interne
Installation Population Hygiène et santé publique
Épidémiologie, Génie sanitaire
Sécurité industriel
Population Installation Malveillance externe
Installation Ecosystème Génie sanitaire, Ecologie
Hygiène et sécurité de
l’environnement
Ecosystème Installation Risques naturels
 Représentation du système source de danger

Le système source de danger peut souvent être

découpé en trois types de sous-système :

• Le sous-système opérant
• Le sous-système de pilotage
• Le sous-système d’information
 Différents types de champs de Danger
(Kerven ,1995)

• Champs physico-chimiques naturels ou artificiels (scientifiques

et techniques)
• Champs psychologiques
• Champs économiques
• Champs sociologiques
• Champs politiques
• Champs juridico-réglementaires (ce sont des champs
transversaux)
• Champs culturels
• Champs organisationnels
 Hyperespace dans lequel se définit le danger : Kerven (1995)

MODELES REGLES

Plan pratique
Plan de la
cyndinométrique Plan politique
Plan éthique
OBJECTIFS
FINALITES
Plan
Plan écologique
programmatique
STATISTIQUES VALEURS
FAITS CHIFFRES
 Occurrence du flux de danger

apparition de dissonances dans l’équilibre des axes de l’hyperespace

(d’après Perilhon, 2003)
 Application directe du modèle MADS

Méthode Organisée Systémique d’Analyse des Risques

(D’après Périhlon 1999)

 Constitution d’un groupe d’analyse des risques

Pour qu’une analyse des risques d’une installation soit efficace il

faut que tous les exploitants et intervenants y participent
directement

Exemple de groupe d’analyse de risque :

• Cadre technique
• Chef d’atelier
• Ingénieur maintenance
• Opératrice
• Responsable d’installation
• Bureau d’étude
 Documents à fournir lors de la réunion préparatoire

Dossier technique de l’installation mis à jour

Cahier de bord de l’installation (cahier de quart)

Documents de sécurité
Instruction de service
Consignes d’exploitation
Procédures d’essai
Dossier des contrôles périodiques obligatoires
Tout autre document relatif à la sécurité de l’installation
 Objectifs de la méthode

Rechercher les dysfonctionnements techniques et opératoires

d’une installation dans son environnement dont l’enchaînement

peut aboutir à des Evénements Non Souhaités (ENS)

4 types de cibles pour les ENS

Matériels
Individus

Écosystèmes Population
 Objectifs de la méthode

1. Mettre en évidence les scénarios possibles d’accidents

2. Définir les barrières de prévention et de protection à

mettre en place pour neutraliser les évènements
générateurs de ces scénarios.
 Démarche de la méthode

1. Décrire le système (modélisation de l’installation)

2. Identifier les risques

3. Evaluer les risques

4. Négocier les objectifs

5. Définir les barrières de préventions

 Avantages de la méthode

Structurée, quantitative, exhaustive et progressive

Possibilité de s’arrêter à chaque étape

Participative : associe tous les exploitants et

intervenants de l’installation dans le groupe d’analyse
des risques
Vertu pédagogique

Fait appel à l’imagination et à l’expérience de tous les

participants
 Méthode d’analyse se décomposant en 2 modules

Module A : analyse macroscopique

On identifie et on neutralise les risques de proximité i.e.
l’enchaînement des évènements qui conduisent aux risques
principaux
Pour les installations relativement simples l’analyse
macroscopique est suffisante.

Module B : analyse microscopique

On recherche les dysfonctionnements Opératoires (O) et
Techniques (T). Leur identification permet de détailler les
évènements initiaux de l’enchaînement des évènements qui
conduisent aux risques principaux (Modules A)
 Identifier les
sources de
dangers Module A
Identifier les
scénarios de
dangers Evaluer les
scénarios de
dangers Négocier des
objectifs et
hiérarchiser
Définir les
Identifier les les scénarios
moyens de
risques de prévention et
fonctionnement Evaluer les risques les qualifier
en constituant
des ADD et en
les quantifiant Négocier des
objectifs précis
de prévention Affiner les
moyens de
prévention Gérer
Module B les
risques
Méthode d’analyse se décomposant en 2 modules
Module A : analyse macroscopique

On réalise une étude principale de sécurité.

O

Module B : analyse microscopique

On réalise une étude de sécurité de fonctionnement

complémentaire et détaillée.

O
 Etape N°1
Modélisation de l’installation
Pour modéliser un système on le divise en sous-système

Découpage le plus courant = Découpage en zone géographique

Le découpage du système doit se faire à partir deux types de

schéma :
• en phase de conception
• en phase d’exploitation
 Etape N°2
Identification des sources de danger
Objectif
Identifier tous les systèmes de l’installation (matériel, homme,
environnement) qui peuvent être source de danger.

Moyen
Lire chaque sous-système à travers la grille 1.
 Catégories de la grille 1
A - Systèmes sources de dangers d’origine
mécanique
A – 1 Systèmes sous pression
A - 2. Systèmes sous contraintes mécaniques
A - 3. Systèmes en mouvement
A - 4. Systèmes nécessitant une manutention
A - 5. Systèmes sources d’explosions
A - 6. Systèmes sources de chute de hauteur
A - 7. Systèmes sources de chute de plain-pied
A - 8. Autres systèmes sources de blessures
A - 9. Systèmes sources de bruit et de vibrations
B - Systèmes sources de danger d’origine
chimique
C - Systèmes sources de danger d’origine
électrique
D - Systèmes sources de danger de développement
d’incendie
D - 1. Systèmes sources d’allumage
D - 2. Systèmes sources liés aux cloisonnements
D - 3. Systèmes sources liés aux matériaux
D - 4. Systèmes sources liés à la ventilation
D - 5. Systèmes sources liés à l’extinction
E- Systèmes sources de dangers liés aux
rayonnements
F- Systèmes sources de danger de nature
biologique
H- Systèmes sources de dangers liés à
l’environnement actif
H – 1. Systèmes sources de dangers liés à
l’environnement actif artificiel ( modes de
transports, installations, industrielles,
barrages)
H – 2. Systèmes sources de danger d’origine
naturelle (géologiques, climatiques
déséquilibres écologiques, épidémies,
pandémies)
I- Systèmes sources de danger d’origine
économique et sociale
Finances, migrations, conflits, criminalité,
violence, grands rassemblements
 Etape N°3
Identification des événements non souhaités
Objectif
Préciser pour chaque sous-système quels sont les évènements
non souhaités

Moyen
Remplir le tableau A pour chaque sous-système en ne tenant
pas compte des barrières de prévention et de protection qui
existent déjà sur l’installation.
 Etape N°4
Simplifier sous forme de boîte noire
Objectif
Exploiter de façon lisible les tableaux A

Moyen
Concevoir des boîtes noires sur le modèle suivant

Évènements
Évènements
initiateurs
Sous- Système non souhaités
(internes ou
(effets)
externes)

Boîte noire
 Etape N°5
Scénarios d’enchaînement d’évènements non souhaités
Objectif
Etablir des scénarios d’enchaînement d’évènements non
souhaités (accidents)

Moyen
Relier les sorties des boîtes noires communes aux entrées

(voir p12 Techniques de l’Ingénieur SE 4060)

 Etape N°6
Présentation sous forme de pré-arbres logiques
Objectif
Pour que les scénarios soient plus faciles à exploiter on les
présente sous-forme de pré-arbres logiques en rassemblant les
scénarios qui convergent vers un même événement non
souhaité
 Démarches et
Inductives/déductives Quantitative/qualitative Phrase-clef
Méthodes
Alimenter sa
connaissance du
Retour d’expérience Déductive Quantitative
système à partir de
faits réels
Analyse préliminaire de Repérer a priori les
Inductive Qualitative
risque (APR) risques à étudier
Analyse des modes de Recenser les
défaillance et de leurs Inductive Qualitative conséquences des
effets (AMDE) défaillances
Analyse des modes de
Evaluer les
défaillance, de leurs
Inductive Quantitative conséquences des
effets et de leurs
défaillances
criticités (AMDEC)
Organiser les éléments
Arbre des causes Déductive Qualitative ayant contribué à un
accident
Evaluer les
conséquences
Arbre d’événement Inductive Quantitative
possibles d’un
évènement
Evaluer les scénarios
Arbre de défaillances inductive Quantitative
d’un accident potentiel
Evaluer les états
Graphes d’état Inductive Quantitative possibles d’un système
réparable