Maîtrise des risques

TS01 module n°5

Arbre de défaillance

Jean ESCANDE
Mars 2021
Table des matières
1 Retour d’expérience : l’accident de Bhopal, 2 décembre 1984 ............................................... 3
1.1 Le contexte ....................................................................................................................... 3
1.2 Les 15 ans qui ont précédé l’accident .............................................................................. 4
1.3 La séquence accidentelle .................................................................................................. 5
1.4 Les conséquences ............................................................................................................. 8
1.5 Quelques enseignements .................................................................................................. 8
2 L’arbre de défaillance .............................................................................................................. 9
2.1 Présentation de la démarche ............................................................................................. 9
2.2 La réduction booléenne .................................................................................................. 12
2.3 Quelques règles pour réussir la construction d’un arbre ................................................ 16
2.4 Exemple d’étude : le dépotage de chlore dans une usine papetière ............................... 18
2.5 Conclusion ...................................................................................................................... 21
3 L’arbre d’événement ............................................................................................................. 21
4 Graphe cause-conséquence et nœud papillon ........................................................................ 24
5 La modélisation des conséquences ........................................................................................ 25

2
1 Retour d’expérience : l’accident de Bhopal, 2 décembre 1984

La société Union Carbide avait implanté une usine de fabrication d’insecticides à Bhopal, en
Inde. Dans la nuit du 2 au 3 décembre 1984, 40 tonnes de méthyl iso-cyanate (MIC), un
intermédiaire de synthèse va être libéré provoquant la mort de milliers de personnes. Depuis,
l’usine a été abandonnées en l’état, continuant ses effets néfastes par la pollution des nappes
phréatiques, seules sources d’approvisionnement en eau des populations avoisinantes.

L’usine des années après l’accident. On mesure la proximité des habitations

Ironie de l’histoire, Union Carbide était une référence mondiale en terme de sécurité
industrielle. De fait, s’il y a eu des choix initiaux contestables, les études de sécurités ont été
très bien menées. C’est leurs mises en œuvre puis la dégradation de l’exploitation pour des
raisons économiques qui ont conduit à l’accident.
Cette catastrophe, la plus grave de l’histoire de l’industrie chimique, souligne l’importance du
maintien dans le temps des conclusions des études des risques.

1.1 Le contexte
Dans les années 60, l’Inde connait une période de très forte croissance de la production agricole.
On parlera de « Révolution verte ». Cela se traduit par la sélection d’espèces plus productives
mais nécessitant plus d’eau, d’engrais et de pesticides (forte vulnérabilité). L’usage du DDT
étant à proscrire, l’Etat indien s’adresse à des fournisseurs étrangers pour obtenir des
insecticides et des pesticides. A l’hiver 66, un accord est signé entre les autorités indiennes et
Union Carbide pour l’importation immédiate de 1200 tonnes de l’insecticide SEVIN contre la
construction d’une usine sur place. Dans un premier temps, il s’agira d’une usine de formulation
car le SEVIN n’est pas utilisable en l’état. Il faut le fixer sur un support minéral pour en faire
une poudre à rependre sur les cultures.
La Société va trouver un terrain à Bhopal, au centre du sous-continent.

3
1.2 Les 15 ans qui ont précédé l’accident
L’implantation de l’usine, a lieu en 1967. Initialement on n’y fait que de la formulation. Mais
très rapidement, les dirigeants d’Union Carbide veulent construire une usine permettant de
produire le SEVIN sur place. Le représentant commercial estime que le marché ne consommera
pas plus de 2000 tonnes par an de SEVIN. Les dirigeants veulent une capacité de production
annuelle de 5000 tonnes et ils obtiennent les autorisations administratives. Le commercial
voulait que cette nouvelle activité ne soit pas faite au même endroit du fait de la dangerosité du
procédé et de la proximité des habitations. Une loi interdit d’ailleurs, une telle proximité. On se
contentera de ne pas trop insister sur les dangers des produits mis en œuvre.
De fait le procédé retenu (il en existe d’autres), s’il est plus économique et produit moins de
déchets, est particulièrement dangereux. Les 4 étapes sont les suivantes :
1 Synthèse de CO2 à partir du charbon
2 Réaction du chlore et du CO2 pour produire du phosgène
3 Réaction du phosgène avec le mono méthylamine donnant le MIC
4 Réaction du MIC avec de l’alpha naphtol conduisant au SEVIN
Le chlore et le phosgène sont des intermédiaires classiques des synthèses chimiques, ils n’en
sont pas moins dangereux, tous les deux ont été des gaz de combat pendant la première guerre
mondiale. Quant au MIC, il est encore plus toxique.
Autre choix contestable, il est décidé de faire une production en continu avec des quantités
importantes de produits stockés, là où les autres chimistes font des productions discontinues (en
batch) avec une consommation immédiate des produits intermédiaires.
Ces choix seront contestés en interne. Néanmoins, les études de réalisations sont lancées et les
études de sécurité sont très bien réalisées.
En 1972, les plans sont envoyés en Inde, mais déjà pour des raisons économiques, certaines
exigences de sécurité n’ont pas été retenues.
Les années qui vont suivre, vont voir une accumulation d’incidents parfois graves. Dans un
premier temps, seule la quatrième étape est faite sur place, le MIC étant importé des Etats Unis.
Ce transport connaîtra de nombreux problèmes : fuites de fûts, montée en pression durant les
850 km de transport par route sans refroidissement (Température d’ébullition du MIC : 39°C).

4
A partir de 1980, la production se fait complètement sur place. En 1981, la production est de
2700 tonnes. Mais la production ne va faire que décroitre du fait de la sécheresse et de la
concurrence. En 1984, elle ne sera plus que de 1000 tonnes
Sur l’installation, il va y avoir plusieurs cas de fuites graves de phosgène et de MIC.
Parallèlement à ces événements, le climat social va se tendre.
En 1982, un audit est réalisé par des auditeurs américains qui relèvent de nombreux problèmes
matériels et une rotation alarmante du personnel. Ils pointent plus d’une centaine de non
conformités. Ils relèveront le cas d’une intervention où on a oublié d’obstruer une conduite (un
des éléments du scénario de l’accident de 1984)
Fin 1982, c’est le départ du directeur américain historique. Il est remplacé par un ingénieur
indien tout à fait qualifié mais chapeauté par un super directeur qui a un passé de contrôleur de
gestion n’ayant connu que l’activité fabrication de piles électriques. Il n’a aucune notion de
risque industriel.
La visite de prise de fonction du super directeur est alarmante, seuls l’intéressent les chiffres et
les bilans. Les explications techniques qui lui sont fournies, ne le concernent pas. De fait, il
travaille sans jamais sortir de son bureau. Il n’y a aucune consultation du personnel, des
différents échelons. Sa vision très hiérarchique, provoque la division et la démotivation.
Commence les actions d’économie : licenciement de 300 coolies suivi de 200 ouvriers
spécialisés et techniciens. Les équipes de l’unité de MIC voient leurs effectifs diminués de
moitié. Il n’y a plus qu’une personne pour tout surveiller dans la salle de contrôle. Les équipes
d’entretien connaissent les mêmes réductions d’effectifs. En juin 1983, le super directeur s’en
va, mais son second reste et poursuit la même politique d’économie. Les critiques de l’audit ne
sont pas réellement prises en compte.
La demande de SEVIN continuant à décroitre, on stoppe la production des produits de bases
pour consommer à la demande ceux qui sont stockés, sans égard pour le vieillissement des
installations (corrosion, rouille, dépôts) et la dégradation des produits (pas nécessairement
stable sur la durée). La réponse aux craintes exprimées est « une usine qui ne fonctionne pas,
n’est pas dangereuse » ! De ce fait, on arrête les systèmes de sécurité (refroidissement des
stockage, tour de neutralisation, torchère, …). Ecœurés, les ingénieurs s’en vont.
On parle de déplacer l’usine au Brésil pour la production chimique et en Indonésie pour la
formulation. Des négociations avec les autorités indiennes qui menacent de fermer le marché
indien, stoppent ce projet.

1.3 La séquence accidentelle

A la veille de l’accident, la situation est la suivante :
 Il y a 3 réservoirs de MIC. Les deux en exploitation sont pleins. Le réservoir de secours
qui devrait être vide contient au moins 1 tonne de produit. Ces trois réservoirs devraient
être réfrigérés à 0°C, mais on a retiré le fluide frigorigène et le MIC est à 25°C
 Le réseau d’azote est défaillant (la pression varie sans raison)
 L’épurateur (scrubber) qui devrait être en mesure de neutraliser des rejets de MIC est
en panne
 La torchère permettant de brûler les excès de produit, est à l’arrêt pour maintenance
 Les alarmes ont été coupées car elles sonnaient trop souvent (sic)

5
  D’autres matériels (comme les rideaux d’eau utiliser pour bloquer un éventuel nuage de
gaz) sont eux aussi défaillants

La séquence accidentelle est la suivante

A 21h, une équipe d’ouvriers non qualifiés reçoit l’ordre de nettoyer à l’eau une conduite. Le
chef d’équipe est absent et les consignes sont rédigées en anglais. Les ouvriers ne mettent pas
en place le système anti retour qui aurait empêché à l’eau d’arriver dans le réservoir de secours.

6
L’eau entre donc dans le réservoir et réagit avec le MIC présent. Il est probable que la rouille
(Fe2O3) est joué le rôle de catalyseur.

Le système de réfrigération ne fonctionne pas : le MIC est à 20-25°C (au lieu de 0°C) ce qui
favorise la réaction.
Le balayage à l’azote est défaillant ce qui provoque régulièrement des variations de pression
inexpliquées. L’opérateur n’est donc pas alarmé quand il voit la pression monter dans le
réservoir. Ce retard dans la détection laisse le temps à la réaction de s’emballer. Ce n’est que
vers 23h qu’il va s’inquiéter de ce qu’il voit. Il enverra un ouvrier voir ce qui se passe et l’alerte
ne sera donner qu’à 0h15. Il fera une tentative de refroidissement vouée à l’échec puisque le
système est non fonctionnel. Le personnel présent, mesurant le danger et l’impossibilité de le
maîtrisé, fuira.

7
La pression continue à monter dans le réservoir jusqu’à la pression de rupture du disque de
rupture. Il y a un déferlement de liquide (337 kg/mn, 13,8 bar et plus de 200°C). L’épurateur et
la torchère ne fonctionnent pas (de toute manière, ils n’étaient pas dimensionnés fonctionner
dans ces conditions). Le produit est rejeté par la cheminée de l’épurateur (qui sert normalement
à rejeter le CO2 issu de la neutralisation). Le nuage retombe au sol et dérive vers les habitations
qui ne sont pas étanches. Les populations sont atteintes dans leur sommeil. L’alarme n’est
déclenchée qu’à 2h.

1.4 Les conséquences

Le bilan immédiat est de 2.500 morts et plusieurs milliers de blessés. Aucune information quant
aux produits n’est donnée par l’industriel.
Après 3 jours, le bilan s’élève à 8.000 morts.
Au final, selon les sources, on estime jusqu’à 25.000 morts et entre 170.000 et 800.000
intoxiqués.
Fin décembre, l’atelier de production du pesticide est momentanément remis en fonctionnement
pour déstocker le MIC encore présent après l’accident. L’activité du site est arrêtée et celui-ci
est laissé en l’état, avec de nombreux problèmes non résolus d’élimination des déchets et de
pollution des sols et des eaux souterraines.
Le cours de bourse d’Union Carbide s’effondre. La société est rachetée « par appartement ».
Rhône Poulenc achètera l’activité agrochimie. Dow Chemical rachètera le reste pour 9,3
milliards de dollars en avril 1999. Le site de Bhopal dépend de Dow qui refuse d’en assumer le
passif.
Lancée en 1987, la procédure judiciaire connaît plusieurs rebondissements. Initialement
poursuivis pour homicide, les 8 prévenus (7 Indiens et un Américain, le président de la
compagnie) ont bénéficié en 1996 d’un arrêt de la Cour suprême indienne requalifiant les faits
en homicide par négligence, un délit puni d’une peine de deux ans de prison maximum.
En 1989, l’exploitant passe un accord avec le gouvernement indien : l’industriel verse un
dédommagement de 470 millions de dollars, contre l’abandon de toute poursuite.
Le 7 juin 2010, le tribunal de première instance de Bhopal condamne à deux ans de prison et
100.000 roupies d’amende (1.751 euros) les 7 personnes jugées responsables de la catastrophe
(la huitième étant décédée entre-temps). Elles ont cependant pu faire appel et ont
immédiatement être relâchées sous caution. Une amende de 10 000 dollars (8 354 euros) est
infligée à la filiale indienne de l’exploitant pour négligences. Le PDG de l’entreprise à l’époque,
déclaré « en fuite » par la cour, n’a pas été nommé lors du verdict.

1.5 Quelques enseignements

Cette catastrophe, la plus grave de l’histoire de l’industrie chimique, a fait prendre conscience
de l’importance du maintien dans le temps de l’efficacité des barrières techniques et
organisationnelles. La Directive européenne SEVESO 2, du 9 décembre 1996, impose la mise
en œuvre d’un Système de Gestion de la Sécurité (SGS), pour pérenniser et améliorer les
mesures de maîtrise des risques engagées après l’étude des risques.
Elle montre également l’importance de la conception des installations, du dimensionnement des
systèmes de sécurité, de la gestion des modifications ainsi que celle de la maîtrise de
l’urbanisation, des plans de secours et de l’information des populations.

8
A noter qu’après cet accident, il a été décidé de créer au Etats Unis, le CSB (Chemical Safety
and Hazard Investigation Board) qui est un organisme fédéral américain indépendant. Il enquête
sur les accidents chimiques majeurs et élabore des recommandations de sécurité pour éviter
qu'ils ne se reproduisent. En France, bien que le sujet ait été plusieurs fois évoqué, ce n’est
qu’après l’accident de Lubrizol qu’un organisme équivalent a été créé, il s’agit du BEA RI.
(Cet accident fera l’objet d’un exercice lors du TD de la semaine prochaine)

2 L’arbre de défaillance

La méthode de l’arbre de défaillance a été conçue en 1961, par le Bell Telephone Laboratories
pour étudier les risques des missiles minuteman (missiles nucléaires américains). Elle a été mise
en application en France lors des études pour la certification du Concorde.

Les deux précédents cours nous ont permis de voir les méthodes AMDEC et HAZOP qui partent
d’une cause pour en rechercher les conséquences (on parle d’une démarche inductive). L’arbre
de défaillance correspond à la démarche inverse : on pose une conséquence, l’événement
redouté, et on recherche l’ensemble des combinaisons de causes qui peuvent y conduire (c’est
une démarche dite déductive).

2.1 Présentation de la démarche

L’arbre de défaillance présente deux aspects :
1. Un aspect qualitatif qui correspond à une recherche déductive systématique de toutes
les causes possibles d’un événement redouté. L’association de ces causes se fait à l’aide
des portes logiques « OU » et « ET »
2. Un aspect quantitatif qui débute par la transformation du dessin représentant les
enchainements en un polynôme booléen. A partir de cette formulation, il est possible, si
on dispose des valeurs de probabilités des différentes causes, d’établir la probabilité de
l’événement redouté.
Un exemple va permettre d’illustrer le propos :

9
Soit le circuit présenté dans l’illustration. L’absence de débit au point 1 s’explique par l’absence
de débit en 2 « ET » l’absence de débit en 3.
L’absence de débit en 2 s’explique par la pompe P1 à l’arrêt « OU » les deux vannes fermées,
ce dernier événement s’expliquant par la vanne A est fermée « ET » la vanne B est fermée.
L’absence de débit en 3 s’explique par la pompe P2 à l’arrêt « OU » la vanne C fermée.
Les deux portes utilisées sont :
La porte « OU »

L’événement S se produit si :
 E1 est réalisé
 ou E2 est réalisé
 ou E1 et E2 sont tous les deux réalisés

10
La porte « ET »

L’événement S se produit si et seulement si E1 et E2 sont tous les deux réalisés

Dans un arbre, on distingue 3 niveaux d’événements : l’événement redouté, les événements
intermédiaires et les événements de bases (qui peuvent l’être (càd qui ne nécessitent pas
d’explications) ou qui seront considérés comme tels (on ira pas plus loin dans l’investigation,
mais elle serait possible)).

Il y a aussi quelques éléments graphiques utiles :

L’événement « maison » est un événement normal qui doit apparaître pour qu’une défaillance
se révèle.
Il y a aussi des symboles de transfert. Imaginons que la défaillance d’un appareil (la pompe P1
par exemple) soit la cause de la réalisation de deux événements intermédiaires. Lorsque l’on
recherchera les explications pour le premier événement intermédiaire, on arrivera à la
défaillance de la pompe P1 dont on expliquera la cause (défaillance mécanique, perte d’énergie,
…). Quand dans une autre partie de l’arbre, on retrouvera la défaillance de la pompe P1, on ne
redéveloppera pas les causes, on renverra à la première explicitation avec un triangle identique.

11
Si par contre, on a deux pompes identiques, P1 et P2, et que l’on a explicité les causes de la
défaillance de P1, quand on sera confronté à la défaillance de P2, on ne reprendra pas toutes les
explications, mais on mettra un triangle inversé pour dire que l’on a les mêmes explications
mais que ce ne sont pas les mêmes composants.

2.2 La réduction booléenne

Commençons par un exemple

Dans le réacteur 19, on fait une fabrication en « batch » (par étapes successives distinctes) dont
les 3 premières étapes sont :
1. L’introduction de naphtalène en poudre que l’on fait fondre en chauffant le réacteur
2. Une fois le naphtalène fondu, on introduit de l’acide sulfurique et on laisse la réaction
se produire en mélangeant les deux produits
3. A la fin de cette étape, on introduit du formol pour une nouvelle réaction
Cette dernière étape est particulièrement délicate : si on introduit trop rapidement le produit, ou
si le mélange est trop chaud, on risque d’avoir un emballement de la réaction. Etudions ce
risque :

12
L’arbre que l’on a établi est problématique, chacun des événements de base (E1 à E4) peut à
lui seul produire l’événement redouté.
Il faut donc mettre en place des systèmes pour empêcher un enchainement si rapide (on parle
d’implanter des barrières). On implantera donc un asservissement de température bloquant
l’introduction en cas de température trop élevée, et un limiteur de débit. L’arbre devient :

Dans ce cas très simple, il n’y avait pas besoin de mettre en œuvre une démarche plus
sophistiquée, mais de fait, on a fait une application de la logique booléenne.
Si l’on appelle EI 1, l’événement intermédiaire 1 : Introduction dans un mélange réactif trop
chaud, EI 2 : introduction trop rapide de formol, et ER, l’événement redouté : emballement de
la réaction
En utilisant le symbole de l’addition « + » pour la porte « OU », on peut écrire, pour le premier
arbre, l’équation :
ER=EI 1 + EI 2= E1+E2+E3+E4 (équation n°1)
Pour le deuxième arbre, en utilisant le symbole de la multiplication « . » pour la porte « ET »,
on a :
ER=EI 1+EI 2
EI 1= EI 1’. E5= (E1+E2) . E5= E1.E5 + E2.E5
EI 2= EI2’. E6= (E3+E4) . E6= E3.E6 + E4.E6
Et donc ER= E1.E5 + E2.E5 + E3.E6 + E4.E6 (équation n°2)
Dans le premier cas, l’événement redouté se réalisait dès que l’un des 4 événements se
produisait. Dans le deuxième cas, il y a toujours 4 possibilités, mais chacune d’elles correspond
à la réalisation de 2 événements, tous les deux nécessaires. La probabilité d’apparition de
l’événement redouté sera donc réduite.

13
Cet exemple simple va être le support pour donner quelques définitions :
Coupe : ensemble d’événements de base dont la réalisation suffit pour entrainer la réalisation
de l’événement redouté. Dans l’équation n°1, l’événement E1 est une coupe. Dans l’équation
2, le binôme E1.E5 est une coupe.
Coupe minimale : c’est une coupe ne contenant aucune autre coupe.
Si on a l’équation ER= B1 + B1.B2, B1 est une coupe minimale, B1.B2 ne l’est pas puisqu’elle
contient la coupe B1.
Ordre : c’est le nombre d’événements de la coupe : l’équation n°1 comporte 4 coupe d’ordre
1, l’équation n°2, 4 coupes d’ordre 2.
La réduction d’un arbre va consister :
1. A établir l’équation booléenne qui lui correspond
2. A « réduire » cette équation, en ne conservant que les coupes minimales
Supposons l’équation ER= E1 + E1.E2 + E2.E3 (équation n°3)
Celle-ci se réduit à ER= E1 + E2.E3 (puisque E1.E2 contenait E1, et n’était donc pas une coupe
minimale)
Dit autrement, si l’événement E1 suffit à produire ER, il n’est pas nécessaire de lui associer
d’autres événements.
Pour faire des réductions booléennes, il y a quelques règles à connaitre :

(Si elle est nécessaire lors d’un examen, cette planche sera fournie avec l’énoncé.)

14
Pour commencer, on retrouve les propriétés de l’addition et de la multiplication :
 Associativité : lignes 1 et 7
 Commutativité : lignes 2 et 9
 Distributivité : ligne 13
Ensuite, on retrouve des relations logiques que vous avez probablement vues avec des tables de
vérités, 1 représentant le « vrai » et 0 le faux.
La ligne 14 est une relation déjà évoquée lors de l’exemple de réduction (équation n°3)
Pour la ligne 15, il suffit de développer le deuxième membre de l’équation puis de faire les
simplifications découlant des lignes 9 et 14.
Vient l’opérateur Non (« le contraire ») :
Ligne 16 le contraire du contraire de A c’est A
Ligne 17 A ou son contraire c’est « toujours vrai » et ligne 18 A et son contraire « c’est
impossible »
Pour la ligne 19, on prend le deuxième membre de l’équation. On applique à B la ligne 10 :
B=B.1 Puis on utilise la ligne 17, on développe et on simplifie (lignes 13 et 14)
Restent les lois de Morgan :
 Le contraire de (A et B), c’est le contraire de A ou le contraire de B
 Le contraire de (A ou B), c’est le contraire de A et le contraire de B
Avec ces éléments, on peut faire la réduction des arbres :

15
Après cette réduction, on a un arbre beaucoup plus simple qui fait apparaître qu’en empêchant
l’apparition de l’événement C, on empêche la réalisation de l’événement redouté F.

2.3 Quelques règles pour réussir la construction d’un arbre

La construction d’un arbre de défaillance nécessite une démarche logique est systématique. Il
faut définir correctement l’événement redouté à étudier, puis rechercher les événements
intermédiaires avec un découpage et une approche homogène comme, par exemple :
 Un découpage géographique : zones de l’usine, du bâtiment, de l’installation, …
 Un découpage fonctionnel : fonction à remplir, paramètres à respecter, …
 Un découpage chronologique : phase de démarrage, de fonctionnement, d’arrêt, …

Il faut insister sur la grande rigueur à apporter dans la définition des événements :
 Pour l’événement redouté, afin de ne pas négliger une partie de l’étude (ce n’est pas la
même chose d’étudier les causes d’un réservoir vide, et d’un réservoir insuffisamment
rempli)
 Pour les événements intermédiaires (même raison)
 Pour les événements de base, afin d’éviter les ambiguïtés et les risques de confusion lors
de la réduction (cas classique : intituler rapidement tous les événements concernant les
opérateurs « erreur humaine » sans faire aucune distinction (erreur de lecture d’un
capteur, erreur de manipulation, …))
Dernière étape, vérifier la cohérence et la pertinence de l’arbre obtenu. Il y a au moins 3
approches complémentaires :
1. Vérifier si c’est bien une porte « OU » ou une porte « ET » qui doit être utilisée, en
construisant l’arbre dual

16
 2. Réduire l’arbre et vérifier la cohérence du résultat
3. Présenter son arbre à un tiers et en discuter
Dans la majorité des cas, il vaudra mieux reconstruire intégralement l’arbre, plutôt que de faire
une petite correction qui risque d’être incomplète.
L’approche par le dual s’impose quand on doute du choix de la porte :

Le surremplissage s’explique par l’une ou l’autre des causes ou par le deux à la fois. En utilisant
la loi de Morgan, on peut faire l’arbre dual (de l’événement contraire). L’association
d’événements obtenue n’étant pas judicieuse (si la pompe s’arrête correctement, on n’a pas
besoin du fonctionnement du niveau haut), on change la porte et on refait le dual :

17
Autre type de vérification de l’arbre, la réduction qui doit le rendre plus compréhensible. Dans
un arbre réduit, on verra plus clairement les associations d’événements et l’on détectera plus
facilement les éventuelles incohérences.

Enfin, la présentation de l’arbre et la discussion avec un tiers fait régulièrement surgir un oubli
ou une incohérence. Même si le tiers ne connait pas la méthode, il est aisé de lui présenter les
résultats. Lors de cette présentation, l’auteur de l’arbre pourra lui-même se rendre compte d’un
oubli ou d’une incohérence, ou son interlocuteur le lui signalera. Dans ce cas, il ne faut pas
hésiter à reconstruire intégralement l’arbre et ne pas se contenter d’une « rustine ».

2.4 Exemple d’étude : le dépotage de chlore dans une usine papetière

On retrouve l’installation étudiée dans le TD concernant la méthode HAZOP :

18
L’événement redouté est « l’émission de chlore dans l’environnement ». On commence par
distinguer « la vaporisation de chlore liquide » d’une « émission de chlore gazeux
directement ».
Ensuite on distingue les différents points du circuit d’où le rejet de chlore liquide peut se faire.

Puis le découpage s’affine au niveau du wagon (avant, sur le wagon, après)

Puis l’approche se précise, pour aller vers des scénarios puis vers les défaillances des
composants.

19
Et l’arbre se poursuit pour chacun des embranchements. Il se conclura par des recherches de
solutions, éventuellement avec des tableaux comme celui-ci :

20
2.5 Conclusion
L’arbre de défaillance est une méthode déductive qui vient compléter les approches inductives
vues jusqu’ici (APR, AMDEC et HAZOP).
Cette méthode permet la mise en évidence de toutes les combinaisons d’événements conduisant
à l’événement redouté. En faisant une réduction, elle conduit à établir le classement des
événements par ordre, selon leur criticité :
 Un événement se trouvant dans une coupe d’ordre 1 est plus critique que celui qui se
trouve dans une coupe d’ordre supérieur
 Un événement qui se trouvent dans plusieurs coupe d’ordre 2, 3, … est lui aussi critique
puisque si l’on empêche son apparition, plusieurs coupes ne pourront pas se produire
(cf. l’événement « C » dans l’exemple de réduction d’un arbre)
Conséquence du point précédent, c’est un moyen d’évaluer les conséquences d’une
modification. Un autre type de modification étant l’ajout d’une sécurité (cf. l’exemple du
réacteur) qui augmente l’ordre des coupes et par là même la sécurité.
C’est un moyen pour calculer les probabilités d’occurrence. Cet aspect sera vu dans un TD à
venir.
Dernier aspect non négligeable, c’est un outil de synthèse et de discussion.

3 L’arbre d’événement

L’arbre d’événement est une méthode qui a été élaborée au début des années 1970. Elle a connu
une large diffusion grâce au rapport Rasmussen Wash-1400 de 1975, consacré à la sécurité des
réacteurs nucléaires aux USA.
Cette méthode inductive (qui part de la cause pour aller vers la conséquence) a la particularité
de permettre un calcul de probabilité. La démarche suivie est celle de l’élaboration de scénarios
à partir d’un événement initiateur et d’une cascade de réussites ou d’échec de moyen de
sauvegarde.
Pour faciliter la présentation, on va prendre un exemple simple :

21
On a un départ de feu. Il est détecté ou il ne l’est pas. S’il n’est pas détecté, l’incendie a lieu
sans être maitrisé. S’il est détecté, il y a ou non une intervention. S’il n’y a pas d’intervention,
on se retrouve dans la situation de l’incendie non maîtrisé. S’il y a intervention, il faut encore
se demander, si elle réussit ou non.
Les étapes de la mise en œuvre de la méthode :
1. Définir l’événement initiateur (dans l’exemple ci-dessus : le départ de feu)
2. Recenser les moyens de sauvegarde (matériels, humains, organisationnels) (la
détection, l’intervention à quoi s’ajoute la question de la réussite de cette dernière)
3. Etablir la chronologie des interventions (la détection précède nécessairement
l’intervention)
4. Construire l’arbre
5. Eliminer les éventuelles incohérences
6. Faire le calcul de probabilité (s’il y a lieu, voir l’exemple suivant)

Les principes à respecter :

 Une fonction dépendant d’une autre, doit être considérée après celle-ci
(l’intervention ne peut intervenir qu’après la détection)
 Si l’échec de f1 entraîne l’échec f2, le succès de f2 n’est pas à étudier (l’absence ou
l’échec de la détection rend inutile l’étude de l’intervention)
 De même, une réussite interrompt une branche où d’autres éléments devaient
intervenir
 Comme d’habitude, il faut faire attention à la défaillance de mode commun qui
expliquerait plusieurs échecs dans l’enchainement.

Exemple plus complet d’application de la méthode :

L’étude concerne un réacteur chimique dans lequel se produit une réaction exothermique
(dégageant de la chaleur). Le réacteur est doté d’un système de refroidissement pour maîtriser
le phénomène.

En cas d’arrêt du refroidissement, il y a une alarme de température haute. L’opérateur doit alors,
rétablir le refroidissement. S’il tarde ou s’il échoue, le capteur déclenche une injection (en
dernier recours) d’un inhibiteur de réaction qui stoppe celle-ci.

22
Dans un premier temps, on construit l’arbre en respectant les cinq premières étapes.

Ensuite, il s’agit d’établir la probabilité de chaque embranchement. Si on a la probabilité de

défaillance d’un composant ou d’une action (P), la probabilité de la réussite est 1-P. Une fois
les probabilités établies à chaque étape, il ne reste plus qu’à faire les produits des valeurs
rencontrées sur un cheminement pour avoir la probabilité du scénario correspondant.

(Dans l’exemple ci-dessus, il y a un autre élément pris en compte : celui du délai de réalisation).

23
En conclusion, c’est une méthode très intéressante et pertinente pour formaliser des scénarios
et les quantifier. Elle est fréquemment utilisée lors d’analyse d’accident, pour envisager d’autres
éventualités que le scénario qui s’est produit.
Par contre c’est une démarche qui peut rapidement devenir très lourde : si on multiplie les
éléments à prendre en compte, l’arbre d’événement construit s’accroit de manière
exponentielle. Il faut donc bien cerner et limiter l’objet de l’étude.

4 Graphe cause-conséquence et nœud papillon

Ces deux méthodes associent des arbres de défaillance et des arbres d’événement.
Le Graphe cause-conséquence est un arbre d’événement dont certaines des défaillances
provoquant une bifurcation dans l’arbre d’événement, sont explicitées par un arbre de
défaillance :

Le nœud papillon associe un arbre de défaillance qui explicite les causes de l’événement redouté
central et un arbre d’événement qui explore les conséquences de cet événement :

24
5 La modélisation des conséquences

Une fois le scénario d’accident identifié et éventuellement probabilisé, il est nécessaire de

mieux caractériser les conséquences, en particulier celles susceptibles de dépasser les limites
du site industriel, pour atteindre le voisinage. Les différents événements envisageables,
susceptibles d’être modélisés sont :
 Les émissions et dispersions atmosphériques de produits toxiques ou inflammables
 Les incendies (feu de nappe, incendie de bâtiments, …)
 Les explosions de gaz ou de poussières
 Les pollutions du sol ou des eaux (souterraines ou de surface)
Si l’on prend comme exemple des rejets de gaz inflammables ou toxiques, il faut d’abord
connaître les conditions de l’accident :
 La taille et la position de la fuite
 La quantité maximale de produit pouvant être rejetée
 La possibilité de dérive du nuage issu du rejet
Ces informations sont fournies soit par l’étude des risques préalablement réalisée, soit par des
données statistiques.
A partir des données ainsi établies, il faut modéliser les différents phénomènes (écoulement
liquide, échanges thermiques, diffusion et dispersion gazeuses, …) tels qu’illustrés ci-dessous :

Une fois défini le débit de gaz émis, il faut modéliser la formation du nuage et sa dérive dans
l’espace.

25
Une fois délimitée l’extension du nuage, on peut caractériser les zones dangereuses :
 Si le gaz est toxique, on a immédiatement la délimitation des zones dangereuses en
tenant compte de la durée d’exposition,
 Si le gaz est inflammable, on a une estimation de la masse inflammable, en tenant
compte du délai d’inflammation. Il reste alors à modéliser l’explosion.
Une méthode simple pour modéliser l’explosion d’un nuage de gaz inflammable, est la méthode
de l’équivalent TNT.

La méthode de l’équivalent TNT

Cette méthode a été rapidement évoquée lors du premier cours comme un exemple de méthode
de modélisation des conséquences d’un accident, basée sur du retour d’expérience.
La démarche est la suivante, après une explosion industrielle on enquête pour savoir :
1. Quelle est la quantité de produit qui a pu participer à l’explosion ?
2. Quels sont les dégâts dus à cette explosion, et à quelles distances du lieu de l’explosion
on peut les observer ?

A partir des informations sur les dégâts et leur distance d’observation, en utilisant l’abaque de
la page suivante (abaque militaire américaine TM5-1300), il va être possible de déterminer la
masse de TNT qui aurait pu faire ces dégâts. Connaissant la masse de produit mis en œuvre, il
est alors possible de définir un équivalent : la masse M1 du produit a les mêmes effets lors
d’une explosion, qu’une masse M2 de TNT. On peut donc définir une équivalence sur la base
d’un rendement a= M2/M1

Dans le détail :
Les axes de l’abscisse et de l’ordonnée de l’abaque ont des échelles logarithmiques :
 En ordonnée se trouvent les niveaux de surpression dus à l’explosion de 0,01 (10 mbar)
jusqu’à 6 bar
 En abscisse se trouvent les distances réduites  = R/M1/3 où R est la distance séparant le
lieu de l’explosion du lieu d’observation des dégâts (exprimée en mètre) et M la masse
de TNT mise en œuvre dans l’explosion (exprimée en kg)

26
Exemple d’utilisation de l’abaque :
A 150 m du lieu de l’explosion, on a observé un « effondrement partiel des murs et tuiles des
maisons » ce qui correspond en ordonnée à 0,14 (140 mbar).
En utilisant l’abaque, on trouve l’abscisse correspondante égale à 10.
Comme R=150 m on a la relation :
10 = 150/M1/3
D’où M1/3 = 150/10 = 15
D’où M = (15)3 = 3375 kg

27
En observant les conséquences d’explosions industrielles et en utilisant cette abaque, on peut
établir les quantités de TNT qui auraient causé ces dégâts.
Connaissant la quantité de produits sur le lieu de l’explosion qui pouvait participer à celle-ci,
on peut définir un rendement. Pour les principaux hydrocarbures utilisés dans l’industrie, on a
la relation :

1 kg d’hydrocarbure = 1 kg de TNT

Conclusion

Ce cours clos une série de quatre cours qui ont présenté plusieurs méthodes d’analyse des
risques. L’articulation entre ces différentes méthodes peut varier selon les situations.

Classiquement, après la phase préparatoire (descriptif de l’installation, recherche des

caractéristiques dangereuses des différents éléments ou produits, retour d’expérience), l’étude
débutera par une APR pour mieux cerner les événements dangereux. Pour autant, il y aura des
situations, où une autre méthode s’imposera dès le début. Par exemple, un procédé à risque,
sera immédiatement étudié en utilisant une méthode HAZOP.
Si l’on revient au déroulement classique, l’étude débutera par une APR. Si le sujet est
suffisamment simple et compréhensible, l’étude pourra se limiter à cette démarche.
Par contre, si le sujet est trop complexe, il faudra poursuivre les investigations avec les autres
méthodes étudiées, pour affiner la compréhension et être plus pertinent lors de l’élaboration des
solutions de maîtrise des risques. A noter qu’il n’y a pas que la complexité qui justifie un
approfondissement de l’étude, la gravité des conséquences peut aussi être une justification de
poursuivre l’étude.

28