Vous êtes sur la page 1sur 141

ENVIRONNEMENT

SÉCURITÉ

Méthodes d’analyse
des risques
Réf. Internet : 42155

Actualisation permanente sur


www.techniques-ingenieur.fr

2e édition
Techniques de l’Ingénieur
La plus importante ressource documentaire scientiique
et technique en français

Une information iable, claire et actualisée


Validés par un comité scientifique et mis à jour en permanence sur Internet, les articles
Techniques de l’Ingénieur s’adressent à tous les ingénieurs et scientifiques, en poste ou
en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs, les ressources
documentaires Techniques de l’Ingénieur constituent le socle commun de connaissances
des acteurs de la recherche et de l’industrie.

Les meilleurs experts techniques et scientiiques


Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs, professeurs
collaborent pour faire de Techniques de l’Ingénieur l’éditeur scientifique et technique
de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de connaissances
inégalée, vous former et vous accompagner dans vos projets.

Une collection 100 % en ligne


• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et actualisations
de votre ressource documentaire
• Les articles téléchargeables en version PDF

Des services associés


Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste des
services associés à vos droits d’accès et les utiliser.

Pour toute information, le service clientèle reste à votre disposition :


Tél : 01 53 35 20 20
Fax : 01 53 26 79 18
Mail : infos.clients@teching.com

III
c・エ@ッオカイ。ァ・@ヲ。ゥエ@ー。イエゥ・@、・@s←」オイゥエ←@・エ@ァ・ウエゥッョ@、・ウ@イゥウアオ・ウ@Hr←ヲN@iョエ・イョ・エ@エゥQQRI@←ァ。ャ・ュ・ョエ
」ッューッウ←@、・@Z

m。ョ。ァ・ュ・ョエ@、・@ャ。@ウ←」オイゥエ← r←ヲN@iョエ・イョ・エ@Z@TRQUT

m←エィッ、・ウ@、G。ョ。ャケウ・@、・ウ@イゥウアオ・ウ r←ヲN@iョエ・イョ・エ@Z@TRQUU

rゥウアオ・ウ@」ィゥュゥアオ・ウ@M@tックゥ」ッャッァゥ・@・エ@←」ッエックゥ」ッャッァゥ・ r←ヲN@iョエ・イョ・エ@Z@TRQUV

rゥウアオ・ウ@」ィゥュゥアオ・ウ@M@p・ウエゥ」ゥ、・ウ@・エ@ーイッ、オゥエウ@ーィケエッウ。ョゥエ。ゥイ・ウ r←ヲN@iョエ・イョ・エ@Z@TRUVX

eョ」。、イ・イ@ャ・@イゥウアオ・@」ィゥュゥアオ・@・エ@」ッョョ。○エイ・@ウ・ウ@ッ「ャゥァ。エゥッョウ r←ヲN@iョエ・イョ・エ@Z@RRWTR

m。○エイゥウ・イ@ャ・@イゥウアオ・@」ィゥュゥアオ・@M@ュ。ョ。ァ・ュ・ョエL@ウ。ョエ←@・エ@ウ←」オイゥエ←@、。ョウ@ャ ・ョエイ・ーイゥウ・ r←ヲN@iョエ・イョ・エ@Z@RRWTS

rゥウアオ・ウ@、G・クーャッウゥッョ r←ヲN@iョエ・イョ・エ@Z@TRQUW

rゥウアオ・ウ@、Gゥョ」・ョ、ゥ・ r←ヲN@iョエ・イョ・エ@Z@TRUXS

rゥウアオ・ウ@←ャ・」エイゥアオ・ウ r←ヲN@iョエ・イョ・エ@Z@TRTYV

s←」オイゥエ←@ー。イ@ウ・」エ・オイ@、G。」エゥカゥエ←@・エ@ー。イ@エ・」ィョッャッァゥ・ r←ヲN@iョエ・イョ・エ@Z@TRQUY

s←」オイゥエ←@、・ウ@ウケウエ│ュ・ウ@ゥョ、オウエイゥ・ャウ r←ヲN@iョエ・イョ・エ@Z@TRXSP

s。ョエ・@・エ@ウ←」オイゥエ←@。オ@ーッウエ・@、・@エイ。カ。ゥャ r←ヲN@iョエ・イョ・エ@Z@TRQUX

rゥウアオ・ウ@ョ。エオイ・ャウ@・エ@ゥュー。」エウ@ゥョ、オウエイゥ・ャウ r←ヲN@iョエ・イョ・エ@Z@TRXRX

 Sur www.techniques-ingenieur.fr
•฀Saisissez฀la฀référence฀Internet฀pour฀accéder฀directement฀aux฀contenus฀en฀ligne
•฀Retrouvez฀la฀liste฀complète฀des฀ressources฀documentaires à votre disposition

IV
c・エ@ッオカイ。ァ・@ヲ。ゥエ@ー。イエゥ・@、・@s←」オイゥエ←@・エ@ァ・ウエゥッョ@、・ウ@イゥウアオ・ウ@Hr←ヲN@iョエ・イョ・エ@エゥQQRI@、ッョエ@ャ・ウ
・クー・イエウ@ウ」ゥ・ョエゥヲゥアオ・ウ@ウッョエ@Z

j・。ョMpゥ・イイ・@dal@pont
pイ←ウゥ、・ョエ@、・@ャ。@sッ」ゥ←エ←@fイ。ョ￧。ゥウ・@、・@g←ョゥ・@、・ウ@pイッ」←、←ウ@Hsfgp@IL@s・」イ←エ。ゥイ・@g←ョ←イ。ャ@、・@ャ。
f←、←イ。エゥッョ@eオイッー←・ョョ・@、オ@g←ョゥ・@cィゥュゥアオ・@HefceIL@pイ←ウゥ、・ョエ@、・@ャ。@sッ」ゥ←エ←@、・ウ@eクー・イエウ
cィゥュゥウエ・ウ@、・@fイ。ョ」・@Hsecf@I

fイ。ョ￧ッゥウ@fontaine
r・ウーッョウ。「ャ・@ᆱ@s←」オイゥエ←@gャッ「。ャ・@・エ@s←」オイゥエ←@gャッ「。ャ・@・エ@エ・イイッイゥウュ・@ᄏL@ineris

dゥ、ゥ・イ@gaston
r・ウーッョウ。「ャ・@aァ・ョ」・L@cete@apave@nッイ、Moオ・ウエ

j・。ョMlッオゥウ@gustin
eクー・イエ@・ョ@ウ←」オイゥエ←@、・ウ@ーイッ」←、←ウ@rィッ、ゥ。@r・」ィ・イ」ィ・ウ@・エ@t・」ィョッャッァゥ・ウ

aョ、イ←@laurent
pイッヲ・ウウ・オイ@←ュ←イゥエ・L@n。ョ」ケ@uョゥカ・イウゥエ←L@lrgpL@cnrsL@inplL@ensic

yカ・ウ@mortureux
eクー・イエ@・ョ@ュ。○エイゥウ・@、・ウ@イゥウアオ・ウ@¢@ャ。@dゥイ・」エゥッョ@、・@ャ。@ウ←」オイゥエ←@、・@ャ。@sncf

j・。ョMp。オャ@peres
aョ」ゥ・ョ@dゥイ・」エ・オイ@r・ウーッョウ。「ャ・@c。イ・@、・@rィッ、ゥ。

 Sur www.techniques-ingenieur.fr
•฀Saisissez฀la฀référence฀Internet฀pour฀accéder฀directement฀aux฀contenus฀en฀ligne
•฀Retrouvez฀la฀liste฀complète฀des฀ressources documentaires à votre disposition

V
aオエ・オイウ@・エ@」ッョエイゥ「オエ・オイウ@Z@

mゥ」ィ・ャ@federighi
pッオイ@ャ 。イエゥ」ャ・@Z@slVRQP
eュュ。ョオ・ャ@garbolino
pッオイ@ャ 。イエゥ」ャ・@Z@seRPVU
oャゥカゥ・イ@grandamas
pッオイ@ャ 。イエゥ」ャ・@Z@seTPVR
fイ。ョ」ォ@guarnieri
pッオイ@ャ 。イエゥ」ャ・@Z@seRPVU
oャゥカゥ・イ@iddir
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPUU@ @seTPWU@ @seRPYP@ @seUPXP@ @seTPWW
yカ・ウ@mortureux
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPQP@ @seTPTP@ @seTPUP@ @agTVWP
pゥ・イイ・@perilhon
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPVP@ @seTPVQ
mゥ」ィ・ャ@royer
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPSP@ @seTPSQ@ @seTPSR
j・。ョMpゥ・イイ・@signoret
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPWP@ @seTPWQ@ @seTPWR@ @seTPWS
j。」アオ・ウ@valancogne
pッオイ@ャ 。イエゥ」ャ・@Z@seRURU
gゥャャ・ウ@zwingelstein
pッオイ@ャ・ウ@。イエゥ」ャ・ウ@Z@seTPPT@ @seTPPU@ @seTPPV@ @seTPPW

à Sur www.techniques-ingenieur.fr
•฀Saisissez฀la฀référence฀Internet฀pour฀accéder฀directement฀aux฀contenus฀en฀ligne
•฀Retrouvez฀la฀liste฀complète฀des฀ressources฀documentaires à votre disposition

VI
m←エィッ、・ウ@、G。ョ。ャケウ・@、・ウ@イゥウアオ・ウ
r←ヲN@iョエ・イョ・エ@TRQUU

SOMMAIRE
@ @r←ヲN@iョエ・イョ・エ ー。ァ・

aョ。ャケウ・@ーイ←ャゥュゥョ。ゥイ・@、・@イゥウアオ・ウ @ seTPQP Y

hazop@Z@オョ・@ュ←エィッ、・@、G。ョ。ャケウ・@、・ウ@イゥウアオ・ウN@pイ←ウ・ョエ。エゥッョ@・エ@」ッョエ・クエ・ @ seTPSP QQ

hazop@Z@オョ・@ュ←エィッ、・@、G。ョ。ャケウ・@、・ウ@イゥウアオ・ウN@pイゥョ」ゥー・ @ seTPSQ QU

hazop@Z@オョ・@ュ←エィッ、・@、G。ョ。ャケウ・@、・ウ@イゥウアオ・ウN@mゥウ・@・ョ@ッ・オカイ・ @ seTPSR RQ

amde@HcI @ seTPTP RS

aイ「イ・ウ@、・@、←ヲ。ゥャャ。ョ」・L@、・ウ@」。オウ・ウ@・エ@、G←カ←ョ・ュ・ョエ @ seTPUP RW

l・@ョッ・オ、@ー。ーゥャャッョ@Z@オョ・@ュ←エィッ、・@、・@アオ。ョエゥヲゥ」。エゥッョ@、オ@イゥウアオ・ @ seTPUU SS

mosarN@pイ←ウ・ョエ。エゥッョ@、・@ャ。@ュ←エィッ、・ @ seTPVP SY

mosarN@c。ウ@ゥョ、オウエイゥ・ャ @ seTPVQ TS

aョ。ャケウ・@、・ウ@イゥウアオ・ウ@、・ウ@ウケウエ│ュ・ウ@、ケョ。ュゥアオ・ウ@Z@ーイ←ャゥュゥョ。ゥイ・ウ @ seTPWP TY

m←エィッ、・@madsMmosarN@pッオイ@・ョ@ヲ。カッイゥウ・イ@ャ。@ュゥウ・@・ョ@ッ・オカイ・ @ seTPVR UQ

aョ。ャケウ・@、・ウ@イゥウアオ・ウ@、・ウ@ウケウエ│ュ・ウ@、ケョ。ュゥアオ・ウ@Z@。ーーイッ」ィ・@ュ。イォッカゥ・ョョ・ @ seTPWQ UU

aョ。ャケウ・@、・ウ@イゥウアオ・ウ@、・ウ@ウケウエ│ュ・ウ@、ケョ。ュゥアオ・ウ@Z@イ←ウ・。オク@、・@p・エイゥN@pイゥョ」ゥー・ウ @ seTPWR VQ

aョ。ャケウ・@、・ウ@イゥウアオ・ウ@、・ウ@ウケウエ│ュ・ウ@、ケョ。ュゥアオ・ウ@Z@イ←ウ・。オク@、・@p・エイゥN@eク・ューャ・ウ@、・ @ seTPWS VU
ュッ、←ャゥウ。エゥッョ

l。@ュ←エィッ、・@lopa@Z@ーイゥョ」ゥー・@・エ@・ク・ューャ・@、G。ーーャゥ」。エゥッョ @ seTPWU VY

m←エィッ、・@pds @ seTPWW WW

m←エィッ、・@haccpM@aーーイッ」ィ・@ーイ。ァュ。エゥアオ・ @ slVRQP XQ

l。@ウイ・エ←@、・@ヲッョ」エゥッョョ・ュ・ョエ@Z@ュ←エィッ、・ウ@ーッオイ@ュ。○エイゥウ・イ@ャ・ウ@イゥウアオ・ウ @ agTVWP XU

m・ウオイ・ウ@、・@ュ。○エイゥウ・@、・ウ@イゥウアオ・ウ@ゥョウエイオュ・ョエ←・ウ@HmmriIN@￉エ。エ@コ←イッ@・エ@ヲゥ」ィ・@、・@カゥ・ @ seRPYP XY

pッョ、←イ。エゥッョ@、・ウ@ヲイ←アオ・ョ」・ウ@、・@ヲオゥエ・@、。ョウ@ャ・@」。、イ・@、・ウ@。ョ。ャケウ・ウ@、・@イゥウアオ・ウ@ゥョ、オウエイゥ・ャウ @ seUPXP YU

￉カ。ャオ。エゥッョ@、・@ャ。@」イゥエゥ」ゥエ←@、・ウ@←アオゥー・ュ・ョエウN@m←エィッ、・ウ@、G・クーャッゥエ。エゥッョ@、・ウ@ェオァ・ュ・ョエウ @ seTPPT QPS


、G・クー・イエウ

￉カ。ャオ。エゥッョ@、・@ャ。@」イゥエゥ」ゥエ←@、・ウ@←アオゥー・ュ・ョエウN@m←エィッ、・ウ@。ョ。ャケエゥアオ・ウ @ seTPPU QPY

 Sur www.techniques-ingenieur.fr
•฀Saisissez฀la฀référence฀Internet฀pour฀accéder฀directement฀aux฀contenus฀en฀ligne
•฀Retrouvez฀la฀liste฀complète฀des฀ressources฀documentaires à votre disposition

VII
m←エィッ、・ウ@、G←カ。ャオ。エゥッョ@、・@ャ。@」イゥエゥ」ゥエ←@、・ウ@←アオゥー・ュ・ョエウN@m←エイゥアオ・ウ@・エ@ゥョ、ゥ」。エ・オイウ@、・ @ seTPPV QQW
ー・イヲッイュ。ョ」・

￉カ。ャオ。エゥッョ@、・@ャ。@」イゥエゥ」ゥエ←@、・ウ@←アオゥー・ュ・ョエウN@m←エィッ、ッャッァゥ・@ァャッ「。ャ・ @ seTPPW QRS

pイッエ・」エゥッョ@、・ウ@ゥョヲイ。ウエイオ」エオイ・ウ@」イゥエゥアオ・ウ @ reQTV QRY

l。@ュ←エィッ、・@b@ーッオイ@ャ。@ウー←」ゥヲゥ」。エゥッョ@・エ@ャ。@イ←。ャゥウ。エゥッョ@、・@ャッァゥ」ゥ・ャウ@・エ@、・@ウケウエ│ュ・ウ@」イゥエゥアオ・ウ @ seRURU QSQ


ーイッオカ←ウ

cッョ」・ーエ@、・@、←ヲ・ョウ・@・ョ@ーイッヲッョ、・オイ@Z@」ッョエイゥ「オエゥッョ@¢@ャ。@ウ←」オイゥエ←@、・ウ@icpe @ seRPVU QSW


r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP

Analyse préliminaire de risques

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert Sûreté de fonctionnement à la direction Déléguée Système d’exploitation
et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de fonctionnement

1. Objectifs de la démarche APR.............................................................. SE 4 010 - 2


1.1 Identification des événements redoutés.................................................... — 2
1.2 Évaluation des risques ................................................................................ — 3
1.3 Proposition de couverture des risques ...................................................... — 3
2. Usages de la démarche APR ................................................................. — 3
3. Divers acteurs et leurs relations à l’APR........................................... — 4
3.1 Acteurs ......................................................................................................... — 4
3.2 Autorité......................................................................................................... — 4
3.3 Maître d’ouvrage ......................................................................................... — 5
3.4 Organisme évaluateur................................................................................. — 5
3.5 Maître d’œuvre ............................................................................................ — 6
3.6 Exploitant ..................................................................................................... — 6
3.7 Mainteneur ................................................................................................... — 6
3.8 Organisme de contrôle................................................................................ — 6
3.9 Sous-traitants............................................................................................... — 7
4. Méthodes de la démarche APR ............................................................ — 7
5. Méthode APR............................................................................................. — 7
5.1 Présentation ................................................................................................. — 7
5.2 Typologies. Listes ........................................................................................ — 8
5.3 Fréquence et gravité.................................................................................... — 9
Bibliographie ...................................................................................................... — 10

’analyse préliminaire de risques (APR) est une démarche, un processus dont


L l’objectif est d’évaluer les problèmes à résoudre en matière de maîtrise des
risques. La méthode APR est dédiée à cette démarche.
Cette démarche peut prendre des formes très différentes dans sa mise en
œuvre suivant le domaine technique ou la filière industrielle considérés. Dans
bien des cas une analyse préliminaire de risques met en œuvre des méthodes
plus connues dans les phases ultérieures de l’analyse de risques comme l’arbre
de défaillance (cf. article [SE 4 050]), l’AMDE(C) (analyse des modes de
défaillance, de leurs effets et de leurs criticités, cf. article La sûreté de
fonctionnement : méthodes pour maîtriser les risques [AG 4 670] dans le traité
L’entreprise industrielle) ou des blocs-diagrammes de fiabilité, etc. Mais une
méthode particulière a aussi été développée pour cette phase initiale d’analyse
préliminaire de risques. On parle alors de méthode APR. La confusion des
termes est totale, la confusion des notions est à éviter : disons qu’une démarche
APR ne se fait pas forcément avec la méthode APR.
La première partie de l’article (§ 1, 2, 3, 4) sera consacrée à la démarche : les
objectifs, le processus, la pertinence de l’analyse préliminaire de risques. La
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPR

seconde partie (§ 5) sera consacrée à la méthode : la méthode APR, particuliè-


rement adaptée à la conduite d’une démarche d’analyse préliminaire de risques.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques SE 4 010 − 1


r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPQP

ANALYSE PRÉLIMINAIRE DE RISQUES ______________________________________________________________________________________________________

L’analyse préliminaire de risques est essentielle et très structurante, surtout


en matière de sécurité, pour tout projet innovant, qu’il s’agisse de modifications
de systèmes connus ou de nouveaux systèmes.
Comme son nom le suggère, l’APR est une démarche qui commence dès
qu’une démarche de maîtrise des risques apparaît nécessaire dans un projet
avant qu’il soit question de méthodes d’évaluations de risques (AMDE, AMDEC,
arbres de défaillance et autres...). Le gros de cette démarche se déroule au début
du projet et peut inclure l’utilisation de méthodes comme les arbres de
défaillance. Ensuite l’APR accompagne toute la vie du projet et peut être révisée
et complétée au fur et à mesure que le projet se précise, les méthodes comme
l’arbre de défaillance étant utilisées au cours des études précises et détaillées
que la maîtrise des risques du projet va nécessiter. La démarche d’APR est très
utilisée dans les domaines où les préoccupations de sécurité sont les plus pré-
sentes comme les transports et la chimie.

Le lecteur se reportera utilement aux articles du même traité :


— La sûreté de fonctionnement : méthodes pour maîtriser les risques [AG 4 670] ;
— Arbres de défaillance, des causes et d’événement [SE 4 050].

1. Objectifs de la démarche APR divers sous-projets susciteront des démarches APR partielles dont
les démarrages peuvent être postérieurs non seulement à celui de
l’APR globale mais même à des analyses détaillées entreprises
dans d’autres sous-projets plus avancés du même projet.
La démarche APR peut prendre des formes extrêmement
diverses. Néanmoins, sous des apparences variées, on retrouve
systématiquement trois phases qui sont aussi trois objectifs :
— identification des dangers, des événements redoutés à 1.1 Identification des événements redoutés
prendre en compte (§ 1.1) ;
— évaluation et classement des risques associés ; Cette première phase de la démarche APR consiste à identifier
— propositions des mesures de couverture des risques. quels accidents peuvent arriver et comment.
Ici l’exhaustivité est un objectif essentiel. La valeur d’une démar-
che APR dépend directement de la confiance que l’on peut placer
Globalement, on peut dire que l’objectif général d’une démarche dans le fait de n’avoir « oublié » aucun scénario d’accident. Par
APR est d’évaluer les problèmes à résoudre en matière de maîtrise contre, à ce stade, il est normal de ne pas pouvoir être très précis
des risques. Une APR doit permettre : sur ces scénarios et de ne pas pouvoir distinguer des scénarios
— de se rendre compte si le projet pourrait devoir être aban- vraisemblables, d’autres, théoriquement possibles, mais qui se
donné parce que certains risques inacceptables se révèleraient révèleront ensuite invraisemblables.
irréductibles ; En effet, le but est d’identifier les événements redoutés à pren-
— de dimensionner a priori les efforts d’études et de réduction dre en considération. Toutes les informations disponibles (connais-
de risques ; sance a priori d’événements redoutés mais aussi modes de
— de localiser les domaines du système qui demanderont le plus défaillance des composants du système, potentiel d’énergie des
d’efforts et donc, les compétences requises en matière de maîtrise composants du système, etc.) doivent être exploitées. À partir de
des risques. ces informations on se pose la question des scénarios qui peuvent
Inversement la démarche APR permet d’anticiper sur la nature se développer à partir des phénomènes évoqués et on recense
des faiblesses en sûreté de fonctionnement et les limites des per- donc les événements (redoutés) sur lesquels ces scénarios pour-
formances sûreté de fonctionnement qu’il est raisonnable de vou- raient déboucher.
loir atteindre. Rappel : le risque est un triplet (événement redouté, fréquence, gravité). Identifier, recen-
ser des risques, c’est donc identifier des événements redoutés ; évaluer les risques consiste
En poursuivant l’objectif essentiel de repérer les difficultés et les à leur associer fréquence et gravité (ou criticité) (cf. [AG 4670]). On peut connaître a priori
efforts les plus importants de réduction de risque et de démons- les événements redoutés à envisager mais il est aussi courant que l’on connaisse mieux les
sources de danger et que l’on doive en déduire les scénarios puis les accidents à craindre.
tration de la sûreté de fonctionnement, une démarche APR bien
menée contribue de façon décisive à la maîtrise des risques Cette recherche s’appuie naturellement avant tout sur les spéci-
« projet », c’est-à-dire à la maîtrise des coûts, des délais du projet fications fonctionnelles, car au stade initial les solutions ne sont
en lien avec l’atteinte des objectifs de performance du produit ou pas encore choisies. La démarche peut être menée de façon
du service. En particulier, la démarche APR doit permettre très tôt systématique sur les fonctions du système. Néanmoins, en matière
de construire une vision commune et un accord entre les parties de sécurité, il faut prendre en compte les dangers créés par les
concernées par le projet sur les mesures à prendre pour assurer la techniques choisies indépendamment des exigences fonctionnel-
sûreté de fonctionnement requise et les rôles de chacun dans ces les (notamment en chimie) dans le cadre de la méthode HAZOP).
efforts. Pour réaliser une même fonction, une solution électrique amène à se
Si la démarche APR est unique par son esprit, chacun la conduit poser la question du risque d’électrocution, une solution pneumatique
à son niveau en fonction des risques qui le concernent. Si une celle du risque d’explosion par surpression, tout cela indépendamment
démarche APR globale peut démarrer dès les origines d’un projet, des risques liés à l’échec total ou partiel de la fonction.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 010 − 2 © Techniques de l’Ingénieur, CD-Rom Sécurité et gestion des risques

QP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

HAZOP : une méthode d’analyse


des risques
Présentation et contexte

par Michel ROYER


Ingénieur chimiste

1. Présentation............................................................................................... SE 4 030 - 2
2. Définition, objectifs et domaines d’applications ............................ — 2
2.1 Définition et objectifs ................................................................................... — 2
2.2 Notions de base ........................................................................................... — 3
2.2.1 Définition du danger et de corollaires ............................................... — 3
2.2.2 Définition de l’accident et de ses corollaires .................................... — 4
2.2.3 Définition du risq ue et de ses corollaires.......................................... — 4
2.3 Domaines d’application de la méthode ..................................................... — 7
2.3.1 Secteurs d’activité............................................................................... — 7
2.3.2 Comparaison avec les autres méthodes d’analyse de risque ......... — 8
2.4 Limites de la méthode ................................................................................. — 8
2.4.1 Consommatrice de temps .................................................................. — 8
2.4.2 Qualitative ou non............................................................................... — 10
2.4.3 Exigeante ............................................................................................. — 10
2.5 Points forts.................................................................................................... — 10
2.5.1 Principe simple.................................................................................... — 10
2.5.2 Méthode systématique ....................................................................... — 10
2.5.3 Méthode pluridisciplinaire ................................................................. — 10
2.5.4 Large domaine applicatif .................................................................... — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033

a méthode HAZOP est un outil formalisé, systémique et semi-empirique


L utilisé et développé depuis quarante ans pour analyser les risques poten-
tiels associés à l’exploitation d’une installation industrielle.
Inventée en 1965 en Grande-Bretagne par la société ICI (I mperial chemical
industries), elle était conçue comme une technique et s’adressait particuliè-
rement à la phase d’ingénierie de détail de nouvelles installations chimiques
ou pétrochimiques. Elle innovait par rapport aux pratiques des codes de
construction et des revues sécurité sur schémas employées à l’époque par les
sociétés d’ingénierie, toutes basées sur l’analyse d’évènements passés. Son
originalité résidait dans son approche a priori des dangers et des dysfonction-
nements d’une installation par l’étude systématique des déviations des
paramètres gouvernant le procédé à analyser.
Cette technique s’est développée hors des limites de la société ICI, au sein de
l’industrie chimique et pétrochimique après l’explosion catastrophique, en 1974,
d’un nuage de 40 tonnes de cyclohexane à Flixborough en Grande-Bretagne qui
fit 28 morts et 89 blessés. De simple technique, la méthode HAZOP est devenue
une pratique d’identification des dangers et des problèmes d’exploitabilité,
adoptée par de nombreuses industries « à risques », en particulier, l’industrie
p。イオエゥッョ@Z@。カイゥャ@RPPY

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 030 –1

QQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

pétrolière caractérisée par des dangers similaires à ceux de l’industrie chimique


ou pétrochimique, mais aussi dans des industries où les dangers sont d’une
autre nature, comme ceux rencontrés dans le nucléaire, l’alimentaire et les
transports.
La méthode HAZOP est abordée en trois parties :
– ce premier article [SE 4 030] est consacré aux définitions, objectifs et
domaines d’application ;
– le deuxième, [SE 4 031] en présente le principe ;
– le troisième, [SE 4 032] est consacré à la mise en œuvre et à l’illustration
de cette méthode.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].

• L’analyse des déviations fait l’objet d’un enregistrement sous


1. Présentation forme de tableaux des déviations, base indispensable pour la mise
en place ultérieure des actions recommandées par le groupe de
La gestion des risques est une exigence incontournable dans nos travail.
sociétés industrielles modernes pour lesquelles l’accident majeur
est devenu inacceptable. En entreprise, l’importance de la sécurité ■ Dans le cas de risques majeurs, la réglementation des sites
n’est plus à démontrer. Le moyen le mieux adapté pour maîtriser industriels classés SEVESO impose une évaluation du risque. La
les risques d’accident est la sûreté de fonctionnement (SdF), méthode HAZOP conventionnelle, telle que décrite plus haut,
laquelle est un ensemble de méthodes et de concepts ([1] [2]). comporte alors une estimation a priori de la probabilité d’appari-
tion des déviations et de la gravité de leurs conséquences. On
La méthode H AZO P(Haz ard and operability studies) s’inscrit obtient une estimation semi-quantitative du risque, se poursuivant
dans la SdF en proposant une démarche d’amélioration de la par une évaluation permettant de définir l’acceptabilité ou non du
sécurité et des procédés d’un système (installation industrielle risque. On qualifie alors la méthode HAZOP de « probabiliste » par
en projet ou existante). rapport à l’approche originelle qualifiée de « déterministe ».
Elle est traduite en français dans la norme CEI 61882 (voir
[Doc. SE 4 033]). La méthode HAZOP est aujourd’hui, parmi la soixantaine de
méthodes d’analyses de risques existantes, l’une des plus pra-
C’est un examen structuré, en profondeur, rigoureux, systéma- tiquées dans le monde.
tique, participatif, de type inductif, d’identification des dangers et Les autres méthodes, parmi les plus utilisées, sont :
des dysfonctionnements d’un système, mais qui ne propose pas de – l’Analyse préliminaire de risques (APR) [3] ;
solution. Pour ce faire, le système « siège du danger » est modélisé – l’Analyse des modes de défaillance, de leurs effets
et analysé pour définir comment son fonctionnement peut conduire (AMDE), et de leur criticité (AMDEC) [1] [4] ;
à des dérives par rapport à l’intention de son concepteur. – l’Arbres de défaillances (AdD) [1] [5] ;
■ La méthode est particulièrement adaptée aux systèmes – la What-if.
complexes de type thermo-hydrauliques, rencontrés sur des sites
industriels mettant en jeu des produits ou/et des procédés dange-
Certaines de ces méthodes peuvent être complémentaires (l’APR
reux, et entraînant des conséquences immédiates graves pour le
se situe avant l’HAZOP), ou en concurrence entre elles. Un choix
personnel, la population, les biens et l’environnement. Son
des méthodes s’impose donc avant de lancer une étude HAZOP.
domaine d’application comprend les procédés et les processus
dans des secteurs aussi divers que la chimie, la pétrochimie (son
application originelle), le pétrole, l’hydraulique, le nucléaire,
l’industrie alimentaire et les transports.
■ Sa mise en œuvre nécessite la constitution d’un groupe de tra-
2. Définition, objectifs
vail rassemblant autour d’un animateur, garant de la méthode, une
équipe pluridisciplinaire ayant une connaissance approfondie de
et domaines d’application
l’installation décrite sur des plans détaillés. La méthode consiste à
décomposer le système considéré en sous-ensembles, appelés 2.1 Définition et objectifs
« nœuds », puis à l’aide de mots–clés, ou mots guides, spécifiques
à la méthode, faire varier les paramètres du système par rapport à ■ Définition
ses points de consignes, appelées « intentions du procédé ».
La société Chemetics International Ltd., dans son guide à l’intro-
• On obtient ainsi une déviation dont l’équipe examinera les
duction de la méthode HAZOP [10] retient la définition suivante.
causes possibles et en déduira leurs conséquences potentielles
pour l’ensemble du système, d’où l’emploi fréquent d’« analyse
des déviations » pour caractériser la méthode HAZOP. Méthode HAZOP : « ...application d’un examen critJ ue
L’équipe se concentre alors sur les déviations conduisant à des formel et systématique aux intentions du procédé et de l’ingé-
risques potentiels pour la sécurité des personnes, des biens et de nierie d’une installation neuve ou existante afin d’évaluer le
l’environnement. Elle examine et définit ensuite les actions potentiel de danger lié à la mauvaise utilisation, ou au mauvais
fonctionnement, d’éléments d’équipement et leurs effets sur
recommandées pour éliminer, en priorité, la cause et/ou éliminer
ou atténuer les conséquences. l’installation dans son ensemble... ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 030 – 2 est strictement interdite. – © Editions T.I.

QR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSP

________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

■ Objectifs ■ Dommage
L’objectif de la méthode HAZOP est, à l’origine, d’identifier les Le guide ISO/CEI 51 (voir [Doc. SE 4 033]) définit les notions de
dysfonctionnements de nature technique et opératoire dont dommage et de danger :
l’enchaînement peut conduire à des événements non souhaités. Il – dommage : blessure physique ou atteinte à la santé des
s’agit donc de déterminer, pour chaque sous-ensemble ou élément personnes, aux biens ou à l’environnement ;
d’un système bien défini, les conséquences d’un fonctionnement – la notion de danger a fait l’objet d’une définition plus spéci-
hors du domaine d’utilisation pour lequel ce système a été conçu. fique, dans la Directive SEVESO II concernant la maîtrise des dan-
• La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs gers liés aux accidents majeurs impliquant des substances
de la méthode HAZOP originelle, à savoir : dangereuses présentes dans les Installations classées pour la pro-
tection de l’environnement (ICPE) : danger : « ...propriété intrin-
– « ...identification des dangers potentiels dans le système. Le sèque d’une substance dangereuse ou d’une situation physique,
danger peut se limiter à la proximité immédiate du système ou de pouvoir provoquer des dommages pour la santé humaine et/ou
étendre ses effets bien au-delà, comme dans le cas des dangers l’environnement... ».
environnementaux... » ;
– « ...identification des problèmes potentiels d’exploitabilité Exemples : une falaise (situation physique), un flacon de lessive de
posés par le système et, en particulier, l’identification des causes, soude (substance dangereuse car corrosive) sont des dangers pour
des perturbations du fonctionnement et des déviations dans la l’homme (élément vulnérable) car ils peuvent provoquer des
production susceptibles d’entraîner la fabrication de produits non dommages (blessure en cas de chute depuis le bord de la falaise, brû-
conformes... ». lure grave dans le cas d’un contact du corps avec la lessive de
soude).
• Avec l’apparition de la Directive SEVESO II et des nouvelles
exigences du ministère de l’Écologie et du développement durable Sont rattachées à la notion de « danger » les caractéristiques
(MEDD) en matière de prévention des risques industriels, la suivantes :
méthode HAZOP originelle s’avère insuffisante pour l’analyse des
– les propriétés inhérentes à une substance ou une préparation :
risques majeurs. Il faut lui adjoindre une phase d’évaluation du ris-
inflammabilité, toxicité... ;
que. C’est ainsi que, de purement qualitative, la méthode HAZOP
devient semi-quantitative, contribuant ainsi à améliorer la – l’énergie disponible dans le système : pneumatique, poten-
connaissance du risque et, de ce fait, la sécurité des installations. tielle...

• Les raisons qui vont conduire à engager une étude HAZOP sur On pourra résumer la notion de danger en indiquant qu’il est
une installation industrielle peuvent répondre à de multiples objec- une caractéristique d’un système, d’une machine, d’un atelier,
tifs qui sont en fait des exigences : d’un procédé, d’une situation, ayant un certain potentiel à cau-
– satisfaire aux exigences de la politique « Hygiène-sécurité- ser des atteintes aux personnes, aux biens, à l’environnement.
environnement » (HSE) de l’entreprise propriétaire de l’instal- Nous ajouterons qu’un danger est vérifiable et quantifiable.
lation ;
– satisfaire aux exigences de l’Administration, représentée, en
particulier, par les Directions régionales de l’Industrie, de la On observera que de nombreuses substances ou préparations
recherche et de l’environnement (DRIRE) : assurer la conformité non dangereuses peuvent le devenir lorsqu’elles se trouvent dans
avec la réglementation des Installations classées pour la protection d’autres conditions.
de l’environnement (ICPE), les codes du travail et de l’environ-
Exemple : l’eau à la chaleur ambiante ne constitue pas un danger
nement, la Directive SEVESO ;
alors que, portée dès 6 0oC, elle le dev
ient.
– établir les plans d’urgence : Plan d’opération interne (POI) pour
les installations industrielles, Plan d’urgence interne (PUI) pour les À cette notion de danger peuvent être associées les notions de :
installations nucléaires, tous deux établis sous la responsabilité de potentiel de danger, phénomène dangereux, et situation de dan-
l’exploitant, et le Plan particulier d’intervention (PPI) et le Plan de ger.
prévention des risques technologiques (PPRT) établis sous l’auto-
rité du Préfet ; ■ Potentiel de danger
– renforcer la confiance des parties prenantes (stakeholders ) : La définition du potentiel de danger retenue par le MEDD est :
populations, personnels, dirigeants, actionnaires, clients ; « ...système (naturel ou créé par l’homme) ou disposition adoptée
– satisfaire aux exigences des assureurs qui vont devoir couvrir et comportant un (ou plusieurs) danger(s) ». Dans le domaine des
financièrement le risque résiduel. risques technologiques, un « potentiel de danger » correspond à
un ensemble technique nécessaire au fonctionnement du proces-
sus envisagé. Il est aussi appelé source de danger ou élément
2.2 Notions de base porteur de danger ou élément dangereux... ».
Exemple : un flacon contenant de la lessive de soude (système)
2.2.1 Définition du danger et de ses corollaires constitue un potentiel de danger lié à la corrosivité de la substance
pour le corps humain.
■ Danger
Il existe plusieurs définitions de la notion de danger (hazard). La ■ Phénomène dangereux
plus récente émane du MEDD qui a publié, en octobre 2005, un La définition du phénomène dangereux retenue par le MEDD
« Glossaire technique des risques technologiques » [11] avec les est : « ...libération d’énergie ou de substance produisant des effets
termes suivants : au sens de l’arrêté du 29 septembre 2005 susceptible d’infliger un
– danger : « propriété intrinsèque à une substance (élément ou dommage à des cibles vivantes ou matérielles sans préjuger l’exis-
composé chimique), à un système technique (mise sous pression tence de ces dernières... ».
d’un gaz), à une disposition (élévation d’une charge...), à un orga-
nisme (microbes), etc., de nature à entraîner un dommage sur un ■ Situation de danger
« élément vulnérable » ; La définition d’une situation retenue par l’INERIS est :
– élément vulnérable : personne, bien et environnement. Un élé- « ...situation, si elle n’est pas maîtrisée, peut conduire à l’expo-
ment vulnérable est aussi appelé « cible ». sition de cibles à un ou plusieurs phénomènes dangereux... ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 030 – 3

QS
QT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : une méthode d’analyse


des risques
Principe
par Michel ROYER
Ingénieur chimiste

1. Analyse du système ................................................................................. SE 4 031 - 2


1.1 Objectifs de l’analyse................................................................................... — 2
1.2 Définition du système .................................................................................. — 2
2. Paramètres et mots-clés......................................................................... — 3
2.1 Paramètres.................................................................................................... — 3
2.2 Mots-clés ou mots guides ........................................................................... — 3
2.3 Déviations ..................................................................................................... — 3
3. Étude des déviations ............................................................................... — 5
3.1 Logigramme de l’étude ............................................................................... — 5
3.2 Causes des déviations ................................................................................. — 5
3.3 Conséquences des déviations..................................................................... — 7
3.4 Exemples de déviations, causes et conséquences.................................... — 7
4. Estimation et évaluation du risque ..................................................... — 8
4.1 Probabilité d’occurrence.............................................................................. — 8
4.2 Gravité des conséquences .......................................................................... — 10
4.3 Niveaux de risque ........................................................................................ — 13
4.4 Évaluation du risque .................................................................................... — 16
5. Détection et barrières de sécurité....................................................... — 16
5.1 Détection ....................................................................................................... — 16
5.2 Barrières de sécurité .................................................................................... — 16
Pour en savoir plus ........................................................................................... Doc. SE 4 033

a méthode HAZOP (Hazard and operability studies) consiste à décomposer


L un système donné en sous-ensembles appelés « nœuds » puis, à l’aide de
mots-clés ou mots guides spécifiques (voir [SE 4 030]) et à faire varier les para-
mètres du système étudié par rapport à ses points de consignes appelés
« intentions du procédé ». Les déviations ainsi obtenues sont examinées par
une équipe pluridisciplinaire dédiée (voir [SE 4 032]) afin d’en déduire leurs
conséquences potentielles pour l’ensemble du système et de déterminer celles
conduisant à des risques potentiels pour la sécurité des personnes, des biens
et de l’environnement. Le groupe de travail examine et définit ensuite les
actions recommandées pour éliminer en priorité la cause ou atténuer, voire
éliminer les conséquences. L’analyse des déviations fait l’objet d’un enregis-
trement sous forme de tableaux, base indispensable pour la mise en place
ultérieure des actions recommandées par le groupe de travail.
Dans cet article, nous aborderons donc l’analyse du système, la détermina-
tion des paramètres, le choix des mots- clés et l’étude des déviations.
Après avoir présenté la méthode HAZOP et ses domaines d’application dans
l’article [SE 4 030], le principe en est donc ici donné avec les différents points à
prendre en compte.
Par la suite dans [SE 4 032], nous verrons comment cette méthode peut être
appliquée. Les références bibliographiques ici citées sont consultables dans la
p。イオエゥッョ@Z@。カイゥャ@RPPY

fiche documentaire [Doc. SE 4 033].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 1

QU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

La modélisation la mieux adaptée pour l’analyse de risque par la


1. Analyse du système méthode HAZOP est le schéma détaillé de circulation des produits
tels que présents dans l’installation considérée, d’où l’emploi fré-
1.1 Objectifs de l’analyse quent « d’analyse sécurité sur schémas ». Ce type de schéma dit
« PID », très répandu dans l’industrie chimique et pétrochimique,
L’analyse du système a pour objectif le maintien de ses perfor- comprend une représentation graphique de l’ensemble des appa-
mances dans le temps, dans les conditions de sa conception et au reils et équipements, des tuyauteries les reliant entre eux (flux pro-
moindre coût. Pour cela, il convient, comme pour toute étude de cédés, mais aussi utilités), ainsi que la totalité de l’instrumentation.
SdF, de procéder à une modélisation du comportement fonction- Le PID est, par définition, plus complet que le schéma dit « PFD »
nel et dysfonctionnel du système, puis à évaluer ses performances. qui se limite à la représentation des flux procédés et à l’instrumen-
tation de base.

La sécurité des processus industriels dépend de l’interaction, La modélisation d’une installation industrielle peut requérir plu-
du contrôle et de la maîtrise permanente de trois variables sieurs dizaines de PID. À partir d’un PID, il convient alors de le frac-
essentielles : le produit, le procédé et le facteur humain. tionner en « nœuds » dont on donnera la définition suivante pour
une installation : sous ensemble ou élément spécifique réalisant
une fonction dans le procédé.

1.2 Définition du système Exemple : un équipement (réacteur, réservoir ou pompe) avec ses
connexions (tuyauteries) et son instrumentation réalise une fonction
1.2.1 Notion de système (réaction, stockage ou transfert).

La notion de système fait l’objet de la définition suivante [1] : Le tableau 1 présente une liste de seize équipements issus du
« ...ensemble de matériels, de logiciels, d’hommes, organisé pour projet européen ARAMIS [18] qui peuvent constituer autant de
assurer des fonctions données dans des conditions données... ». nœuds.
Le système est constitué de l’ensemble du processus industriel, Dans un nœud, le comportement fonctionnel du procédé doit
de l’acheminement des produits à leur transformation, en passant être clairement défini, ce que la méthode HAZOP qualifie
par les conditions de stockage. d’« intention » du procédé et qui peut se définir simplement ainsi :
« ...description de la façon dont le procédé doit se comporter dans
Exemples : un site ou une installation (le plus souvent de type le nœud... ».
industriel), un équipement, sont parmi les systèmes le plus souvent
considérés pour les études HAZOP. La norme ISO/CEI 61882 (voir [Doc. SE 4 033]) retient une défini-
tion plus précise en se référant au concepteur de l’installation :
« ...façon dont les éléments et les caractéristues doivent se
1.2.2 Périmètre du système comporter pour être conformes aux désirs du concepteur ou à une
plage spécifiée... ».
La première des actions à engager dans une étude HAZOP est
de fixer le périmètre du système à étudier. Les enjeux et les
moyens humains à mettre en œuvre sont différents selon que l’on
s’adresse à un site, une installation, ou un équipement. Tableau 1 – C lasses d’équipements
selon le projet européen ARAMIS (d’après [18])
1.2.3 Modélisation du système Classes
Équipements
« nœuds »
La deuxième action consiste à modéliser le système. Une instal-
lation industrielle peut être modélisée comme un ensemble EQ1 Silo de stockage de solides
composé essentiellement de matériels (M1, M2...) et d’opérateurs
(O1, O2...) en interaction entre eux et avec l’environnement comme EQ2 Stockage de solides en petits emballages
le présente la figure 1 [8]. EQ3 Stockage de fluides en petits emballages
On entend par matériels et opérateurs les éléments suivants : EQ4 Réservoir sous pression
– matériels : bâtiments, stockages, machines, appareils, équipe- EQ5 Réservoir de liquide stocké à une pression
ments ; supérieure à la pression de saturation
– opérateurs : tous les acteurs de l’installation, de la direction par inertage
aux exécutants.
EQ6 Réservoir atmosphérique
EQ7 Réservoir cryogénique
EQ8 Équipement de transport sous pression
EQ9 Équipement de transport atmosphérique
EQ10 Tuyauterie
EQ11 Réservoir intermédiaire intégré dans un procédé
EQ12 Équipement impliquant des réactions chimiques
EQ13 Équipement dédié aux séparations physiques
et chimiques des substances
EQ14 Équipement de production et de fourniture
d’énergie
EQ15 Équipement pour emballage
Figure 1 – Exemple de modélisation d’une installation industrielle EQ16 Autres équipements

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 031 – 2 est strictement interdite. – © Editions T.I.

QV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

La norme entend par caractéristique « une propriété quantitative Depuis, se sont ajoutés quatre mots-clés relatifs aux notions de
ou qualitative d’un élément ». temps et de séquence :
L’intention concerne aussi bien le design (équipement) que la – plus tôt que (earlier than) ;
conduite (exploitation) de l’installation. – plus tard que (later than) ;
L’intention du procédé peut être une grandeur physique (T, P, – avant (before) ;
débit), ou une activité (phases de chargement d’un réactif, distilla- – après (later).
tion d’un produit). Soit un total aujourd’hui de onze mots-clés. La recherche
Le premier cas concerne plus particulièrement les procédés d’autres mots-clés est ouverte à l’imagination.
continus en fonctionnement normal où les paramètres sont fixés
par le procédé et le second cas les procédés discontinus ou 2.3 Déviations
semi-continus où les paramètres varient avec le temps et la
séquence. On intégrera dans ce dernier cas l’étude des phases 2.3.1 Définition
transitoires de démarrages et d’arrêts rencontrées dans les procé-
dés continus. La combinaison de mots-clés et de paramètres va constituer une
dérive, ou déviation, de ce paramètre :

MOT-CLÉ + PARAMÈTRE = DÉVIATION


2. Paramètres et mots-clés
La définition retenue pour la méthode HAZOP est : « ...écart par
2.1 Paramètres rapport aux intentions du design et de la conduite des
opérations... » [10].
La méthode HAZOP fait appel à des paramètres spécifiques qui
Exemple : le paramètre grandeur physique « température » appli-
s’expriment par de simples mots (noms ou verbes) caractéris-
qué au mot-clé « plus de » conduit à la déviation « plus de
tiques de l’intention de la conception et que l’on peut définir ainsi :
température », sous-entendu par rapport à l’intention du procédé,
« grandeur physiquement mesurable, action ou opération à
déviation qui s’exprimera plus clairement par « température haute ».
réaliser ». Le tableau 2 regroupe des listes de paramètres parmi
les plus fréquemment employés dans l’industrie des procédés. De la même façon, le paramètre opératoire « agitation » appliqué
au mot-clé « pas de » conduit à la déviation « pas d’agitation ».
On observera que l’homme est partie prenante dans les opé-
rations et les actions à réaliser. On conçoit donc aisément que On notera que l’état de référence du paramètre soumis à
son rôle dans la sécurité des installations soit déterminant. déviation dépend notamment de l’état du système considéré :
fonctionnement normal ou transitoire (démarrage, arrêt).

2.2 Mots-clés ou mots guides 2.3.2 Domaines d’application


Parallèlement, la méthode introduit un nombre limité (sept à Les déviations peuvent s’appliquer aux procédés continus
l’origine) de mots-clés appelés aussi « mots guides » et définis ori- (tableau 3), discontinus et semi-continus (tableau 4) et aux procé-
ginellement ainsi [10] : dés en développement (tableau 5). Ces tableaux, issus respective-
« ...simple mot ou courte phrase qualifiant l’intention en vue de ment des références [10] et [19], reprennent les mots-clés adaptés,
guider et de stimuler le processus créatif et ainsi de permettre la leur signification, ainsi que des exemples de déviations.
découverte de déviations... ». Toutes les combinaisons paramètres/mots-clés ne conduisent
Liste des sept mots-clés (keywords) : pas nécessairement à des déviations pertinentes.
– non ou pas de (no ou not) ; Exemple : le paramètre « température » appliqué au mot-clé « Pas
– plus de (more) ; de » conduit à la déviation « Pas de température », non pertinente
– moins de (less) ; hormis si l’on considère le zéro absolu !
– en plus de (as well as) ;
– en partie (part of) ; Le tableau 6 montre plus généralement les déviations pertinen-
– autre que (other than) ; tes notées X issues des onze mots-clés et de douze paramètres (six
– inverse (reverse). grandeurs physiques, trois opérations et trois actions à réaliser).

Tableau 2 – Exemples de paramètres de la méthode HAZOP


Grandeurs physiques
Opérations à réaliser Actions à réaliser Fonctions-situations
mesurables
Température pH Chargement Contrôle Démarrer Protection
Pression Intensité Dilution Séparation Échantillonner Fuite
Niveau Vitesse Chauffage Refroidissement Arrêter Défaut d’utilités
Débit Fréquence Agitation Transfert Isoler Gel
Concentration Quantité Mélange Maintenance Purger Séisme
Contamination Temps Réaction Corrosion Fermer Malveillance

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 3

QW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

Tableau 3 – Liste de mots-clés applicables aux procédés continus


Types de M ots-clés Signification des mots-clés
Exemples de déviations
déviations (Keywords) et commentaires
Pas de, Non, Plus du tout Aucune partie de l’intention n’est remplie, Pas de flux matière (débit nul), réacteur
Négative
(No, Not, None) mais il ne se passe rien. vide (niveau liquide nul).
Dépassement, ou augmentation,
Température de réaction supérieure à la
quantitatif.
Plus de valeur prévue, temps de séjour plus long
Se réfère aux quantités et aux propriétés (T,
(More than) que prévu, niveau liquide trop élevé,
P), mais aussi aux activités (chauffage, réac-
Modification augmentation du chauffage.
tion).
quantitative
Insuffisance ou diminution quantitative. Flux matière inférieur à la valeur prévue,
Moins de Se réfère aux quantités et aux propriétés (T, niveau trop bas dans un réacteur,
(Less than) P), mais aussi aux activités (chauffage, réac- composition plus faible qu’attendue,
tion). diminution du chauffage.
Accroissement qualitatif. Présence d’une impureté dans une matière
Aussi, Ailleurs, En plus de L’intention (design et opératoire) première ou dans un produit de réaction,
Modification (Also, As well as) est réalisée avec une activité additionnelle. orientation d’un produit vers un autre bac
qualitative Effet concomitant indésirable. de stockage que le sien (contamination).
En partie, en moins Diminution qualitative. Présence d’une phase aqueuse au stockage
(Part of) Une partie seulement de l’intention est réalisée. d’un des réactifs, entraînée en réaction.
Autre que Substitution complète. Fuite de produit par corrosion
(Other than) Résultat obtenu différent de celui de l’intention. de canalisation.

Substitution Résultat logiquement opposé à celui de l’inten-


Inversion de l’écoulement dans
Inverse, au contraire tion.
les canalisations, inversion des réactions
(Reverse) Se réfère principalement aux activités, mais
chimiques, antidote au lieu de poison.
aussi aux substances.

Tableau 4 – Liste de mots-clés spécifiques aux procédés discontinus et semi-continus


Types de Mots-clés,
Signification des mots-clés Exemples de déviations
déviations (Keywords)
Plus tôt que Événement se produisant avant l’heure (ou le Introduction des réactifs A et B réalisée
(Earlier than) moment) prévu par l’intention plus tôt que la mise en chauffe du réacteur
Temps
Plus tard que Événement se produisant après l’heure (ou le Introduction du catalyseur C dans
(Later than) moment) prévu par l’intention le réacteur après l’addition du solvant S
Avant Événement se produisant plus tôt que prévu Introduction du catalyseur C dans le
(Before) dans une séquence réacteur avant le démarrage de l’agitation
Ordre
Après Événement qui se produit plus tard que prévu
Introduction du réactif B avant le réactif A
(After) dans une séquence
Plus vite Durée d’introduction d’un des réactifs deux
Séquence plus rapide que l’intention
(Faster) fois plus rapide que prévue
Séquence
Plus lente Allongement de la durée de la vidange
Séquence plus lente que l’intention
(Slower) du réacteur en fin d’opération

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement


Types de Mots-clés
Signification des mots-clés Exemples de déviations
déviation (Keywords)
Pas de, Non, Plus du tout Aucune partie de l’intention n’est
Négative Élimination d’un solvant ou d’un catalyseur
(No, Not) remplie
Augmentation de la température de réaction
Plus de (More) Augmentation quantitative
Modification ou de la quantité d’un solvant
quantitative Réduction de la température ou de la quantité
Moins de (Less) Réduction quantitative
de solvant

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 031 – 4 est strictement interdite. – © Editions T.I.

QX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSQ

_________________________________________________________________________________________ HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES

Tableau 5 – Liste de mots-clés applicables aux procédés en cours de développement (suite)


Types de Mots-clés
Signification des mots-clés Exemples de déviations
déviation (Keywords)
Modification Autant que, Aussi, En Activité concomitante à celle de Présence d’une impureté contenue dans une matière
qualitative même temps (As well as) l’intention première, exécution d’une autre opération ou étape
Activité substituée à celle de Substitution d’une matière première ou d’un solvant
Autre que (Other than)
l’intention par une autre matière première ou un autre solvant
Substitution
Activité opposée à celle de Flux inverse de matière ou inversion de réaction
Inverse (Reverse)
l’intention chimique
Activité se produisant
Plus tôt que, Plus tard que
Temps au mauvais moment (avant Changement des enchaînements ou des séquences
(Earlier than, Later than)
ou après d’autres activités)

Tableau 6 – Exemple de matrice mots-clés/paramètres HAZOP


Mots-clés
Paramètres HAZOP Pas Plus Moins En Autre Plus Plus
Aussi Inverse Avant Après
de de de partie que tôt tard
Température X X X
Pression X X X
Grandeurs Niveau X X X X
physiques Débit X X X X X X X X X X X
Concentration X X X X X
Contamination X X X X X
Chargement X X X X X X X X X X
Opérations Agitation X X X X X X X X X X
Chauffage X X X X X X X X X X
Démarrer X X X X X X X
Actions Mesurer X X X X X X X
Arrêter X X X X X X X

3. Étude des déviations environnement. Cette approche est commune à de nombreuses


méthodes comme le montre le tableau 7.
Les causes des déviations sont les raisons ou problèmes pour
3.1 Logigramme de l’étude lesquels ces déviations ont lieu.
Cette phase de l’étude constitue le cœur de la méthode HAZOP. Le tableau 8 présente divers types de causes possibles de dévia-
Par un mécanisme itératif sur chacun des nœuds, l’association sys- tions, leur origine et des exemples.
tématique paramètres/mots-clés doit permettre de couvrir de
façon exhaustive toutes les dérives potentielles ou problèmes ima- On notera que les défaillances opérateur peuvent recouvrir de
ginables dans l’installation étudiée. Le logigramme de l’étude des nombreux aspects correspondant aux erreurs humaines. L’homme
déviations HAZOP est présenté à la figure 2. intervient comme événement initiateur d’accident, d’autant plus
qu’il est aussi responsable des défaillances de matériel.
Remarque. Il est possible de conduire l’analyse des déviations
en appliquant, à l’inverse, un mot-clé à chacun des paramètres. La cause fondamentale de ces défaillances humaines est liée
à une mauvaise gestion de la sécurité.

3.2 Causes des déviations


3.2.2 Recherche des causes de déviations
3.2.1 Définitions et origine
La recherche des causes de déviations de chaque paramètre
La méthode HAZOP d’analyse de risques procède selon une nécessite de se poser systématiquement la question suivante : que
démarche dite « inductive », partant de la cause de la déviation faut-il faire pour que le paramètre étudié soit différent de celui de
d’un paramètre afin d’identifier ses effets sur le système et son l’intention ?

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 031 – 5

QY
RP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR

HAZOP : une méthode d’analyse


des risques

par Michel ROYER


Ingénieur chimiste

1. Mise en œuvre de la méthode............................................................... SE 4 032 - 2


1.1 Documentation ............................................................................................. — 2
1.1.1 Documents relatifs aux produits........................................................ — 2
1.1.2 Documents relatifs au procédé .......................................................... — 2
1.1.3 Documents relatifs aux opérations.................................................... — 2
1.2 Acteurs .......................................................................................................... — 2
1.2.1 Mise en place du groupe de travail ................................................... — 2
1.2.2 Le chef de projet.................................................................................. — 3
1.2.3 L’animateur HAZOP ............................................................................ — 3
1.2.4 Les spécialistes techniques ................................................................ — 4
1.2.5 Autres fonctions .................................................................................. — 4
1.2.6 Règles de conduite de l’équipe .......................................................... — 4
1.3 Déroulement ................................................................................................. — 4
1.3.1 Préparation des sessions.................................................................... — 4
1.3.2 Sessions HAZOP ................................................................................. — 5
1.4 Délivrables .................................................................................................... — 7
1.4.1 Recommandations d’actions.............................................................. — 7
1.4.2 Documents de fin de session ............................................................. — 8
1.4.3 Document de fin d’études .................................................................. — 8
2. Illustration de la méthode...................................................................... — 8
3. C  .................................................................................................. — 10
Pour en savoir plus ........................................................................................... Doc. SE 4 033

omme nous l’indiquions dans le dossier [SE 4 030], la mise en œuvre de


C la méthode HAZOP (Hazard and operability studies) nécessite la
constitution d'un groupe de travail rassemblant autour d'un animateur, garant
de la méthode, une équipe pluridisciplinaire ayant une connaissance appro-
fondie de l’installation décrite sur des plans détaillés. Elle demande donc la
mobilisation d’une équipe pluridisciplinaire pendant de longues périodes, et la
collecte de nombreux documents pour modéliser l’installation [SE 4 031].
Dans ce troisième volet consacré à la mise en œuvre de la méthode HAZOP,
une présentation des différentes composantes de l’équipe de travail est faite
après avoir établi la liste des différents documents à réunir. Sont ensuite
abordés le déroulement des différentes réunions de travail et les documents
finaux à produire. Enfin, une courte illustration d’application est donnée.
Les références bibliographiques sont regroupées dans la fiche documentaire
[Doc. SE 4 033].
p。イオエゥッョ@Z@ェオゥャャ・エ@RPPY

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 032 – 1

RQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPSR

HAZOP : UNE MÉTHODE D’ANALYSE DES RISQUES ________________________________________________________________________________________

1. Mise en œuvre 1.2 Acteurs


de la méthode 1.2.1 Mise en place du groupe de travail
Exemple : cas d’un projet d’industrialisation
1.1 Documentation Pour un projet rendu au stade avancé correspondant aux phases
d’ingénierie de détail et de construction, l’entreprise (maître
d’ouvrage) doit mettre en place une organisation appropriée, du type
1.1.1 Documents relatifs aux produits de celle présentée par la figure 1 [9].

Le tableau 1 détaille les cinq thèmes majeurs à documenter,


ainsi que la nature des documents à collecter. Nombre de docu-
ments doivent être déjà disponibles si l’on a procédé préalable- Comité de Maître d'ouvrage Environnement
ment à une APR (Analyse préliminaire de risques). pilotage (entreprise) socio économique

Directeur de projet
1.1.2 Documents relatifs au procédé Représentant du
Maître d'ouvrage
Le tableau 2 détaille les thèmes à documenter, ainsi que la
Chef de projet
nature des documents à collecter. Exploitant
(maître d'oeuvre)
- société d'ingénierie Site d'accueil
- entrepreneurs Opérateurs
1.1.3 Documents relatifs aux opérations - spécialistes

Le tableau 3 détaille les thèmes à documenter, ainsi que la Figure 1 – Schéma de l’organisation à mettre en place pour mener
nature des documents à collecter. un projet d’industrialisation

Tableau 1 – Liste des documents à collecter relatifs aux produits pour une étude HAZOP
Thèmes à documenter Documents à collecter
Fiches produits* : propriétés physiques, chimiques
Matières premières, intermédiaires, thermodynamiques, inflammabilité, réactivité, instabilité,
Caractéristiques produits finis, sous-produits, impuretés, toxicité, écotoxicité, modes de stockage, indices Dow et
des produits et utilités auxiliaires (solvants, catalyseurs), utilités, CHETAH, PEM, critères NFPA, traitement et destruction
déchets, rejets liquides et gazeux des produits, réglementation (ICPE, transport.).
Document unique
Caractéristiques
Rejets, déchets chroniques et accidentels Études déchets
des déchets
Fiches réactions : équations chimiques, chaleurs de réaction
(exo ou endo-thermie), opérations (continues, discontinues,
semi-continues...), modes opératoires (état physique, quantités,
flux, T, P, compositions...), cinétique, risques associés
Caractéristiques Réactions principales, secondaires,
(explosion thermique, rejet de produit toxique...), dispositifs de
des réactions parasites
maîtrise des réactions, mesures de prévention des pannes et
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Fiches opérations : nature (distillation, filtration...), conditions
opératoires (état physique, quantités, flux, T, P, compositions,
phases...), risques associés (explosion physique, rejet de
Caractéristiques
Opérations de génie chimique produit toxique...), mesures de prévention des pannes et des
des séparations physiques
fausses manœuvres, moyens de collecte, traitement et
destruction des rejets potentiels de produits
dans l’environnement
Incompatibilités Matrice d’incompatibilité : risques associés à réaction,
Produit-produit, produit-matériau,
des produits, utilités et explosion, incendie, polymérisation, corrosion, échauffement,
produit-utilité, produit-auxiliaire
matériaux décomposition, précipitation...
Bilan matières : flux par flux, prévisionnel et cohérent
Flux matières et flux Bilan matières
(par analyse de chacun des flux), bilan thermique par nœud ou
thermiques Rejets dans l’environnement
opération
* On se procurera auprès des fournisseurs (fabricants, importateurs ou vendeurs) les fiches de données de sécurité (ou FDS (MSDS)) à
jour et, auprès de l’INRS, les fiches toxicologiques des produits (quand elles existent).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 032 – 2 est strictement interdite. – © Editions T.I.

RR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C)

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert en sûreté de fonctionnement à la Direction déléguée Système d’exploitation et
sécurité à la SNCF
Vice-président de l’Institut de sûreté de fonctionnement

1. Introduction............................................................................................... SE 4 040 – 2
2. Sens et pertinence de l’AMDE(C)......................................................... — 2
2.1 Principe de l’AMDE(C) ................................................................................. — 2
2.2 Utilité de l’AMDE(C) ..................................................................................... — 2
2.3 Conditions de réussite de l’AMDE(C) ......................................................... — 3
2.4 Place de l’AMDE(C) dans une démarche de maîtrise des risques ........... — 3
3. Réalisation d’une AMDE(C) ................................................................... — 4
3.1 Préparation à l’AMDE(C).............................................................................. — 4
3.2 Conduite de la méthode.............................................................................. — 5
3.2.1 Première étape : décomposition et modes de défaillance .............. — 5
3.2.2 Deuxième étape : effets et criticité .................................................... — 6
3.2.3 Le tableau AMDE(C) ........................................................................... — 6
3.2.4 Troisième étape : synthèse ................................................................ — 7
4. Exploitations de l’AMDE(C) ................................................................... — 7
4.1 Produits directs d’une AMDE(C)................................................................. — 7
4.1.1 Évaluation des défaillances................................................................ — 7
4.1.2 Actions correctives ............................................................................. — 7
4.1.3 Suivi des corrections .......................................................................... — 8
4.1.4 Constitution d’un dossier. Documents complémentaires du
tableau ................................................................................................. — 8
4.2 Impacts de l’AMDE(C).................................................................................. — 8
4.2.1 Conséquences à tirer des résultats d’une AMDE(C) ........................ — 8
4.2.2 Impacts sur la conception.................................................................. — 9
4.2.3 Validation de la conception ............................................................... — 9
4.2.4 Prescriptions d’exploitation ............................................................... — 9
4.2.5 Organisation de la maintenance ....................................................... — 9
4.2.6 Exploitation, maintenance et retour d’expérience........................... — 9
4.2.7 Communication .................................................................................. — 9
5. Recommandations sur le processus ................................................... — 10
5.1 Échanges entre l’analyste, le commanditaire et les experts .................... — 10
5.2 L’animation du groupe de travail................................................................ — 10
5.3 Pousser les limites de la méthode ............................................................. — 11
5.4 Soigner la synthèse ..................................................................................... — 11
6. Limites de l’AMDE(C) .............................................................................. — 11
6.1 Réputation d’exhaustivité de l’AMDE ........................................................ — 11
6.2 Domaines d’application .............................................................................. — 11
7. Conclusion ................................................................................................. — 12
Pour en savoir plus........................................................................................... Doc. SE 4 040

e texte a pour ambition de présenter la démarche et les méthodes AMDE


C
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPU

(analyse des modes de défaillance et de leurs effets)/AMDEC (analyse des


modes de défaillance, de leurs effets et de leur criticité), non pour faire double

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 1

RS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C) _____________________________________________________________________________________________________________________________

emploi avec les nombreux fascicules, articles, supports de formation ou chapitres


d’ouvrages consacrés à la qualité ou la sûreté de fonctionnement qui décrivent
l’AMDE(C). L’auteur a tenté de recueillir et de restituer la riche expérience de plu-
sieurs spécialistes qui ont pratiqué ces méthodes dans des contextes divers.
Aussi la valeur qu’il espère avoir ajoutée est-elle formée surtout de commentai-
res et de recommandations visant à aider à mieux comprendre et à mieux utiliser
ces méthodes très largement répandues.
Ce dossier commence par situer l’AMDE(C) dans son environnement, lui don-
ner son sens. Ensuite, il aborde le déroulement de la démarche ; puis il illustre
l’usage de ces méthodes avant de mettre en avant les principales recomman-
dations et limites. Un exemple plus scolaire pour être bref rend concrète la
démarche avant de conclure.

1. Introduction 2. Sens et pertinence


de l’AMDE(C)
L’AMDE et l’AMDEC sont si connues et utilisées qu’elles sont pra-
tiquement devenues le symbole de la sûreté de fonctionnement.
L’AMDE (analyse des modes de défaillance et de leurs effets) étant 2.1 Principe de l’AMDE(C)
incluse dans l’AMDEC (analyse des modes de défaillance, de leurs
effets et de leur criticité), nous parlerons dans ce texte générale- Ne perdons jamais de vue le principe de l’AMDE.
ment d’AMDEC ou d’AMDE(C). Cette démarche est effectivement
très utilisée et très utile dans toute approche des risques. Pourtant, il
Principe de L’AMDE
ne faudrait pas confondre « analyse des risques » et AMDE(C) ou
● Point de départ : décomposition du système en compo-
croire que toute analyse de risque passe par une AMDE(C).
sants.
Notre but n’est pas de minimiser les apports de cette méthode à la ● Étape 1 : recensement des modes de défaillance des compo-
sûreté de fonctionnement, bien au contraire, mais il faut néanmoins sants.
lui redonner sa vraie place. Si la plupart des méthodes méritent une ● Étape 2 : effets et conséquences des modes de défaillance
certaine promotion tant elles peuvent apporter plus que l’usage qui des composants.
en est fait habituellement, l’AMDE(C) bénéficie au contraire d’une ● Sortie : risques découlant des défaillances des composants.
réputation extraordinaire au point que certains dirigeants industriels
voulant exprimer l’exigence d’une étude de risques avant mise en L’AMDE est une méthode inductive qui part des défaillances élé-
service d’un système complexe et innovant ont écrit qu’une mentaires des composants pour en déduire ce qui en résulte et donc
AMDE(C) du système devait être réalisée. à quelles situations, dues à ces défaillances, il faut s’attendre.
L’AMDEC ajoute une dimension d’évaluation de la gravité de ces
Nous nous attacherons dans ce texte à expliquer de notre mieux situations.
le sens et la pertinence de l’AMDE(C), à décrire le processus de réa-
L’AMDE(C) consiste à identifier et évaluer l’impact des défaillan-
lisation d’une AMDE(C) utile et à rappeler les recommandations les
ces des éléments du système sur celui-ci, ses fonctions, son
plus importantes issues de l’expérience pour réussir une AMDE(C) environnement.
de façon qu’elle soit utile.

Le contenu de ce dossier doit tout aux membres de feu l’Institut


de Sûreté de Fonctionnement et aux membres de l’actuel Institut de 2.2 Utilité de l’AMDE(C)
Maîtrise des risques par la Sûreté de fonctionnement qui ont par-
tagé leurs savoirs et leurs expériences dont l’auteur de ce dossier a Comme avec toute méthode, on est beaucoup plus efficace quand
largement bénéficié. Les membres du Groupe de Travail et de on comprend le but de la démarche que quand on se contente
Réflexion « Méthodes, Outils Standards » ont particulièrement tra- d’appliquer les règles d’un manuel si bon soit-il. Aussi est-il plus
vaillé sur cette méthode AMDE(C) et sont auteurs d’un guide péda- profitable de conduire une AMDE(C) en fonction de l’usage qui va en
gogique qui lui est consacré et dont l’auteur de ce dossier s’inspire être fait qu’en application d’une consigne ou d’une exigence
contractuelle ou réglementaire du type « réaliser une AMDE(C) sur
au même titre que de leurs expériences et conseils pour ce texte.
le système… conformément à la norme X ».
Qu’ils en soient remerciés comme ils le méritent ici.
Nous ne pourrons faire le tour de tous les usages possibles d’une
En anglais, la méthode est connue sous le sigle FMECA (Failure AMDE(C), mais nous en évoquerons quelques-uns caractéristiques.
Modes Effects and Criticality Analysis) ou FMEA. L’AMDE(C) identifie les problèmes auxquels exposent les défaillan-
ces internes du système étudié. En tenant compte des limites de la
On considère généralement que la méthode est apparue fin des méthode auxquelles nous reviendrons plus tard, cela permet :
années 1950, début des années 1960 dans l’industrie aéronautique — d’évaluer la gravité des situations auxquelles il faudra peut-
militaire américaine. être faire face ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 2 © Techniques de l’Ingénieur

RT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

____________________________________________________________________________________________________________________________ AMDE (C)

— d’évaluer globalement les risques auxquels les défaillances produit », « AMDEC processus » ou « AMDEC moyen » et bien
des composants exposent ; d’autres encore. Il importe surtout de bien s’imprégner de l’esprit de
— d’identifier et de hiérarchiser les faiblesses du système ; la démarche qui est exactement le même.
— de prévoir la maintenance corrective nécessaire ;
— d’évaluer l’intérêt de modifications de la conception ou de
maintenance préventive pour réduire ces risques ;
— de prévoir des mesures d’exploitation adaptées aux situations
2.3 Conditions de réussite de l’AMDE(C)
à venir ;
— de hiérarchiser l’importance des règles d’exploitation et de
L’AMDE(C) a toute sa pertinence quand les conditions suivantes
maintenance ;
sont réunies :
— d’intégrer dans une vision globale du système les compétences
des diverses sciences et techniques sollicitées par le système en fai- — il faut savoir décomposer l’ensemble du système étudié en
sant dialoguer les spécialistes de celles-ci. composants d’un niveau de finesse tel que à chaque composant on
sache associer tous les modes de défaillance qui peuvent l’affecter ;
L’AMDE, appliquée à un produit destiné au grand public, incluant
comme « composant » l’utilisateur et lui associant comme « modes — il faut connaître les fonctionnements du système pour pouvoir
de défaillance » les mauvais usages, erreurs ou manques de soin décrire ce qui se passe quand apparaît un mode de défaillance d’un
auxquels il peut raisonnablement soumettre son appareil, permet composant et suivre la chaîne de la cause vers les conséquences.
d’imaginer les risques (dysfonctionnements ou accidents) auxquels Dans ces conditions, l’AMDE(C) va se dérouler au mieux et pro-
il s’expose du fait des défaillances, intrinsèques ou induites par son duire les résultats attendus !
action, de l’appareil. Sur cette base, l’entreprise, qui commercialise
le produit, peut ajouter une dimension criticité à ces événements Il faut combattre avec fermeté l’illusion assez répandue que, en
(responsabilité du constructeur du fait du produit en cas d’accident, présence d’un système mal connu ou qui nous apparaît comme une
perte de clientèle, perte d’image, coût d’après-vente…) et évaluer « boîte noire », une AMDE(C) serait bienvenue pour se couvrir. Une
l’intérêt de mesures de réduction de risque (avertissements sur la AMDE(C) sur un système dont on ne connaît pas les fonctionne-
notice, indications sur le produit, ajout de protections ou de détrom- ments est un leurre. Si l’aura de la méthode donne de l’assurance
peurs, modification de la conception ou de la fabrication, voire dans de telles conditions, c’est de la tromperie. Comme toute
retrait du marché…). méthode, l’AMDE(C) exploite de l’information, elle n’en crée pas à
partir de rien.
L’AMDEC, appliquée à une chaîne de production, permet de hié-
rarchiser et de valoriser les conséquences des défaillances des
pièces composant la chaîne et, en conséquence, d’évaluer l’intérêt :
— des stocks de pièces de rechange ; 2.4 Place de l’AMDE(C)
— de modifications de la chaîne pour réduire les temps de rem- dans une démarche de maîtrise
placement de certaines pièces ; des risques
— de renforcer ou d’alléger la maintenance préventive sur telle
ou telle pièce ;
— de choisir tels ou tels points de contrôle pour garantir la qualité Si on fait le bilan des expériences réussies ici et là, on trouvera
du produit fini de façon optimale ; l’AMDE(C) à pratiquement tous les stades du cycle de vie d’un
— de payer plus cher des pièces plus fiables ; système. Toutefois, on peut souligner le caractère à peu près
— de doubler tout ou partie de la chaîne ; incontournable de l’AMDE(C) à la fin de la conception, à la charnière
— de privilégier une série ou un fournisseur pour telle ou telle avec la réalisation ou l’exploitation et la maintenance. En effet,
pièce… quand le système est décrit de façon précise, les composants choi-
sis, l’AMDE(C) s’applique à merveille pour compléter la
L’AMDE appliquée à l’alimentation électrique d’un important
connaissance des fonctionnements (fonctionnements souhaités
domaine, a permis d’identifier toutes les défaillances élémentaires
décrits par la conception) avec les fonctionnements non souhaités,
susceptibles de provoquer des conséquences sensibles sur l’alimen-
mais inévitables du fait qu’aucun composant n’est infaillible. Il faut
tation d’un établissement du domaine. On a alors pu reprendre cha-
bien prendre en compte ce qui peut résulter des défaillances des
cune de ces défaillances pour s’assurer que des précautions étaient
composants choisis. À ce stade, les spécialités diverses sollicitées
prises pour que une ou deux défaillances simultanées n’aient pas de par la conception ont dû réunir leurs apports et c’est une caractéris-
conséquences dommageables. Le caractère systématique de tique intéressante de l’AMDE(C) de réunir et faire dialoguer les
l’AMDE a permis d’identifier quelques cas qui n’étaient pas bien cou-
connaissances (modes de défaillance et comportements des divers
verts et de renforcer les précautions.
éléments du système) de toutes les spécialités.
Du seul point de vue d’un fabricant, l’AMDEC s’applique à plu-
Exemple : quelle défaillance peut affecter l’alimentation électrique
sieurs « systèmes ». Elle s’applique au produit de ce fabricant. Ses
qui produit quel effet sur le moteur de la pompe qui produit quoi pour le
résultats vont alors permettre d’améliorer la conception de ce pro-
fluide qui se traduit comment sur la température qui a quel effet sur les
duit en vue de la meilleure satisfaction possible des exigences du
circuits électroniques qui produit quel résultat sur le traitement des
client. Elle s’applique aussi au processus de fabrication du produit.
données, etc.
Ses résultats permettent d’améliorer la conception du processus de
fabrication pour mieux garantir la satisfaction du client (tenue des À ce stade, l’AMDE(C) permet de s’assurer que les conséquences
délais, conformité de la fabrication…) et maîtriser les risques de la des défaillances internes au système sont compatibles avec les
production (rebuts, pertes de production…). Enfin à l’échelle infé- objectifs ou de reprendre la conception pour y remédier.
rieure, elle s’applique à chacun des moyens de production. Ses
résultats vont influer sur les exigences à l’égard du moyen de pro- Puis, elle permet de transmettre aux exploitants et mainteneurs
duction et sur la maintenance en vue de réduire les impacts négatifs (autorisons-nous ce néologisme pour désigner les équipes en
des pannes du moyen sur la production. De telles AMDEC sont des charge de la maintenance !) une description réaliste du système tel
études différentes, mais dont les enjeux et les résultats ne sont pas que les concepteurs l’ont étudié. Non seulement ce qu’on en attend
totalement indépendants. Aussi peut-il y avoir des allers et retours positivement (contenu dans les spécifications techniques de
entre les équipes menant ces analyses. On emploie couramment besoins) mais aussi ce qu’on a accepté de négatif décrit et évalué
des termes différents pour désigner ces analyses comme « AMDEC dans l’AMDE(C).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 040 − 3

RU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPTP

AMDE (C) _____________________________________________________________________________________________________________________________

Toutefois, on pratique aussi souvent l’AMDE(C) sur un système dépendent très lourdement des dysfonctionnements des moyens de
ancien ou acheté sur étagère pour anticiper les pannes et optimiser production ; c’est pourquoi l’AMDE(C) est très utilisée avec grand
les réactions à ces pannes (maintenance mais pas seulement). On bénéfice sur les moyens de production.
trouve aussi l’AMDE(C) comme un moyen dans une démarche d’APR Et pourquoi plusieurs AMDE(C) par phase par exemple
(analyse préliminaire de risques), cf. [SE 4 010] Analyse préliminaire
de risques. L’APR ayant globalement comme objectif d’identifier les En présence d’un système complexe qui passe par diverses
risques nécessitant une démarche spécifique et de proposer une phases ou diverses configurations… l’AMDE(C) unique qui couvre
démarche de maintien de ces risques à un niveau acceptable, une tous les cas devient pratiquement très difficile à réaliser, encore plus
AMDE(C) sur une partie du système est la démarche adéquate si les difficile à exploiter et le risque d’être gravement incomplète est très
défaillances des composants du système sont susceptibles d’être à élevé : au moment de l’analyse, il est fort à craindre que les diverses
l’origine de risques importants. Ces deux exemples illustrent le fait configurations n’aient pas été réellement envisagées. Il est plus
qu’on peut trouver utilité à l’AMDE(C) aussi bien très en amont que sage de réaliser plusieurs AMDE(C) par phase ou par configuration,
très en aval d’un cycle de vie. quitte à s’interroger sur la nécessité de les étudier toutes par une
AMDE(C).
Enfin, on doit même souligner l’intérêt de démarrer une AMDE(C)
très tôt dans le développement d’un nouveau produit ou service : Le critère de sagesse est d’éviter que, au moment de répondre à
avant même de savoir précisément comment une fonction sera réa- la question « quels sont les effets de tel mode de défaillance ? », la
lisée, donc avant de connaître vraiment les composants et leurs réponse pertinente commence par « ça dépend de… ».
modes de défaillance, on peut émettre des hypothèses et imaginer
les conséquences des défaillances envisagées. Cette démarche a
très souvent permis d’améliorer considérablement la complétude
des spécifications. En effet, s’il est naturel d’exprimer ce qu’on
attend d’un nouveau système, il n’est ni naturel ni facile d’exprimer
3. Réalisation d’une AMDE(C)
ce qu’on ne veut pas qu’il fasse. Une AMDE(C) fondée sur des hypo-
thèses de conception et de défaillances est très efficace pour tendre
à la complétude des spécifications. 3.1 Préparation à l’AMDE(C)
Ainsi, en présence d’un système complexe, l’AMDE(C) revient
généralement plusieurs fois dans le cycle d’étude du système. Cha-
que projet doit déterminer les revues (articulations entre phases du La méthode s’inscrit dans un cycle d’activités. En amont de
projet) pour lesquelles une AMDE(C) sur telle ou telle partie du l’AMDE ou AMDEC proprement dite, une analyse fonctionnelle doit
projet serait nécessaire. Les normes ayant essayé de donner des cri- avoir été réalisée. L’analyse fonctionnelle externe du système décrit
tères généraux identifient trois niveaux de décomposition pour un ce qu’on attend de lui. Cette description est essentielle pour donner
système important et trois sujets d’AMDE(C) : du sens à l’analyse des dysfonctionnements. Il s’agit de savoir si les
fonctionnements identifiés sont conformes à ces exigences, empê-
— le niveau « système » ;
chent la réalisation d’une fonction exigée, dégradent l’accomplisse-
— le niveau « sous-système » ; ment d’une fonction ou encore s’ils produisent un résultat
— le niveau « composants » ; indifférent par rapport au cahier des charges, mais dont on devra
— l’AMDE(C) fonctionnelle ; s’assurer qu’il ne présente pas un danger.
— l’AMDE(C) produit ;
L’analyse fonctionnelle interne décrit comment les fonctions exi-
— l’AMDE(C) processus. gées par le cahier des charges pour le client sont réalisées à travers
Pourquoi plusieurs niveaux : des fonctions décrites aux spécifications techniques de besoin en
— d’une part pour pouvoir découper en parties matériellement tant que fonctions à accomplir, performances associées à ces fonc-
réalisables et lisibles l’AMDE(C) qui, réalisée d’un seul morceau tions, conditions dans lesquelles ces fonctions sont réputées exigi-
pour un système aussi complexe qu’un avion moderne ou une cen- bles, contraintes à respecter. Cette analyse fonctionnelle interne
trale d’énergie, serait un monstre. Un monstre trop difficile à exploi- décrit, au niveau fonctionnel, comment le système fonctionne
ter et un monstre inutile, car les conséquences mises en évidence quand il fonctionne « bien », elle est donc nécessaire pour évaluer
par une analyse à la fois globale et exhaustive seront de niveau de les effets des modes de défaillance identifiés.
criticité très différents. Il vaut bien mieux réserver la méthode à ce Ces analyses fonctionnelles sont explicites dans le cadre de
qui, à chaque étape, est de premier ordre, en vaut la peine ; grands projets menés selon les référentiels qui les exigent. Dans de
— d’autre part, pour tirer des conclusions qui peuvent l’être à des nombreux cas, elles sont implicites ou incomplètes. Il importe pour
stades intermédiaires. Imaginer des dysfonctionnements globaux mener une AMDE(C) pertinente de rendre explicite ces informa-
de sous-systèmes (à un stade où on ne sait peut-être pas encore à tions. Le déroulement de l’AMDE(C) peut sembler parfait sans être
quels composants on les devra et si on saura intervenir sur leur passé par cette étape dans la mesure où les participants partagent
propagation) et réaliser l’importance de leurs conséquences permet une vision commune du système. Le déroulement sans heurt de
d’améliorer l’architecture pour s’en protéger plutôt que se trouver l’analyse peut masquer des divergences de conception sur ce qui
plus tard confronté à l’alternative : soit remettre en cause l’architec- est attendu du système, sur ce qui est acceptable ou non. Le res-
ture et revenir loin en arrière, soit être contraint d’éliminer les cau- ponsable de l’analyse, faute de référence, ne peut s’assurer d’avoir
ses de ces dysfonctionnements ce qui peut se révéler impossible ou bien couvert les exigences du système et des exigences importantes
très coûteux. (tellement d’ailleurs qu’elles sont implicites pour tout le monde)
auront été oubliées. Des fonctionnements, dysfonctionnels pour la
Pourquoi plusieurs sujets
conception, mais banalisés par les exploitants parce que, en
L’AMDE(C) s’applique aussi bien à une décomposition fonction- l’absence de malchance, ils permettent quand même de produire,
nelle (à condition de disposer d’une décomposition en fonctions élé- seront traités comme des fonctionnements nominaux au lieu d’être
mentaires dont on connaît les échecs possibles) qu’à une traités comme des situations au moins de fragilité. L’absence
décomposition matérielle. Une bonne AMDE(C) fonctionnelle, d’explicitation des exigences fonctionnelles externes et internes
quand elle est possible, prépare très utilement et permet de cibler la rend l’exploitation de l’AMDE(C) très périlleuse et potentiellement
ou les AMDE(C) matérielles. trompeuse.
L’AMDE(C) s’applique aussi bien au produit ou service à produire La validation des analyses fonctionnelles existantes ou la réalisa-
qu’aux moyens de le produire. La production d’un produit ou ser- tion d’analyses fonctionnelles est une étape d’initialisation néces-
vice conforme aux engagements pris et le coût de cette production saire pour aborder l’AMDE(C). Elle devrait impliquer tous les futurs

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 040 − 4 © Techniques de l’Ingénieur

RV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

Arbres de défaillance, des causes


et d’événement

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert sûreté de fonctionnement à la Direction déléguée Système d’exploitation et sécurité
à la SNCF
Vice-Président de l’Institut de sûreté de fonctionnement

1. Trois arbres mais trois démarches distinctes .................................. SE 4 050 - 2


1.1 Principes et objectifs de ces méthodes...................................................... — 2
1.2 Choix et complémentarité de ces méthodes............................................. — 3
2. Arbre de défaillance................................................................................ — 3
2.1 Principes. Caractéristiques. Objectifs......................................................... — 3
2.2 Construction d’un arbre de défaillance...................................................... — 4
2.3 Recherche des coupes minimales .............................................................. — 9
2.4 Quantification d’un arbre de défaillance pas à pas .................................. — 12
2.5 Exploitation d’un arbre de défaillance ....................................................... — 13
2.6 Conclusion.................................................................................................... — 14
2.7 Exemple........................................................................................................ — 15
3. Arbre des causes...................................................................................... — 17
3.1 Principe. Caractéristiques. Objectifs .......................................................... — 17
3.2 Construction d’un arbre des causes........................................................... — 17
3.3 Exploitation de l’arbre des causes ............................................................. — 19
3.4 Exemple........................................................................................................ — 20
4. Arbre d’événement .................................................................................. — 21
4.1 Principes. Caractéristiques. Objectifs......................................................... — 21
4.2 Construction de l’arbre d’événement ........................................................ — 21
4.3 Exploitation de l’arbre d’événement.......................................................... — 22
Pour en savoir plus ........................................................................................... Doc. SE 4 050

a sûreté de fonctionnement (comme expliqué dans les articles La sûreté de


L fonctionnement : méthodes pour maîtriser les risques [AG 4 670] et Sûreté
de fonctionnement : démarches pour maîtriser les risques [SE 1 020]) au service
de la maîtrise des risques, décrit les mécanismes qui conduisent aux incidents et
aux accidents. On trouve donc naturellement dans cette discipline des méthodes
destinées à représenter la logique des combinaisons de faits ou de conditions
qui ont conduit, conduisent ou pourraient conduire à des incidents ou accidents.
Rien d’étonnant donc que des représentations arborescentes fassent partie
des outils usuels de la sûreté de fonctionnement. Nous présentons dans cet arti-
cle les trois méthodes les plus courantes : l’arbre de défaillance, l’arbre des cau-
ses et l’arbre d’événement.
Ces trois méthodes ont en commun de produire des représentations de la logi-
que d’un système (ou d’une partie) sous des formes arborescentes. Cette res-
semblance superficielle est trompeuse : ces trois méthodes répondent à des
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPR

besoins nettement différents et les arbres produits ne contiennent pas les


mêmes informations. Cette ressemblance dans la forme et, naturellement, dans
l’appellation nous a motivés à les présenter ensemble afin d’aider le lecteur à les
distinguer.

T oute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques S E 4 0 5 0 −1

RW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

Il ne faut donc pas prendre ces trois méthodes pour des variantes d’une même
méthode ou pour trois façons de conduire le même raisonnement mais bien
pour trois méthodes différentes.

1. Trois arbres mais trois


démarches distinctes

1.1 Principes et objectifs


de ces méthodes

■ L’arbre de défaillance est une méthode qui part d’un événement


final pour remonter vers les causes et conditions dont les combinai-
sons peuvent le produire. Il vise à représenter l’ensemble des com-
binaisons qui peuvent induire l’événement étudié d’où sa
représentation schématique donnée à titre d’exemple figure 1 a.
On construit et on utilise un arbre de défaillance dans le cadre
d’une étude a priori d’un système. Ayant pour point de départ un
événement redouté (dysfonctionnement ou accident), la démarche
consiste à s’appuyer sur la connaissance des éléments constitutifs
du système étudié pour identifier tous les scénarios conduisant à
l’événement redouté. L’arbre de défaillance est une représentation
en deux dimensions (cf. figure 1 a) des enchaînements qui peuvent
conduire à l’événement redouté, le point de départ de la démarche.
On peut ensuite utiliser cette représentation pour calculer la proba-
bilité de l’événement redouté à partir des probabilités des événe-
ments élémentaires qui se combinent pour le provoquer.
Des logiciels sont commercialisés qui permettent de réaliser com-
modément la mise en forme d’arbres pouvant comporter un grand a arbre de défaillance
nombre d’éléments et qui permettent d’effectuer les calculs de pro-
babilités. Les exemples d’arbres que nous pouvons donner dans cet
article pour illustrer nos propos sont naturellement très petits, très
simples. Les arbres qu’il est utile de construire pour étudier des sys-
tèmes importants et assez complexes comportent tellement plus
d’éléments que l’apport des logiciels de mise en forme et de calcul
est décisif.
Nous attirons l’attention du lecteur sur deux précautions
d’usage :
— des calculs de probabilité sont toujours fondés sur des
approximations. Celles-ci sont généralement valables pour les cas
usuels, mais il vaut mieux prendre attentivement connaissance des
algorithmes de calcul utilisés pour s’assurer que les approximations
faites sont valables pour le cas particulier que l’on traite ; b arbre des causes

— par ailleurs, ce marché, assez réduit est assez volatil : certains


produits font des apparitions fugitives. On ne peut généralement
pas convertir un arbre construit avec un logiciel en un arbre à utiliser
avec un autre. Comme dans les autres domaines, il est prudent de
s’assurer (dans la mesure du possible) de la pérennité de l’outil
informatique. En effet un arbre de défaillance peut être un document
de référence à faire vivre au long de la vie du système étudié (tout
dépend des circonstances et objectifs de l’étude).
Un arbre de défaillance est une méthode-type pour répondre à
une question du genre : « quelles ” chances ” y a-t-il que le disposi-
tif de détection et extinction automatique d’incendie manque à se c arbre d'événement
déclencher en présence d’un feu et sur quoi peut-on agir pour dimi-
nuer cette probabilité ? » ou « dans un système avec redondances,
quelle est la probabilité finale d’échec en fonction des probabilités Figure 1 – Silhouettes des arbres de défaillance, de cause
élémentaires des composants et de l’architecture ? ». et d’événement

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 2 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

RX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

■ L’arbre des causes part d’un événement qui s’est produit et orga- sent pas à l’accident sont identifiées, l’arbre d’événement est
nise l’ensemble des événements ou conditions qui se sont combi- recommandé pour évaluer l’efficacité du système et les progrès les
nés pour le produire. Il repose sur un raisonnement dans le même plus intéressants.
sens que l’arbre de défaillance mais ne décrit qu’un scénario. Sa ● Un arbre est souvent un moyen satisfaisant de présenter
représentation est illustrée à titre d’exemple figure 1 b. synthétiquement les résultats des études montrant les relations
On construit un arbre des causes dans une démarche de retour entre causes et conséquences (qualitativement-logiquement mais
d’expérience, ou, de façon isolée, pour apprendre le maximum d’un aussi quantitativement), études qui ont pu solliciter bien d’autres
accident. L’arbre des causes est très utilisé pour décrire le scénario méthodes (AMDE(C), graphes d’état, simulations de Monte-Carlo...)
d’un incident ou accident, pour soutenir la démarche d’analyse de (cf. article [AG 4 670]).
l’accident. Des logiciels sont également disponibles pour guider et En présence d’un système où de nombreux événements initia-
réaliser la mise en forme d’un arbre des causes. teurs sont possibles (pannes de nombreux composants, interven-
La démarche de réalisation d’un arbre des causes consiste à tions humaines importantes donc possibilités d’erreurs, agressions
répondre à la question : « quels faits ont joué un rôle dans la surve- environnementales, etc.) mais pour lequel la préoccupation porte
nue de cet accident et en se combinant de quelle façon ? » sur la survenue ou non, du fait de tous ces incidents d’un ou deux
événements redoutés du niveau du système entier, l’arbre de
■ L’arbre d’événement part d’un événement et décrit les différentes défaillance (ou les arbres de défaillance) s’impose(nt).
conséquences qu’il peut avoir en fonction des conditions dans les-
quelles il s’est produit et des événements avec lesquels il se com- En présence d’un système où la préoccupation est que les deux
bine. Il repose sur un raisonnement inverse des arbres précédents : ou trois événements redoutés (panne d’un composant critique,
de la cause vers les conséquences (d’où sa représentation donnée à erreur typique...) n’aient pas de conséquences graves malgré la
titre d’exemple figure 1 c). Comme l’arbre de défaillance, il vise à variété des scénarios dans lesquels ils peuvent intervenir, l’arbre
représenter l’ensemble des possibles, ici, des conséquences possi- d’événement (les arbres d’événement) s’impose(nt).
bles de l’événement étudié. ■ Bien entendu, ces méthodes peuvent se compléter. Les appro-
On construit et on utilise un arbre d’événement dans une démar- ches inverses de l’arbre d’événement et de l’arbre de défaillance
che d’évaluation a priori. Le point de départ est un incident, une peuvent être utilisées conjointement au même niveau, ce qu’on
défaillance, une erreur, une agression... dont on veut évaluer les peut ne pas voir ou négliger dans l’une pouvant apparaître dans
conséquences possibles qui dépendent d’un certain nombre l’autre. Elles peuvent aussi se compléter à des niveaux différents,
d’autres facteurs. Si on connaît les probabilités associées à ces fac- l’une servant à évaluer en entrant dans le détail ce qui est un élé-
teurs on peut calculer en s’appuyant sur l’arbre d’événement la pro- ment de l’autre.
babilité associée à chacune des conséquences possibles de
l’incident initial. Exemple : la probabilité de succès d’un dispositif à utiliser dans un
arbre d’événement peut résulter d’un arbre de défaillance développé
pour l’échec de ce dispositif.

1.2 Choix et complémentarité


de ces méthodes
2. Arbre de défaillance
Ces méthodes sont conçues pour mettre en œuvre des logiques
différentes. Elles ne se présentent donc nullement comme des choix
alternatifs pour un même problème. Chacune correspond à une 2.1 Principes. Caractéristiques. Objectifs
approche différente.
■ Le choix entre arbre d’événement et arbre de défaillance dépend ■ P r incipes
d’abord de la question posée : l’arbre d’événement cerne la ques-
tion des conséquences d’un événement initiateur donné et l’arbre
de défaillance cerne la question des scénarios conduisant à un évé- Un arbre de défaillance représente de façon synthétique
nement redouté donné. l’ensemble des combinaisons d’événements qui, dans certaines
L’arbre des causes est proposé pour assembler les éléments conditions produisent un événement donné, point de départ de
d’explication d’un accident ou incident. Il s’agit préférentiellement l’étude. Construire un arbre de défaillance revient à répondre à
d’analyse a posteriori. la question « comment tel événement peut-il arriver ? », ou
encore « quels sont tous les enchaînements possibles qui peu-
Ces méthodes peuvent servir à initier une analyse ou à la synthé- vent aboutir à cet événement ? ».
tiser.
● Pour initier une analyse de sûreté de fonctionnement, en pré-
sence d’une question peu précise, la méthode à recommander est ■ Caractéristiques
celle dont les bases sont les mieux connues : Un arbre de défaillance est généralement présenté de haut en bas
— un arbre de défaillance si la question tourne autour de la vrai- (cf. figure 1 a). La ligne la plus haute ne comporte que l’événement
semblance d’un ou de quelques événements redoutés ; dont on cherche à décrire comment il peut se produire. Chaque ligne
— plutôt un arbre d’événement si la question tourne autour de la détaille la ligne supérieure en présentant la combinaison ou les
gravité de certaines défaillances ou agressions ; combinaisons susceptibles de produire l’événement de la ligne
— un arbre des causes si il s’agit de tirer parti d’un scénario supérieure auquel elles sont rattachées. Ces relations sont repré-
d’incident qui s’est réalisé et dont la compréhension peut améliorer sentées par des liens logiques OU ou ET.
la connaissance générale du système.
■ Objectifs
Si la liste des événements redoutés finaux est bien établie et que ● L’objectif « qualitatif » est de construire une synthèse de tout ce
les questions « Qu’est-ce qui peut produire... ? » trouvent facilement qui peut conduire à un événement redouté et d’évaluer l’effet d’une
réponses, l’arbre de défaillance est recommandé. modification du système, de comparer les conséquences des mesu-
Si, à l’inverse, les événements initiateurs qui peuvent affecter le res qui peuvent être envisagées pour réduire l’occurrence de l’évé-
système sont bien connus et que les mesures pour qu’ils ne condui- nement redouté étudié.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 3

RY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT _______________________________________________________________________________________

● L’ objectif « quantitatif » est d’évaluer la vraisemblance de la définition requiert les mêmes précisions : définition de la fonction et
survenue de l’événement étudié à partir des combinaisons d’événe- des conditions à prendre en compte.
ments élémentaires qui peuvent le produire. Si on connaît les pro-
babilités de ces événements on peut en déduire la probabilité de
Le responsable de l’étude doit s’assurer que :
l’événement étudié et l’impact sur celle-ci d’une réduction (ou aug-
— l’événement étudié est bien celui qui convient eu égard à la
mentation) de telle ou telle des probabilités élémentaires.
démarche dans laquelle s’inscrit la construction de l’arbre ;
— les conditions extérieures ou les agressions à prendre en
À défaut d’une quantification par probabilités, l’arbre permet
compte (et celles à ne pas envisager) sont cohérentes avec les
d’apprécier le nombre de scénarios conduisant à l’événement étu- objectifs de l’étude ;
dié, le nombre minimum d’événements ou de conditions suffisant — les participants à l’analyse et les futurs utilisateurs de
pour qu’il arrive, etc. l’arbre ou des conclusions qui en seront tirées partagent la
même définition de l’événement étudié.

Dans l’arbre qui est une représentation synthétique, le libellé de


2.2 Construction d’un arbre l’événement devra être court. Ce libellé sera, en général, trop court
de défaillance pour définir précisément l’événement et lever les ambiguïtés. Il
devra donc y avoir :
— un libellé bref, mais aussi évocateur que possible dans la boîte
qui représente l’événement-sommet dans l’arbre ;
2.2.1 Événement-sommet — un texte complémentaire apportant toutes les précisions utiles
sur la définition de l’événement.
■ La première étape est la définition de l’événement qui doit être Dans certains modèles d’arbres (en particulier quand on utilise
étudié. Dans l’arbre, ce sera l’événement-sommet. Un arbre n’a certains logiciels), chaque boîte reçoit un nom. On voit alors la boîte
qu’un événement-sommet ; il réunit tout ce qui et uniquement ce qui contient le libellé en quelques mots de l’événement et, dessous,
qui peut provoquer cet événement-sommet. un seul mot (idéalement) qui est le nom de l’événement pour
l’arbre. Il faut alors veiller à ne pas donner le même nom à deux boî-
La définition de cet événement est totalement déterminante pour tes (ce que les logiciels qui utilisent ce formalisme contrôlent géné-
ralement).
la valeur des conclusions qui seront tirées de l’analyse. Le risque
n’est pas de développer un arbre qui serait faux mais un arbre qui
réponde à une autre question que celle posée : Ce qui vient d’être dit sur la définition commune, claire, pré-
cise de l’événement et le libellé bref de la boîte vaut non seule-
— soit l’utilisateur des résultats s’en rend compte et la consé- ment pour l’événement-sommet mais aussi pour tous les
quence est qu’après le travail effectué, l’arbre attendu est toujours à événements qui vont figurer dans l’arbre ; ce commentaire ne
faire et à exploiter ; sera pas repris dans chaque paragraphe consacré aux événe-
ments.
— soit l’utilisateur ne s’en rend pas compte et il tire des conclu-
sions tout à fait injustifiées de l’analyse.

Il importe donc de définir l’événement étudié de façon explicite et 2.2.2 Événements intermédiaires
précise.
L’événement étudié étant défini, l’étape suivante est de le décrire
Exemple : les événements suivants ne sont pas du tout en une combinaison logique (conjonction ou disjonction) de deux
équivalents : ou plusieurs événements plus réduits.
— collision de deux trains ;
— collision impliquant un train ; Exemple : une défaillance d’éclairage peut résulter de la défaillance
— collision impliquant une circulation ferroviaire ; de l’ampoule ou de la défaillance de l’alimentation ou de la défaillance
— collision impliquant un train due à une défaillance du système du circuit entre alimentation et ampoule.
ferroviaire ; On voit donc apparaître des événements moins globaux que
— dommages à une circulation ferroviaire ou à des passagers ou du l’événement-sommet que l’on appellera événements intermédiaires
personnel de bord ou au chargement, dus à une collision... (si ils sont eux-mêmes appelés à être décrits en combinaison d’évé-
On peut croiser de toutes les façons chacune des précisions ou res- nements plus détaillés) et un connecteur logique qui les relie à l’évé-
trictions qui figurent dans ces exemples (et bien d’autres) et chacun nement-sommet.
des événements produits sera différent des autres (certains plus géné-
raux en incluant d’autres).
Les conséquences sont importantes : par exemple, des actes de 2.2.3 Connecteurs logiques
sabotage ou d’imprudence de tiers sont ou ne sont pas pris en
compte ; l’accident de tiers percuté par un train à la traversée des voies Les deux connecteurs logiques de base sont ET et OU (figure 2).
(sans dommage au train) est ou n’est pas inclus dans cette analyse-là, Toutes les combinaisons logiques s’expriment avec ces deux
etc. connecteurs (et la négation logique qui exprime le contraire de
l’événement qu’elle affecte), mais il peut être pratique d’utiliser
Pour bien comprendre les enjeux de cette définition de l’événe- quelques autres connecteurs : vote n/p, OU exclusif...
ment, on fera le parallèle avec les définitions de la fiabilité (disponi- Exemple : si un système tombe en panne si deux sur trois des
bilité, maintenabilité, sécurité...) (cf. article [AG 4 670]). Les équipements A, B, C tombent en panne, il est pratique de représenter
définitions habituellement reconnues de ces notions incluent des ce lien logique par un seul connecteur « 2/3 », mais c’est équivalent à
formules comme « accomplir des fonctions requises dans des con- (A ET B) OU (A ET C) OU (B ET C) comme le montre la figure 3 a.
ditions données ». Un événement à étudier est généralement un De même A OU exclusif B est équivalent à [A ET (non B)] OU [(non A)
échec (non accomplissement d’une fonction) ou une agression. Sa ET B] (cf. figure 3 b).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 050 − 4 © Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques

SP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUP

_______________________________________________________________________________________ ARBRES DE DÉFAILLANCE, DE CAUSE ET D’ÉVÉNEMENT

Les boîtes qui les représentent sont au bout de l’arbre, ce pour-


quoi elles sont couramment appelées les feuilles.

2.2.5 Conditions

Quand on s’interroge sur ce qui peut produire tel événement-con-


séquence, on est couramment amené à dire que tel autre événe-
ment-cause entraîne l’événement-conséquence étudié si telle
condition est présente. Nous sommes donc conduits à introduire
dans l’arbre des conditions dont la réalisation conditionne l’enchaî-
Connecteur ET Connecteur OU nement cause-conséquence.
Pour qu’un événement (sommet ou intermédiaire) se produise, il
Figure 2 – Connecteurs ET et OU faut une combinaison d’événements mais aussi souvent de condi-
tions (on pourrait dire d’états ou de situations). Ces conditions inter-
viennent dans la construction d’un arbre exactement comme des
événements intermédiaires (sauf qu’elles ne sont plus
Équivalent à décomposées et donc deviennent « de base » même si les événe-
ments de même niveau avec lesquels elles se combinent sont eux,
décomposés plus finement) ou comme des événements de base,
2/3
mais ne sont pas à proprement parler des événements.
Exemple : dans un système formé de deux chaînes en parallèle qui
fonctionnent en alternance, l’interruption de fonctionnement du sys-
A B C A.B A.C B.C tème est provoquée par le dysfonctionnement d’une chaîne seulement
si celle-ci est celle qui assure le fonctionnement à ce moment-là. Donc
l’événement « Interruption du fonctionnement du système » se
décompose en (« Défaillance de la chaîne A » « ET » « Chaîne A en
service ») « OU » (« Défaillance de la chaîne B » « ET » « Chaîne B en
service »). Dans cette décomposition, « Défaillance de la chaîne A »
est un événement, « Chaîne A en service » est une condition.
Cette distinction n’est pas essentielle au stade de construction de
A B A C B C
l’arbre, elle devient intéressante quand on affecte des probabilités
aux événements et conditions.
Connecteur n/p

2.2.6 Symboles normalisés


Équivalent à

Les symboles normalisés des connecteurs, événements et condi-


OU tions sont représentés sur la figure 4.
exclusif
Nous plaçons donc dans un arbre :
— un événement-sommet ;
— des événements intermédiaires ;
A.B A.B
— des événements de base ;
— éventuellement des conditions ;
— des connecteurs OU ;
— des connecteurs ET ;
— éventuellement des connecteurs particuliers.
Les événements et les conditions sont représentés par des rectan-
gles à l’intérieur desquels figurent les libellés de ces événements ou
A nonB nonA B conditions. L’événement-sommet et les événements intermédiaires
se décomposent en une combinaison ; on trouve donc immédiate-
Connecteur OU exclusif ment sous la boîte qui les représente le symbole du connecteur qui
lie les événements dont la combinaison est nécessaire et suffisante
Figure 3 – Connecteurs 2/3 et OU exclusif à le provoquer.
Les événements de base ou les conditions ne se décomposent
pas ; on trouve donc immédiatement sous la boîte qui les repré-
Certains ajoutent à cette panoplie la possibilité de représenter un sente un symbole particulier : un cercle pour les événements de
aspect temporel avec un connecteur ET séquentiel. Si deux événe- base et un pentagone (en forme de maison) pour les conditions.
ments A et B sont liés par ce connecteur, cela signifie que si A se pro- Comme un arbre peut occuper plusieurs pages et se construire
duit puis B, l’événement supérieur se produit, mais pas si B se progressivement pour un système un peu important, il existe deux
produit puis A. autres symboles. Le triangle permet de renvoyer d’une page à une
autre : un triangle est placé sous un événement intermédiaire dont
la décomposition commencera sur une autre page. Sur cette autre
2.2.4 Événements de base ou feuilles page, cet événement apparaît en tête, mais un triangle est attaché à
la boîte qui le représente pour indiquer qu’il ne s’agit pas de l’évé-
Un événement de base est un événement qui ne se décompose nement-sommet d’un arbre, mais d’une partie d’un arbre plus
plus en événements plus fins. important.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité CD-ROM Sécurité et gestion des risques SE 4 050 − 5

SQ
SR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

Nœud papillon : une méthode


de quantification du risque

par Olivier IDDIR


Ingénieur quantification des risques – Service expertise et modélisation – Membre du
réseau des experts de TECHNIP
TECHNIP France, Paris-La Défense

1. Quantification du risque : une nécessité........................................ SE 4 055v2 - 2


2. Notion d’acceptabilité du risque ...................................................... — 2
3. Présentation de la méthode ............................................................... — 5
4. Quantification du nœud papillon ...................................................... — 15
5. Limites liées à la quantification d’un nœud papillon.................. — 22
6. Exemple de nœud papillon quantifié ............................................... — 25
7. Conclusion............................................................................................... — 29
8. Glossaire – Définitions ......................................................................... — 29
Pour en savoir plus ........................................................................................ Doc. SE 4 055v2

ans de nombreux secteurs d’activité tels que l’aéronautique, l’industrie


D chimique, l’industrie pétrolière, le nucléaire, il est nécessaire d’évaluer les
risques afin de pouvoir se prononcer sur leur acceptabilité. Les notions de
danger et de risque sont très souvent confondues, le risque étant toujours lié à
l’existence d’un danger, ou d’une situation dangereuse. Pour les différencier, il
est possible de considérer que le danger est « réel » et le risque « potentiel ».
Certaines installations industrielles présentent, de par leurs activités, de nom-
breux dangers. Citons, par exemple, le stockage ou la synthèse de produits
inflammables et/ou toxiques. Sur de telles installations, un des événements
redoutés est la perte de confinement qui peut aboutir à des phénomènes dange-
reux de type incendie, jet enflammé ou explosion dans le cas d’un produit
inflammable et dispersion atmosphérique dans celui d’un produit toxique.
L’évaluation d’un risque nécessite d’évaluer les deux composantes du couple
probabilité/gravité. La gravité des phénomènes dangereux est habituellement
estimée par modélisation de l’intensité des effets à l’aide d’outils ou de logi-
ciels. L’estimation de la probabilité d’occurrence pour les risques liés au
secteur de l’industrie nécessite aujourd’hui d’avoir recours à des méthodolo-
gies utilisées depuis de nombreuses années dans d’autres domaines, tels que
le nucléaire ou l’aéronautique. En effet, en France, avant les années 2000 et
contrairement aux pays anglo-saxons, l’évaluation des risques reposait sur une
approche déterministe. Les probabilités d’occurrence d’accidents étaient alors
en grande majorité estimées par avis d’experts. Le tragique accident survenu à
Toulouse le 21 septembre 2001 a initié un profond remaniement de la régle-
mentation française qui prône aujourd’hui l’approche probabiliste.
L’objectif de cet article est de présenter la méthode d’analyse de risques
nommée « nœud papillon » qui résulte de la combinaison d’un arbre de
défaillances et d’un arbre d’événements, centrée sur un même événement
redouté. Après avoir exposé les fondements de cette méthode, il sera dressé
un panorama des diverses banques de données pouvant être utilisées lors de
la phase de quantification. Enfin, l’article abordera les limites de la méthode.
p。イオエゥッョ@Z@ェオゥョ@RPQU

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 1

SS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

1. Quantification du risque : Gravité


une nécessité Gk

5
Depuis une trentaine d’années, la succession d’accidents signifi-
catifs en termes de dommages matériels et humains, majoritaire-

Gravité croissante
ment liés à l’expansion de l’activité industrielle, vient mettre en 4
lumière la question primordiale de la sécurité.

En 1966, à Feyzin, 18 personnes ont trouvé la mort suite au 3


BLEVE de plusieurs sphères de stockage. Par la suite, les accidents
de Flixborough (Grande-Bretagne) en 1974, Seveso (Italie) en 1976, 2
AZF (Toulouse) en 2001 ou plus récemment Buncefield (Grande-
Bretagne) en 2005 sont tous des accidents qui rappellent si besoin
la nécessité de disposer de méthodes et d’outils performants pour 1
estimer les risques.

En France, depuis 2001, la réglementation visant à garantir que E D C B A Probabilité Pk


les industriels maîtrisent leurs risques a beaucoup évolué. En fonc-
tion de la dangerosité des installations, les industriels doivent réali-
ser des études démontrant qu’ils ont pris l’ensemble des mesures Probabilité décroissante
de prévention et de protection permettant de garantir que les ris-
ques liés à leurs activités sont acceptables. Pour évaluer ces risques, A : niveau de probabilité le plus fort
différentes méthodes d’analyse peuvent être déployées (APR, E : niveau de probabilité le plus faible
HAZOP, etc.). Cependant, le nœud papillon constitue aujourd’hui la 1 : niveau de gravité le plus faible
méthodologie d’analyse quantifiée du risque recommandée par 5 : niveau de gravité le plus fort
l’administration française pour étudier les scénarios d’accidents les
plus critiques.
Risque jugé inacceptable

Risque ALARP
2. Notion d’acceptabilité
du risque Risque jugé acceptable

2.1 Estimation Figure 1 – Exemple de matrice de criticité 5 2 5

2.1.1 Matrices de criticité La matrice de criticité, présentée en figure 1, comporte trois


zones de risque :
Dans le domaine du risque industriel, la quantification des ris- – « acceptable » : dans cette zone, les accidents présentent une
ques constitue une étape incontournable. Elle permet, au regard probabilité suffisamment faible au regard de la gravité des
de la probabilité et de la gravité d’un accident, de juger de la suffi- conséquences associées ;
sance ou non des mesures de prévention dont l’objectif est de pré-
– dite « ALARP » (As Low As Reasonably Practicable ) : dans
venir l’apparition d’accident, et des mesures de mitigation/
cette zone, l’ensemble des mesures envisageables a été mis en
protection dont le but est de limiter les effets en cas d’accident. Or,
place et il n’est plus possible, avec un coût économique raisonna-
afin de se prononcer sur l’acceptabilité d’un risque, il faut pouvoir
ble, de diminuer ni la probabilité, ni la gravité ;
le mesurer en le comparant à une échelle.
– « inacceptable » : dans cette zone, il est nécessaire de mettre
Reprenant la philosophie du diagramme de Farmer, la matrice en place des actions qui visent à réduire la gravité et/ou la proba-
de criticité permet de juger de l’acceptabilité d’un risque. Mais con- bilité, en définissant de nouvelles mesures de prévention et/ou de
trairement au diagramme de Farmer, les matrices de criticité ne mitigation, afin de ramener si possible le risque dans la zone
font pas intervenir une frontière linéaire, mais un ensemble de acceptable, ou a minima dans la zone ALARP.
couples de valeurs de probabilité/gravité (Pk/Gk ) au-delà desquels La notion d’acceptabilité d’un risque peut sembler subjective,
le risque passe du domaine de l’acceptable à celui de l’inaccepta- surtout lorsque la vie d’individus est en jeu. En effet, la distinction
ble. Pour limiter les erreurs de jugement sur des événements dont entre les différentes zones de risque n’est pas aisée et dépend
le couple (Pk/Gk ) se rapprocherait de la frontière, une notion de essentiellement des définitions données aux différents niveaux de
risque, dite « ALARP » (As Low As Reasonably Practicable), est fré- probabilité et de gravité qui constituent la matrice de criticité.
quemment utilisée.

Il est à noter que le nombre de niveaux de probabilité et de gra- 2.1.2 Matrice de criticité réglementaire en France
vité, constituant une matrice de criticité, n’a rien d’universel. Néan-
moins les matrices de criticité, dites 5 × 5, c’est-à-dire composées Avant la circulaire du 29 septembre 2005 (reprise dans la circu-
de 5 niveaux de probabilité et de 5 niveaux de gravité, sont cou- laire du 10 mai 2010), relative aux critères d’appréciation de la
ramment utilisées. démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « Seveso », visés par l’arrêté du
La figure 1 présente un exemple de matrice de criticité. Le 10 mai 2000 modifié, il n’existait pas de matrice de criticité régle-
découpage entre les différentes catégories de risque est unique- mentaire. Les matrices utilisées étaient soit celles proposées par
ment donné à titre indicatif. les industriels eux-mêmes, soit celles réalisées par des sociétés

SE 4 055v2 – 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

ST
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

expertes dans l’évaluation des risques. Dans un souci d’homogé- (/an). L’unité de temps associée à la notion de probabilité confirme
néité, le ministère de l’Environnement (MEDAD à l’époque) a donc que les notions de fréquence et de probabilité sont bien souvent
proposé une matrice de criticité 5 × 5 (grille d’appréciation des ris- confondues.
ques), telle que présentée en figure 2. Elle se subdivise en La fréquence est une grandeur observée issue d’une exploitation
25 cases, correspondant à des couples probabilité/gravité des con- d’un retour d’expérience. Elle s’exprime généralement en unité de
séquences identiques à ceux du modèle figurant à l’annexe V de temps–1 ou opération–1.
l’arrêté du 10 mai 2000 modifié, que les industriels doivent utiliser
pour positionner chacun des accidents potentiels dans leur étude Dans le cas où le temps est le critère d’observation, la fréquence
de dangers. Cette matrice délimite trois zones de risque est définie par le quotient entre le nombre d’événements observés
accidentel : sur la période d’observation et ce temps d’observation. Lorsque la
période d’observation est exprimée en années, les fréquences sont
– risque élevé, figuré par le mot « non » ; alors données en unité an–1.
– risque intermédiaire, figuré par le sigle « MMR » (mesures de
maîtrise des risques), dans laquelle une démarche d’amélioration La probabilité d’occurrence d’un accident est assimilée à sa fré-
continue est particulièrement pertinente, en vue d’atteindre, dans quence d’occurrence future estimée sur l’installation considérée.
des conditions économiquement acceptables, un niveau de risque
aussi bas que possible, compte tenu de l’état des connaissances,
des pratiques et de la vulnérabilité de l’environnement de En France, les accidents potentiels ou les phénomènes dan-
l’installation ; gereux identifiés dans les études de dangers sont étudiés sur
– risque moindre, qui ne comporte ni « non » ni « MMR ». un intervalle temporel donné. La période de temps retenue
La gradation des cases « non » ou « MMR » en « rangs », corres- dans le cadre réglementaire est celle rappelée dans l’échelle de
pond à un risque croissant, depuis le rang 1 jusqu’au rang 4 pour probabilité de l’arrêté PCIG, à savoir l’année. L’INERIS a donc
les cases « non », et depuis le rang 1 jusqu’au rang 2 pour les introduit la notion de probabilité d’occurrence annuelle (POA).
cases « MMR ». Cette gradation correspond à la priorité que l’on
peut accorder à la réduction des risques, en s’attachant d’abord à
réduire les risques les plus importants (rangs les plus élevés). Dans la suite de cet article, nous retiendrons donc la terminologie
Les niveaux de probabilité et de gravité retenus pour constituer suivante :
cette matrice sont respectivement présentés dans les tableaux 1 – fréquence d’occurrence pour les événements redoutés (ER) ;
et 2. – probabilité d’occurrence pour les événements redoutés secon-
Concernant l’échelle rapportée dans le tableau 1, on peut noter daires (ERS) et pour les phénomènes dangereux (PhD).
qu’il est fait mention de la notion de probabilité d’occurrence et Néanmoins, en toute rigueur, le produit entre une fréquence et
que les données quantitatives sont exprimées en unité de temps–1. une probabilité donne une fréquence.

Gravité des PROBABILITÉ (sens croissant de E vers A) (1)


conséquences
sur les personnes
exposées E D C B A
au risque (1)

Non partiel
(sites nouveaux : (2))
Désastreux Non rang 1 Non rang 2 Non rang 3 Non rang 4
/MMR rang 2
(sites existants : (3))

Catastrophique MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2 Non rang 3

Important MMR rang 1 MMR rang 1 MMR rang 2 (3) Non rang 1 Non rang 2

Sérieux MMR rang 1 MMR rang 2 Non rang 1

Modéré MMR rang 1

(1) Probabilité et gravité des conséquences sont évaluées conformément à l’arrêté ministériel relatif à l’évaluation et à
la prise en compte de la probabilité d’occurrence, de la cinétique, de l’intensité des effets, et de la gravité des
conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation.
(2) L’exploitant doit mettre en œuvre des mesures techniques complémentaires permettant de conserver le niveau
de probabilité E en cas de défaillance de l’une des mesures de maîtrise du risque.
(3) S’il s’agit d’une demande d’autorisation « AS », il faut également vérifier le critère C du 3 de l’annexe L.
(4) Dans le cas particulier des installations pyrotechniques, les critères d’appréciation de la maîtrise du risque
accidentel à considerer sont ceux de l’arrêté ministériel réglementant ce type d’installations.

Figure 2 – Matrice de criticité rapportée dans la circulaire du 10 mai 2010 (anciennement dans la circulaire du 29 septembre 2005)

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 3

SU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 1 – Échelle de probabilité proposée dans l’arrêté du 29 septembre 2005


Classe de probabilité
Type d’appréciation
E D C B A

« Événement
« Événement possi- improbable » : un
ble mais extrême- événement similaire « Événement
« Événement très
Qualitative ment peu déjà rencontré dans courant » : se produit
improbable » : s’est
(les définitions entre probable » : n’est pas le secteur d’activité « Événement proba- sur le site considéré
déjà produit dans ce
guillemets ne sont impossible au vu des ou dans ce type ble sur site » : s’est et/ou peut se pro-
secteur d’activité,
valables que si le connaissances d’organisation au produit et/ou peut se duire à plusieurs
mais a fait l’objet de
nombre d’installa- actuelles, mais non niveau mondial, sans produire pendant la reprises pendant la
mesures correctives
tions et le retour rencontré, au niveau que les éventuelles durée de vie des durée de vie des ins-
réduisant significati-
d’expérience sont mondial, sur un très corrections interve- installations tallations, malgré
vement sa probabi-
suffisants) grand nombre nues depuis appor- d’éventuelles mesu-
lité
d’années d’installa- tent une garantie de res correctives
tions réduction significa-
tive de sa probabilité

Semi-quantitative Cette échelle est intermédiaire entre les échelles qualitative et quantitative, et permet de tenir compte de la cotation
des mesures de maîtrise des risques mises en place

Quantitative
j 10−5 10–5 à 10–4 10–4 à 10–3 10–3 à 10–2 h 10−2
(par unité et par an)

Ces définitions sont conventionnelles et servent d’ordre de grandeur à la probabilité moyenne d’occurrences, observable sur un grand nombre d’installations
pendant x années. Elles sont inappropriées pour qualifier des événements très rares dans des installations peu nombreuses ou faisant l’objet de modifications
techniques ou organisationnelles. En outre, elles ne préjugent pas de l’attribution d’une classe de probabilité pour un événement dans une installation particu-
lière, qui découle de l’analyse de risque et peut être différent de l’ordre de grandeur moyen, afin de tenir compte du contexte particulier, de l’historique des
installations, ou de leur mode de gestion.
Un retour d’expérience mesuré en nombre d’années x installations est dit « suffisant », s’il est statistiquement représentatif de la fréquence
du phénomène (et pas seulement des événements ayant réellement conduit à des dommages) étudié dans le contexte de l’installation
considérée, à condition que cette dernière soit semblable aux installations composant l’échantillon sur lequel ont été observées les don-
nées de retour d’expérience. Si le retour d’expérience est limité, les détails (figurant en italique) ne sont, en général, pas représentatifs de
la probabilité réelle. L’évaluation de la probabilité doit être effectuée par d’autres moyens (études, expertises, essais) que le seul examen
du retour d’expérience.

Tableau 2 – Échelle de gravité proposée dans l’arrêté du 29 septembre 2005


Zone délimitée par le seuil Zone délimitée par le seuil Zone délimitée par le seuil
Niveau de gravité
des effets létaux significatifs des effets létaux des effets irréversibles sur la vie humaine
des conséquences
(personnes exposées) (personnes exposées) (personnes exposées)
Désastreux Plus de 10 Plus de 100 Plus de 1 000
Catastrophique Moins de 10 Entre 10 et 100 Entre 100 et 1 000
Important Au plus 1 Entre 1 et 10 Entre 10 et 100
Sérieux Aucune Au plus 1 Moins de 10
Présence humaine exposée à des effets
Modéré Pas de zone de létalité hors établissement
irréversibles inférieure à 1
Personne exposée : en tenant compte, le cas échéant, des mesures constructives visant à protéger les personnes contre certains effets, et la possibilité de mise
à l’abri des personnes en cas d’occurrence d’un phénomène dangereux, si la cinétique de ce dernier et la propagation de ses effets le permettent.

Pouvoir positionner des situations dangereuses dans une de causes, nécessite de recourir à des méthodologies qui permet-
matrice de criticité suppose qu’il soit possible d’évaluer la probabi- tent une analyse exhaustive :
lité d’occurrence et la gravité d’un événement, de sorte que se – des combinaisons de causes pouvant aboutir à la réalisation
tromper de zone de risque est exclu. Or, les événements les plus de tels accidents ;
graves sont aussi généralement les plus rares, l’accidentologie
révèle ainsi que ces accidents sont souvent la conséquence de – des conséquences en cas de survenue de tels accidents.
combinaisons de plusieurs événements. On parle alors de
« séquence accidentelle ». C’est donc lors de l’étape d’évaluation de la probabilité d’occur-
rence des événements redoutés et de leurs conséquences qu’il est
Évaluer la probabilité d’occurrence d’accidents « complexes », primordial de disposer d’une méthode « robuste » pour estimer au
c’est-à-dire dont l’origine peut être de nombreuses combinaisons plus juste ces valeurs.

SE 4 055v2 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

SV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

___________________________________________________________________________ NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE

3. Présentation de la méthode Le point central du nœud papillon est constitué par un événe-
ment redouté qui peut être par exemple une perte de confinement.
La partie en amont de l’événement redouté est constituée par un
3.1 Principe arbre de défaillances qui permet d’analyser les combinaisons de
causes, et de valoriser les barrières de prévention mises en place
Le concept du nœud papillon a été introduit par la compagnie pour prévenir l’apparition de l’événement redouté. La partie en
ICI (Imperial Chemical Industries ). Après l’accident survenu sur la aval est, quant à elle, constituée par un arbre d’événements qui
plate-forme pétrolière Piper Alfa, la compagnie Royal Dutch/Shell a permet de différencier les conséquences en fonction du fonction-
développé cette technique d’analyse au début des années 1990 nement ou non des mesures de mitigation/protection. Le synopti-
afin d’améliorer la sécurité sur de telles installations. L’utilisation que, présenté en figure 3, présente la structure d’un nœud
de la méthode du nœud papillon tend aujourd’hui à se démocra- papillon. Le tableau 3 détaille les définitions associées à chacun
tiser et son application au secteur de l’industrie est de plus en plus des événements figurant sur le modèle du nœud papillon de la
répandue. Le programme de recherche européen ARAMIS (Acci- figure 3.
dental Risk Assessment Methodology for Industries in the fra-
mework of Seveso II directive ) portant sur l’évaluation des risques
dans le contexte de l’application de la directive Seveso II met en En France, différents groupes de travail nationaux ont tra-
avant les avantages de cette méthode. Pour rappel, ce programme vaillé sur la réalisation de nœuds papillons « génériques ». S’il
avait pour but : est possible de s’en inspirer, il est indispensable de les adapter
au cas étudié en prenant en compte les spécificités du site.
– le développement d’une méthodologie plus précise et harmo-
nisée d’analyse de risque pour les études de dangers (ou safety
reports ), dans le contexte de l’application de la directive En fonction de la nature de l’événement redouté, les événe-
Seveso II ; ments de base peuvent être dits « indésirables ». Citons, par exem-
ple, un choc mécanique sur une canalisation pouvant aboutir à
– l’identification et la qualification des principaux phénomènes
l’événement redouté : « brèche sur canalisation », ou bien la
accidentels majeurs (appréciation de la probabilité et de la gravité
combinaison entre un événement courant et une défaillance, tel
des effets physiques en utilisant, par exemple, la représentation
que le montage d’un bras de dépotage et l’absence de contrôle de
sous forme de nœud papillon) ;
bonne étanchéité pouvant aboutir à l’événement redouté
– l’évaluation de la performance des fonctions et éléments de « mauvaise étanchéité au niveau d’un bras de dépotage », en cas
sécurité liés à la prévention des phénomènes accidentels ; de montage défectueux.
– l’identification de la vulnérabilité de l’environnement des sites.
Le principal intérêt du nœud papillon est qu’il permet de visua-
liser l’ensemble des chemins conduisant des événements de base
jusqu’à l’apparition des phénomènes dangereux. Chaque chemin
Le fondement de la méthode du « nœud papillon » est rela-
décrit un scénario d’accident. Un scénario d’accident est défini
tivement simple. Elle propose pour un même événement
comme un enchaînement d’événements aboutissant à un événe-
redouté de réunir un arbre de défaillances pour expliciter les ment redouté, conduisant lui-même à des conséquences lourdes
causes et un arbre d’événements pour expliciter les
ou effets majeurs. Cette notion est présentée dans les articles rela-
conséquences.
tifs à la méthode MOSAR [SE 4 060] [SE 4 061].

Différenciation des
Valorisation des barrières phénomènes dangereux
de mitigation

PhD 1

EB1 ERS 1

EI1
PhD 2
EB2 ERS 2
ER

ERS 3

EI2

ERS 4

Arbre de défaillances Arbre d’événements Arbre des conséquences

Identification des Identification des événements Identification des


combinaisons de causes redoutés secondaires phénomènes dangereux

Figure 3 – Schéma d’un nœud papillon

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 055v2 – 5

SW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPUU

NŒUD PAPILLON : UNE MÉTHODE DE QUANTIFICATION DU RISQUE __________________________________________________________________________

Tableau 3 – Définition des événements composant un nœud papillon

Identification Signification Définition Exemples

Dérive ou défaillance sortant du cadre des conditions


Événement dont la réalisation, seule d’exploitation usuelles définies
ou combinée, est susceptible d’abou- (montée en température, sur remplissage, etc.)
EB Événement de base
tir à la matérialisation d’un événement Événement courant survenant de façon récurrente
intermédiaire (EI) dans la vie d’une installation
(vibration, maintenance, etc.)

Événement dont la réalisation, seule


Événement ou combinée, est susceptible d’abou- Montée en température non détectée, corrosion non
EI
intermédiaire tir à la matérialisation de l’événement détectée lors de test d’inspection, etc.
redouté (ER)

Événement résultant de dérives de


paramètres de fonctionnement, ou de
Rupture de capacité, brèche sur canalisation,
ER Événement redouté défaillances d’éléments, pouvant avoir
décomposition de substance, etc.
des conséquences dommageables sur
l’environnement

Événement redouté Conséquence directe de l’événement Formation d’une nappe d’hydrocarbure, fuite de gaz
ERS
secondaire redouté toxique, sur une durée de 10 min, etc.

Libération d’énergie ou de substance


susceptible d’infliger un dommage à
PhD Phénomène dangereux Jet enflammé, BLEVE, Boil Over, explosion, etc.
des cibles (ou éléments vulnérables)
vivantes ou matérielles

Le nœud papillon permet alors de juger de la bonne maîtrise ou


La méthode du nœud papillon est habituellement réservée non des risques, en explicitant clairement le rôle de chacune des
pour l’analyse d’événements dont les combinaisons de causes barrières de sécurité sur le déroulement d’un accident.
sont complexes à identifier, et/ou lorsque des barrières de
mitigation/protection sont prévues pour limiter les consé- La figure 4 présente un exemple de ce type de représentation. Il
quences de l’événement redouté. est à noter que ces représentations simplifiées s’apparentent plus
à la combinaison d’un arbre des causes et d’un arbre des
conséquences qu’à un réel nœud papillon. En effet, pour la partie
En fonction de l’utilisation du nœud papillon, il est possible que avale du nœud papillon, les différents ERS ne sont généralement
ces nœuds soient plus ou moins complexes (arborescence plus ou pas tous détaillés et plus particulièrement ceux consécutifs au
moins développée). fonctionnement des barrières. Sur la représentation de la figure 4,
La complexité d’un nœud papillon tient en effet : les deux ERS possibles en fonction du fonctionnement ou non de
la BM1 sont envisagés.
– au niveau de développement de l’arbre de défaillances ;
– à la mise en évidence, explicite ou non, de la défaillance des
barrières de prévention dans l’arbre de défaillances ; Lorsque les ERS consécutifs au fonctionnement des barriè-
– à la mise en évidence, explicite ou non, de la défaillance des res sont susceptibles d’être à l’origine de phénomènes dange-
barrières de mitigation/protection dans l’arbre d’événements. reux pouvant avoir des conséquences non négligeables, il est
impératif de ne pas oublier de faire apparaître ces scénarios.
Ainsi, deux utilisations du nœud papillon sont à distinguer :
– l’analyse qualitative des risques qui vise à identifier les diffé-
rents scénarios d’accidents ; Lorsque le nœud papillon est élaboré dans l’objectif de quantifier
– l’analyse quantitative des risques qui vise à quantifier les les probabilités des phénomènes dangereux, cet outil peut s’avérer
probabilités des différents scénarios d’accidents. relativement lourd à mettre en place et son utilisation ne doit être
réservée qu’à des événements jugés particulièrement critiques pour
Lorsque le nœud papillon est réalisé uniquement dans le but de lesquels une analyse détaillée du risque est indispensable. En
formaliser une démarche d’analyse des risques, les barrières de d’autres termes, comme cet outil d’analyse peut être particulière-
sécurité sont le plus souvent représentées sous la forme de barres ment coûteux en temps, il doit être utilisé à bon escient.
verticales pour symboliser le fait qu’elles s’opposent au déve-
loppement d’un chemin critique aboutissant à un accident. De ce
fait, dans cette représentation, chaque chemin, conduisant d’une
Habituellement, les événements redoutés étudiés par un nœud
défaillance d’origine (événements de base de l’arbre de défaillan-
papillon sont présélectionnés lors d’une étape d’évaluation préli-
ces) jusqu’à l’apparition des phénomènes dangereux, désigne un
minaire qui permet de hiérarchiser les risques.
scénario d’accident particulier pour un même événement redouté.

SE 4 055v2 – 6 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

SX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR
Présentation de la méthode
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. Nécessité d’une méthode d’analyse des risques


d’une installation industrielle .............................................................. SE 4 060 - 2
1.1 Problématique.............................................................................................. — 2
1.2 Les besoins d’analyse de risques............................................................... — 3
1.3 Les outils existants ...................................................................................... — 3
1.4 Nécessité d’une méthode ........................................................................... — 3
2. Structure générale de la méthode MOSAR ...................................... — 4
2.1 Les deux modules et les dix étapes ........................................................... — 4
3. Modèles mis en œuvre : MADS............................................................ — 4
3.1 Description de MADS .................................................................................. — 4
3.2 Applications à une démarche méthodique ............................................... — 5
4. Différents modes de mise en œuvre de la méthode ...................... — 7
4.1 MOSAR comme boîte à outils .................................................................... — 7
4.2 Les parcours de MOSAR ............................................................................. — 8
4.3 Genèse de scénarios dans l’analyse de risques d’un site industriel ....... — 9
4.4 Extraits d’exemple d’analyse en conception d’une installation .............. — 10
4.5 Extrait d’exemple d’analyse en diagnostic d’une installation existante . — 13
5. Avantages de la méthode ...................................................................... — 14
5.1 La réponse aux besoins .............................................................................. — 14
5.2 Exhaustivité.................................................................................................. — 15
5.3 Coordination des outils ............................................................................... — 15
5.4 Souplesse ..................................................................................................... — 15
5.5 Mise en œuvre en situation opérationnelle et pédagogique ................... — 15
Références bibliographiques ......................................................................... — 16
Pour en savoir plus........................................................................................... Doc. SE 4 062

’analyse des risques d’une installation industrielle est une démarche


L complexe car cette dernière est elle-même une structure complexe constituée
de machines, de stockages, en interaction entre eux, avec les opérateurs ainsi
qu’avec l’environnement. Pour se donner le maximum de chances de mettre en
évidence la majorité des risques d’une installation, une méthode logique est
proposée : la méthode organisée systémique d’analyse des risques ou MOSAR.
Elle fait appel à la modélisation systémique [1] car après avoir décomposé l’instal-
lation en sous-systèmes et recherché systématiquement les dangers présentés
par chacun d’entre eux, ces sous-systèmes sont remis en relation pour faire appa-
raître des scénarios de risques majeurs. Cette partie de l’analyse est une APR
(Analyse préliminaire des risques) évoluée car elle ne se contente pas de passer
l’installation au crible de grilles préétablies issues du retour d’expérience. Elle
construit, à partir d’une modélisation des différents types de dangers par le
modèle MADS (Méthodologie d’analyse de dysfonctionnement des systèmes), les
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPS

scénarios possibles. La négociation d’objectifs permet de hiérarchiser ces scéna-


rios. La recherche systématique de barrières permet de neutraliser ces scénarios

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 1

SY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR ______________________________________________________________________________________________________________________________

et leur qualification dans le temps en assure la pérennité. La démarche peut se


poursuivre par une analyse détaillée de type sûreté de fonctionnement avec mise
en œuvre d’outils comme les AMDEC (Analyse des modes de défaillance, de leurs
effets et de leur criticité) (cf. article AMDEC-Moyen [AG 4 220] dans le traité
l’Entreprise industrielle), les arbres de défaillances (cf. article Arbres de
défaillance, des causes et d’événement [SE 4 050] dans ce traité), HAZOP (Hazard
and Operability study) [4].
Sa constitution modulaire permet une grande souplesse d’utilisation. Elle se
termine sur la construction des plans d’intervention.
Le modèle MADS, élaboré dans les années 1980 par un groupe d’ingénieurs
du CEA (Commissariat à l’énergie atomique) et d’universitaires de l’IUT de
sécurité de Bordeaux, est une modélisation systémique générale du danger
mise en œuvre ici de manière spécifique dans la méthode MOSAR.
La méthode MOSAR complète fait l’objet d’un support [5], d’un résumé [8] et
d’un logiciel d’apprentissage [6].

Cet article constitue la première partie d’une série consacrée à la méthode MOSAR :
— MOSAR - Présentation de la méthode [SE 4 060] ;
— MOSAR - Cas industriel [SE 4 061].

Terminologie
Problématique Une certaine façon de poser un ou des problèmes propres à une notion
ou à un domaine de connaissance.
Méthodologie Réflexion qui a pour objet d’examiner la nature, la valeur et le choix des
matériaux avec lesquels nous pouvons construire notre connaissance
en vue de déterminer à quels usages ils sont propres ou impropres.
Méthode Programme réglant d’avance une suite d’opérations à accomplir et
signalant certains errements à éviter, en vue d’atteindre un résultat
déterminé.
Outils Procédés techniques de calcul ou d’expérimentation utilisés pour le
développement d’une méthode.
Analyse de risques Toute démarche structurée permettant d’identifier, évaluer, maîtriser,
manager et gérer des risques et notamment les risques industriels.

1. Nécessité d’une méthode


d’analyse des risques
d’une installation industrielle M1
O1

O4
M2
1.1 Problématique
O3
Une installation industrielle peut être modélisée comme un sys-
tème ouvert sur son environnement, et composé essentiellement de M3
O2
matériels (M1 , M2 , M3 ...) et d’opérateurs (O1 , O2 , O3 ...), en inter-
action entre eux et avec l’environnement (figure 1).
Les matériels (machines, stockages, appareils, bâtiments...)
peuvent :
Figure 1 – Modélisation d’une installation industrielle
— interagir de manière séquentielle (séquences linéaires, paral-
lèles ou en réseaux) lorsqu’ils constituent des chaînes de fabrica-
tion ; Analyser les risques d’une installation va consister essentiel-
— ou être isolés. lement à identifier les dysfonctionnements de nature technique et
Les opérateurs sont tous les acteurs de l’installation depuis le opératoire (opérationnelle, relationnelle, organisationnelle) dont
responsable jusqu’à l’exécutant. Ils peuvent être aussi isolés ou en l’enchaînement peut conduire à des événements non souhaités par
relation à travers des hiérarchies linéaires ou parallèles, des groupes rapport à des cibles (individus, populations, écosystèmes, systèmes
en réseau ou des structures diverses. matériels ou symboliques).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

TP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

______________________________________________________________________________________________________________________________ MOSAR

Ces dysfonctionnements proviennent des matériels, de leurs — de faciliter la communication avec le public ;
liaisons et de leur proximité, ainsi que des opérateurs, de leurs — indispensable pour la construction des Plans d’Intervention : le
liaisons entre eux et avec les matériels. Plan d’Opération Interne (POI) qui gère l’organisation des secours en
Il est possible d’imaginer analyser les risques d’une installation à cas d’accident à l’intérieur du périmètre de l’installation, sous la
un instant donné, par exemple à t 1 ou à t 2 . On dira alors que l’on a responsabilité du directeur de cette dernière ; le Plan Particulier
travaillé dans une coupe synchronique de l’installation. Mais entre d’Intervention (PPI) qui gère l’organisation des secours à l’extérieur
les instants t 1 et t 2 , l’installation a évolué (diachronie). Il est donc du périmètre de l’installation, si les conséquences de l’accident fran-
impossible de faire l’analyse des risques d’une installation dans sa chissent ce périmètre, sous l’autorité du Préfet.
diachronie. Tout au plus pourra-t-on la pratiquer à certains moments
discrets de cette dernière, que nous allons identifier, et l’on pourra
éventuellement mettre en évidence des risques de transition entre 1.3 Les outils existants
ces moments.
Le contexte d’une analyse de risques peut être défini par deux
Ces moments de vie d’une installation ou phases de vie sont les situations principales :
suivants :
— on s’intéresse à un objet technique, par exemple un avion, un
— conception (CO). C’est le travail de bureau d’études qui définit véhicule, une machine ;
un cahier des charges, un dossier d’appel d’offre, un descriptif, un — on s’intéresse à un milieu plus complexe, par exemple un
dossier de réalisation. Il est évidemment très intéressant d’analyser atelier de fabrication, une usine, une installation industrielle, agri-
les risques en conception car on peut intégrer leur maîtrise dès le cole, urbaine... Ce milieu comportera bien sûr des objets comme des
départ et cela est moins coûteux que de modifier par la suite l’instal- machines, des stockages, des alimentations en fluides, des engins
lation pour des raisons de sécurité ; de manutention..., mais il y aura beaucoup de relations entre ces
— montage (MO). C’est la phase de réalisation qui correspond au objets et avec leur environnement.
chantier avec des risques très spécifiques notamment de manu-
tention ; Les méthodes et outils mis en œuvre pour l’analyse de risques ne
— essais (ES) ou recette. C’est la phase qui permet de faire les seront pas les mêmes dans chacun des deux cas :
vérifications de conformité par rapport au cahier des charges. Elle — dans le premier cas ce sont plutôt les outils classiques de la
est souvent l’objet de risques spécifiques car les éléments de l’ins- Sûreté de fonctionnement qui seront utilisés (consulter à ce propos
tallation peuvent être testés jusqu’à leurs performances maximales les articles Analyse préliminaire des risques [SE 4 010] et Arbres
voire au-delà ; de défaillance, des causes et d’événement [SE 4 050] et la réfé-
— exploitation. Cette phase correspond aux périodes de mise en rence [4]) ;
œuvre de l’installation. On peut la diviser en : — dans le deuxième cas, ces outils seuls ne permettront qu’une
• fonctionnement normal (on la symbolisera par EX) : l’installa- analyse parcellaire, notamment des objets de l’installation, et il
tion fonctionne dans le cadre de ses caractéristiques nomina- sera nécessaire de disposer de méthodes, c’est-à-dire de démar-
les. Elle peut alors générer des nuisances et être la source ches complètes incluant bien sûr les outils, mais capables d’en
d’accidents, organiser la mise en œuvre.
• maintenance qui comprend : Les outils disponibles peuvent être classés en deux catégories :
l’entretien (EN), préventif ou curatif, — des outils semi-empiriques comme l’APR (Analyse Préliminaire
le dépannage (DE), des Risques) qui a donné lieu au développement de grilles issues du
• arrêt (AR). L’installation peut présenter des dangers spéci- retour d’expérience, l’AMDE (Analyse des modes de défaillance et de
fiques à l’arrêt ; leurs effets) et l’AMDEC (bien que normalisé il reste dans cette caté-
— transformation. Cette phase concerne les transformations gorie), HAZOP, l’Analyse Fonctionnelle ;
générant des risques spécifiques liés aux chantiers nécessaires — des outils logiques comme les arbres logiques (arbre de
pour les réaliser ou à l’installation transformée ; défaillances, arbres causes conséquences ou arbres d’événement) et
— démantèlement (DEM) ou déconstruction. Cette phase cor- des outils de type réseaux comme les chaînes de Markov (cf. article
respond aussi à une phase de chantier très spécifique. Relations entre probabilités et équations aux dérivées partielles
[A 565] dans le traité Sciences fondamentales) ou les réseaux de Pétri
Il est donc nécessaire de préciser la phase de vie de l’installation
(cf. articles Réseaux de Petri [R 7 252] dans le traité Mesures et
dans laquelle l’analyse est réalisée. Il est aussi possible de se situer
Contrôle, Applications des réseaux de Petri [S 7 254] dans le traité
dans une phase et de faire apparaître les risques principaux des
Informatique industrielle et la Sûreté de fonctionnement : méthodes
autres phases.
pour maîtriser les risques [AG 4 670] § 5.5 dans le traité L’Entreprise
industrielle). Tous ces outils permettent des approches par le calcul
Une vision systémique consiste par exemple à prévoir et à notamment en matière de probabilité.
maîtriser les risques apparaissant dans les autres phases dès la La mise en œuvre de ces outils présente un certain nombre de dif-
phase de conception. ficultés. Ce sont en effet pour la plupart des outils dont l’origine est
liée à l’analyse de fiabilité « d’objets » ou d’éléments « d’objets » et
leur adéquation à l’analyse de risques n’est pas totale. Par ailleurs,
leur mise en œuvre nécessite de l’information et l’outil en lui-même
1.2 Les besoins d’analyse de risques n’est pas générique de cette dernière.

Nota : le lecteur consultera utilement sur ce sujet l’article Importance de la sécurité dans
l’entreprise [AG 4 600] dans le traité l’Entreprise industrielle. 1.4 Nécessité d’une méthode
Les besoins dans ce domaine sont multiples. Si la connaissance et
la maîtrise des risques de l’entreprise sont tout d’abord un problème On voit donc apparaître une double nécessité :
d’éthique, ce sont aussi un moyen : — essayer de rationaliser les outils à caractère empirique. Le modèle
— d’accroître la confiance du public, du personnel, des investis- MADS (Méthodologie d’analyse de dysfonctionnement des systèmes)
seurs et de conserver une bonne image de marque ; tente de répondre à ce besoin. Modélisation systémique générale du
— de satisfaire les contraintes réglementaires multiples : Code du danger, le modèle MADS constitue la structure conceptuelle des outils
travail, installations classées pour la protection de l’environnement, et méthodes empiriques ou semi-empiriques qui se sont développés
circulaire Seveso, règles des services de prévention des CRAM sur le terrain. MADS permet par exemple de faire apparaître les
(Caisses régionales d’assurance maladie) et des assurances ; concepts de l’AMDEC ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 060 − 3

TQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVP

MOSAR ______________________________________________________________________________________________________________________________

— construire des méthodes qui assurent à la fois une cohérence blir un consensus sur les risques acceptables sous forme d’une
dans le déroulement de la démarche analytique, qui facilitent et arti- grille Gravité-Probabilité ;
culent la mise en œuvre des outils précités, et qui participent à la — une vision microscopique conduisant à un module B qui consiste
genèse de l’information nécessaire à la bonne utilisation de ces der- à faire une analyse détaillée et complémentaire des dysfonctionne-
niers. MOSAR essaie de répondre à ces contraintes. Dans MOSAR, ments techniques et opératoires identifiés dans le module A. C’est en
MADS permet de faire apparaître la structuration des dangers et fait une approche de type « sûreté de fonctionnement » qui vient faire
par conséquent de les identifier de manière rationnelle. foisonner l’analyse précédente. Dans les scénarios établis dans le
module A, on va développer les dysfonctionnements de nature opéra-
toire et ceux de nature technique. C’est à ce niveau que l’on mettra en
œuvre les outils comme les AMDEC, HAZOP et les arbres logiques. Le
2. Structure générale module se termine par le rassemblement et l’organisation de l’infor-
mation acquise pour la gestion des risques c’est-à-dire des scénarios
de la méthode MOSAR identifiés s’ils surviennent.

2.1 Les deux modules et les dix étapes 3. Modèles mis en œuvre :
La méthode s’articule autour de deux visions, d’où les deux MADS
modules qui la composent (figure 2) :
— une vision macroscopique conduisant à un module A qui
consiste à faire une analyse des risques de proximité ou analyse prin- 3.1 Description de MADS
cipale de sécurité ou analyse des risques principaux. C’est parce
que les éléments qui constituent l’installation (stockages, machines, Le modèle MADS (Méthodologie de dysfonctionnement des sys-
chaînes de fabrication, opérateurs) sont à proximité les uns des autres tèmes, figure 3), appelé aussi Univers du danger est un outil initia-
que des risques apparaissent, souvent majeurs. Ces éléments sont lement à vocation pédagogique qui permet de construire et de
modélisés sous forme de systèmes ce qui va permettre d’identifier en comprendre la problématique de l’analyse des risques. Il est
quoi ils peuvent être sources de danger. On recherche ensuite construit sur les bases des principes de la modélisation systémique
comment ils peuvent interférer entre eux et avec leur environnement développés par Jean-Louis Le Moigne dans « La Théorie du Sys-
pour générer des scénarios d’accidents. Ce travail nécessite la mise tème général » [1].
en œuvre du modèle MADS (Méthodologie d’Analyse de Dysfonction- L’univers du danger est formé de deux systèmes appelés système
nement des Systèmes) [2] [3]. Ce module comporte aussi une phase source de danger et système cible, en interaction et immergés dans
de négociation avec les acteurs concernés, qui va permettre d’éta- un environnement dit actif.

À partir
d'une Identifier les Module A : vision macroscopique de l'installation
modélisation sources de Analyse principale de risques ou
de dangers Analyse des risques principaux
l'installation

Identifier les
scénarios de
dangers

Évaluer les
scénarios de
risques
Identifier les
risques de Négocier des
fonctionnement objectifs et
hiérarchiser
Évaluer les risques les scénarios
en construisant
des ADD et en Définir les
les quantifiant moyens de
prévention et
les qualifier
Négocier des
objectifs précis
de prévention

Module B : vision microscopique de l'installation Affiner les


Analyse des risques de fonctionnement ou moyens de
Sûreté de fonctionnement prévention

ADD : arbre de défaillance Gérer


les
risques

Figure 2 – Les deux modules et les dix étapes de MOSAR : le parcours complet du MOSAR

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 060 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

TR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR
Cas industriel
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)

1. Définition de l’exemple. Modélisation ............................................... SE 4 061 - 2


1.1 Décomposition du système étudié et des systèmes environnement
et opérateurs en sous-systèmes................................................................. — 2
2. Le module A de la méthode et ses cinq étapes............................... — 3
2.1 Identification des sources de danger ......................................................... — 3
2.2 Identifier les scénarios de danger .............................................................. — 5
2.3 Évaluation des scénarios à risques ............................................................ — 9
2.4 Négociation d’objectifs et hiérarchisation des scénarios......................... — 9
2.5 Définition et qualification des moyens de prévention et de protection.. — 11
2.6 Conclusion sur le module A........................................................................ — 12
3. Le module B de la méthode et ses cinq étapes ............................... — 13
3.1 Identifier les risques de fonctionnement ................................................... — 13
3.2 Évaluer les risques en construisant des arbres de défaillances
et en les quantifiant ..................................................................................... — 17
3.3 Négocier des objectifs précis de prévention ............................................. — 18
3.4 Affiner les moyens de prévention .............................................................. — 18
3.5 Gérer les risques.......................................................................................... — 21
4. L’organisation des barrières dans une stratégie de défense
en profondeur ........................................................................................... — 22
Références bibliographiques ......................................................................... — 24
Pour en savoir plus........................................................................................... Doc. SE 4 062

a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la


L méthode [SE 4 060], est ici développée à partir d’un exemple concret.
Le choix de ce dernier répond à plusieurs contraintes :
— difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le
domaine public ;
— nécessité de choisir un exemple que l’on peut mettre sous forme
pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni
trop compliqué et doit cependant montrer toute l’amplitude de la méthode ;
— impossibilité de développer complètement l’exemple mais obligation d’en
détailler suffisamment certaines phases pour en montrer l’efficacité.
Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs
suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche
pour en retenir l’attention.
p。イオエゥッョ@Z@。カイゥャ@RPPT

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 1

TS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR ______________________________________________________________________________________________________________________________

1. Définition de l’exemple. tions pour lesquelles une telle décomposition n’a pas d’intérêt,
voire est impossible.
Modélisation C’est le cas d’un laboratoire qui comprend une multitude d’objets sans
sous-systèmes clairement identifiables.
Nous prendrons comme exemple une installation de dépotage Elle permet cependant de générer des scénarios d’interférence
de propane alimentant des ateliers présentée sur la figure 1. ou de proximité entre les sous-systèmes si ces derniers peuvent
Les manières de segmenter le contexte sont multiples mais il être identifiés.
faut remarquer que pour un découpage donné définissant le sys- Il existe plusieurs manières de décomposer une installation en
tème à analyser, le reste du contexte se trouve dans l’environne- sous-systèmes :
ment du système. Ainsi, quelle que soit la situation de la frontière — décomposition hiérarchique en fonction des relations des
retenue entre le système et son environnement, la somme des éléments de l’installation entre eux ;
deux redonne toujours l’ensemble du contexte. — décomposition topologique en fonction de la position des
Le système le plus dangereux dans ce contexte est l’installation éléments de l’installation dans l’espace ;
de dépotage de propane. Elle sera donc le système sur lequel va — décomposition fonctionnelle de par la situation des éléments
porter l’analyse (figure 2). de l’installation dans la chaîne de fonctionnement de cette der-
nière.
Nous utiliserons une association des deux dernières en répon-
1.1 Décomposition du système étudié dant à trois conditions :
et des systèmes environnement — les sous-systèmes répondent aux cinq critères d’un système
(structure, fonction, finalité, évolution et environnement selon le
et opérateurs en sous-systèmes modèle canonique de Le Moigne [1]) ;
— chacun doit être homogène ;
La décomposition du système étudié (ici, le système de dépo- — leur nombre doit être le plus limité possible, en tout cas infé-
tage) en sous-systèmes n’est pas obligatoire. Il existe des installa- rieur ou égal à 12.

Lotissement Lotissement

30 m
Voie ferrée 45 m

Dépotage
120 m

Ateliers

250 m

Parking

90 m

70 m Bâtiment administratif

30 m

Route 20 m
10 m
250 m 300 m

Rivière

Figure 1 – L’installation étudiée

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

TT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

______________________________________________________________________________________________________________________________ MOSAR

Soupape

Sphère

Systèmes de Bras mobile


connexion Tuyau souple

Opérateur
Wagon Canalisations fixes

Pompe Vanne trois voies pour


prélèvement contrôle qualité

Figure 2 – Le système étudié

Dans le cas de l’installation de dépotage de propane, ceci


conduit à cinq sous-systèmes (figure 3) : 2. Le module A de la méthode
— SS1 - la sphère et ses équipements ; et ses cinq étapes
— SS2 - les tuyauteries de remplissage et d’équilibrage ;
— SS3 - le wagon et ses équipements ; Le lecteur consultera la figure 2 de l’article [SE 4 060].

— SS4 - le bras mobile ;


— SS5 - la pompe.
2.1 Identification des sources de danger
Pour ce qui concerne l’environnement on considère que celui-ci 2.1.1 Identification des sources de danger de
est constitué d’un ensemble d’environnements emboîtés [environ- chaque sous-système du système dépotage
nement spécifique directement lié à l’installation, environnement
proche (ville, campagne), environnement lointain (département, Il s’agit d’identifier en quoi chaque sous-système peut être
régional)]. source de danger.
Pour effectuer ce travail, on lit chaque sous-système à travers la
On ne prend en compte, dans l’exemple, que l’environnement grille de typologie des systèmes sources de danger décrite au
spécifique que l’on appellera pour simplifier, sous-système envi- § 2.2, encadré 1 de l’article [SE 4 060].
ronnement. On remplit la première colonne du tableau A (figure 4).
Il en est de même pour les opérateurs. Ils sont constitués en En faisant cette identification pour tous les sous-systèmes, on
équipes, structures hiérarchiques (services, départements...). Dans obtient donc une liste exhaustive des dangers de l’installation
l’exemple, pour simplifier aussi, et d’une manière générale dans la dépotage.
méthode d’analyse, on ne modélisera dans un premier temps, La colonne phases de vie permet de préciser certains dangers.
d’une manière globale, qu’un opérateur que l’on appellera : Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la
sous-système opérateur. phase d’exploitation normale, il n’y a pas de danger de manuten-
tion. En revanche, dans les phases montage et entretien il apparaît
Dans l’exemple, en ajoutant le sous-système opérateur et le un danger de manutention avec les organes tels que les vannes et
sous-système environnement (figure 3), on arrive pour le contexte la soupape.
au total à sept sous-systèmes, dont on étudie d’abord l’interaction
des cinq qui constituent le système dangereux (système étudié) et Il est donc possible de faire l’analyse soit phase par phase, soit
à partir du résultat obtenu dont on étudiera l’interaction avec les en cherchant à identifier les principaux dangers apparaissant dans
deux autres sous-systèmes. les différentes phases.

Remarque : Deux phrases mnémotechniques pour s’aider à


On pourrait aussi étudier les interactions des éléments qui trouver des réponses dans la recherche des processus de danger
composent les sous-systèmes environnement et opérateurs et et stimuler son imagination :
faire apparaître ainsi les interférences internes à ces systèmes — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple,
avant d’étudier les interférences avec les autres sous-systèmes. il y a du courant électrique et il pourrait ne pas y en avoir ;
C’est une approche complémentaire qui n’est pas développée — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile.
dans ce document. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 3

TU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

MOSAR ______________________________________________________________________________________________________________________________

SS1 Sphère est ses SS2 tuyauteries d'équilibrage


équipements et de remplissage

SS5 Wagon et ses SS4 Bras SS3


SS6 sous-système
équipements mobile Pompe opérateur

Système analysé

Route

Parking
CONTEXE

Lotissement

Ateliers

Bâtiments administratifs

Voie ferrée

Rivière

SS7 Sous-système
environnement
SS : Sous-système

Figure 3 – La décomposition du contexte en sept sous-systèmes

2.1.2 Identification des processus de danger comme tel. Il nous aide à faire apparaître des événements et leurs
enchaînements pouvant avoir des effets non souhaités sur des
Ce travail se fait ligne par ligne en recherchant les événements cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient
qui constituent les processus de danger. On utilise le tableau A à l’analyste de se servir des identifications d’événements pour
(figure 4) en commençant par la colonne des événements initiaux. construire des chaînes plus ou moins longues d’enchaînements.
Ces derniers peuvent provenir soit du contenant, c’est-à-dire de
l’enveloppe du système source, soit de son contenu. Exemple : l’événement surpression apparaît à deux endroits diffé-
On recherche ensuite les événements initiateurs qui peuvent rents dans la recherche des processus de danger liés à la pression :
engendrer les événements initiaux et on les note dans la colonne — c’est un événement initiateur interne d’une rupture ou d’une fis-
correspondante du tableau A. Ces événements peuvent être d’ori- sure de l’enveloppe ;
gine interne ou externe au système source de danger. Dans ce — c’est un événement initial interne dont l’événement initiateur
dernier cas ils sont générés par les champs. interne est un dysfonctionnement de soupape et l’événement initia-
La chaîne événements initiateurs – événements initiaux génère teur externe un flux thermique. La chaîne complète devient :
des événements principaux que l’on note dans la dernière colonne
à droite du tableau A (figure 4). Flux thermique surpression interne fissure
& & rupture

2.1.3 Remarques
&
Dysfonctionnement de soupape

Cette technique nous donne un outil de génération d’un Dans l’identification des événements principaux, il faut prendre
ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser garde à ne pas noter des interférences avec les autres sous-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 061 − 4 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques

TV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVQ

______________________________________________________________________________________________________________________________ MOSAR

Phases de vie : Influence des champs : Événements renforçateurs :


Conception CO Conditions météo Sources d'allumage
Montage MO Corrosivité de l'air Densité de population
Essais ES Productivité Densité de circulation de trains et de véhicules
Exploitation : EX Réglementation
Entretien EN Maintenance
Dépannage DE Organisation des équipes
Arrêt AR Qualité de formation du personnel
Transformation TR
Démantèlement DEM

Événements initiateurs Événements initiaux


(3) (2)
Types de systèmes
Phases Événements
sources de danger (1)
de vie Externes principaux
Application de la grille Liés Liés
(environnement Internes
au contenant au contenu
actif)
Corrosion
A 1 - sphère Choc
Surpression Rupture Fuite de propane :
et ses EX Corrosion Surpression
Dysfonctionnement Fissure gaz liquide
équipements Flux thermique
soupape
Déformation
Corrosion Rupture
A 2 - support EX Corrosion Effondrement
Surcharge Déformation
Renversement
Erreur de
A 3 - propane Dysfonctionnement
remplissage Débit Sphère trop pleine
vannes, EX de la vanne Blocage
Choc, Givrage trop grand Fuite
soupape Prélèvement
Obstacle
Choc manutention
A 4 - vannes, EN en cours de Déformation
Fuite
soupape MO montage ou de Fissuration
remontage
Diminution
Montée en
A 5 - sphère EX Énergie thermique de résistance BLEVE
température
mécanique
EN Pluie Structure
Accès en hauteur
A 6 - sphère DE Gel glissante
dangereux
EX Maladresse Accès hauteur
EN
A 7 - cuvette Maladresse Circulation à pied
DE Dénivellement
de rétention Fatigue dangereuse
EX
EN
Possibilité
A 8 - équipements DE Maladresse Aspérités
de blessures
EX
B 2 - sphère EX Entrée d'air Explosion Explosion de la sphère
D 3 - propane EX Électricité statique Fuite Fuite enflammée
E 2 - électricité Mauvaise mise Déplacement
EX Électricité statique
statique à la terre propane

Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère

systèmes sinon la génération de scénarios deviendra confuse par 2.2 Identifier les scénarios de danger
la suite.
Ne pas écrire explosion dans l’événement principal du processus Dans les installations industrielles, notamment celles présentant
de danger lié à la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scénarios d’acci-
générée par la fuite rencontre une source d’allumage (dans une cible) dents majeurs sont connus notamment grâce au retour d’expé-
pour qu’il y ait explosion. rience. On en retient généralement six principaux [2] :
De la même manière, ne pas écrire chute de hauteur dans le — incendie ;
processus de danger lié à l’accès en hauteur de la sphère car encore — explosion ;
faut-il qu’un opérateur ait à accéder sur la sphère pour que cela — libération de produits toxiques ;
entraîne sa chute.
— libération de produits inflammables ;
— pollution des sols ;
On ne tient pas compte des barrières de prévention et de pro- — pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intéressant, voire indispensable de pouvoir générer des
nement. En effet, si l’on veut pouvoir juger de la pertinence des scénarios d’accidents possibles [ou plus généralement des scéna-
barrières prévues (projet) ou existantes (diagnostic), il est néces- rios d’événement non souhaité (ENS)] et notamment de faire appa-
saire de faire un point zéro sans barrières. raître les principaux. Ceci permet en effet :

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 5

TW
TX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWP

Analyse des risques des systèmes


dynamiques : préliminaires
par Jean-Pierre SIGNORET
Maître ès sciences. Ingénieur fiabiliste Total
Ancien Président de European Safety & Reliability Society (ESRA)
Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF

1. Notion de « Risque »............................................................................... SE 4 070 - 2


2. Démarche générale.................................................................................. — 2
3. Sécurité versus disponibilité (de production).................................. — 2
4. Méthodes et outils................................................................................... — 4
5. Systèmes dynamiques ............................................................................ — 5
Références bibliographiques ......................................................................... — 5

nalyse des risques des systèmes dynamiques : choisi pour ne comporter


A que des mots du langage courant, un tel titre ne devrait générer aucune
ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de
termes font l’objet d’une certaine dérive sémantique qui brouille les propos à
l’insu même des interlocuteurs.
Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse
des risques, mais ce terme restant encore très fortement connoté sécurité, cela
n’aurait pas correspondu complètement à l’esprit de cet article où nous nous
préoccupons aussi d’aspects économiques comme la disponibilité de produc-
tion, par exemple. En effet, défini comme une grandeur à deux dimensions
(probabilité × conséquences), le risque a l’immense avantage d’appréhender,
dans le même concept, des risques de nature complètement différente et, dans
cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus
de méthodes et d’outils fiabilistes développés ces cinquante dernières années
permet de faire face aux divers types de risques rencontrés.
De même, tout système industriel étant peu ou prou « dynamique », l’appel-
lation système dynamique constitue un raccourci pour désigner les méthodes
et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le
comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabi-
liste s’inscrivent en effet dans une démarche d’analyse systématique, systé-
mique et probabiliste mettant en œuvre toute une batterie de méthodes et
d’outils que l’on peut globalement répartir en trois grandes classes :
— méthodes de base pour aborder et dégrossir les problèmes ;
— méthodes statiques pour analyser les systèmes d’un point de vue structurel
(topologique) ;
— méthodes dynamiques pour appréhender les aspects comportementaux.
Cette classification traduit une certaine gradation dans le degré d’expertise
nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent
de plus en plus l’allure de boîtes noires dont les limitations échappent souvent
à ceux qui les utilisent.

Le but de cet article introductif est de discuter rapidement des différentes classes de métho-
des et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des pro-
blèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche
générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs :
— processus de Markov (méthode analytique) [SE 4 071] ;
p。イオエゥッョ@Z@。カイゥャ@RPPU

— réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 070 − 1

TY
UP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

Méthode MADS-MOSAR
Pour en favoriser la mise en œuvre

par Olivier GRANDAMAS


Docteur en génie de l’environnement
Directeur d’Asphaleia

1. Problématique ........................................................................................... SE 4 062 - 2


2. Modèle de référence ................................................................................ — 2
3. Mise en œuvre de MADS-MOSAR ........................................................ — 3
4. Mises en œuvre complémentaires ....................................................... — 8
5. Adéquation méthode/problématique .................................................. — 9
6 . Autre champs d’application .................................................................. — 9
7 . Exemple d’application............................................................................. — 9
8. Avantages et inconvénients .................................................................. — 14
9. Mise en œuvre ........................................................................................... — 15
10. Conclusion.................................................................................................. — 15
Pour en savoir plus ........................................................................................... Doc. SE 4 062

’objectif de cette présentation est d’apporter, en complément des


L articles [SE 4 060] et [SE 4 061] sur la méthode MOSAR, un regard très
« pratique » sur la mise en œuvre de MADS-MOSAR.
Force est de constater à ce jour que, si cette méthode est toujours enseignée,
elle est très peu appliquée. On retient aujourd’hui que ses principes sont bons
mais que sa mise en œuvre est lourde et fastidieuse, qu’elle est réservée à des
experts et que le rapport temps passé sur travail produit est beaucoup trop
important.
L’objectif est donc ici d’inverser cette perception et de convaincre le lecteur
des très nombreux avantages de MADS-MOSAR, en comparaison notamment
avec d’autres méthodologies.
Ce travail est le fruit d’une expérience de près de 20 ans dans la mise en
œuvre de MADS-MOSAR pour analyser les risques de systèmes divers et
variés. Utiliser cette méthodologie comme support pour assurer des presta-
tions dans un bureau d’études oblige à se poser beaucoup de questions et à
trouver obligatoirement des réponses permettant de produire une analyse
conforme aux attentes, notamment réglementaires, tout en étant rentable.
Toute cette expérience et ce travail vont être restitués dans cet article, avec le
souci permanent d’axer la présentation de la méthode sous un aspect
« pratique », indispensable à son appropriation.
Certains y trouveront probablement une rupture avec ce qui est classique-
ment présenté sur MADS-MOSAR, notamment dans les articles précédents.
Une telle rupture semble être le prix de son opérationnalité.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQP

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 062 – 1

UQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

1. Problématique tème industriel. Les responsables de ces systèmes doivent assurer


la protection de leur personnel et de l’environnement, mais doi-
vent également assurer la pérennité de leurs installations et de
MADS-MOSAR est une méthode d’analyse de risques élaborée leur production. Ce sont sur ces fondements que sont nés les
par Pierre Périlhon [1] [2]. plans de continuité d’activité (PCA). Quels sont tous les risques qui
peuvent se produire et in fine entraîner la perte d’exploitation de
L’analyse de risques est « née » au début des années 1960. Le
tout ou partie du système ? Y répondre nécessite la réalisation
besoin d’analyser les risques est parti de la nécessité de fiabiliser
d’une analyse de risques.
des systèmes, militaires à l’origine. On a donc mis en œuvre des
méthodologies pour assurer la sûreté de fonctionnement de La perte d’activité a également des effets domino sur les
systèmes complexes. Ces méthodologies liées à la sûreté de fonc- finances. Il y a donc obligatoirement un lien entre analyse de
tionnement ont été ensuite appliquées à des systèmes plus indus- risques et risques financiers.
triels pour répondre notamment à des exigences réglementaires. Enfin, avec la conjoncture actuelle et son lot de mutations, de
La loi de 1977 sur les installations classées, renforcée par la pre- reclassements, de fermetures de sites, de préretraites, savoir ana-
mière réglementation européenne dite « Seveso » ont poussé les lyser les risques psycho-sociaux entre également dans le spectre
industriels à produire des analyses de risques afin de démontrer de l’analyse de risques sur des systèmes industriels.
qu’ils avaient non seulement identifié les risques liés à l’exploita-
tion de leur système, mais qu’ils avaient également pris toutes les La nécessité de réaliser des analyses de risques ne se limite
dispositions pour en assurer la maîtrise. cependant pas aux risques industriels.
Pour produire ces analyses, les industriels, accompagnés par les Les risques naturels, les risques urbains et leurs interactions
bureaux d’études, ont utilisé les méthodes qu’ils maîtrisaient pour avec les risques industriels nécessitent également de mener à bien
la sûreté de fonctionnement. Par des analyses HAZOP ou AMDEC, des analyses de risques. Pour établir son plan communal de sau-
deux méthodologies issues de la sûreté de fonctionnement, ils ont vegarde, un maire doit avoir au préalable analysé les risques
produit les études de danger réglementairement demandées. auxquels ses administrés peuvent être exposés. Il doit aussi et sur-
Jusqu’à la fin du siècle dernier, 99 % de ces analyses de risques tout avoir pris les mesures de prévention et de protection pour les
étaient produites à partir de ces méthodes. protéger.
Les retours d’expériences ont démontré des lacunes dans ces En conclusion, il n’y a pas aujourd’hui un système industriel,
analyses de risques. Un certain nombre de pré-accidents, voire naturel ou urbain qui échappe à l’analyse de risques.
d’accidents, se sont produits sur des sites à risques. Leur analyse a Compte tenu de ce spectre, il existe presque autant de méthodo-
montré que des scénarios non étudiés dans les analyses de logies que de problématiques.
risques produites se matérialisaient. Un manque d’exhaustivité et
de systématisme était mis en évidence. Ne peut-on pas utiliser une seule et même référence méthodolo-
gique pour analyser les risques de ces différents systèmes avec
Les législateurs ont fait évoluer la réglementation et, pour les
différents objectifs ?
installations classées pour la protection de l’environnement (ICPE),
« Seveso 2 » a vu le jour. Une des évolutions de la réglementation Le modèle de référence de MADS-MOSAR le permet, encore
est de réaliser une analyse de risques systématique d’un site, sans faut-il le démontrer.
se focaliser uniquement sur les potentiels de danger les plus
importants. La notion d’effets domino en est la concrétisation.
Force est de constater que les méthodes utilisées jusqu’ici ne
sont plus pleinement adaptées. Réaliser une HAZOP est faire l’ana- 2. Modèle de référence
lyse de risques d’un procédé. Son application, de par sa logique,
ne permet pas de prendre en compte systématiquement les inte-
Afin de bien situer la méthode MADS-MOSAR, il est nécessaire
ractions de ce procédé avec son environnement. L’HAZOP doit être
de faire le point sur la problématique de la maîtrise des risques.
complétée par une approche plus macroscopique. L’AMDEC, de
par son formalisme ne permet pas une prise en compte systémati- La maîtrise des risques est le corps de connaissances transver-
que des effets domino. C’est à celui qui utilise cette méthodologie sales qui a pour objectif de traiter (identifier, maîtriser, gérer et
de bien identifier les « causes » et les « conséquences » des poten- manager) des événements non souhaités ou indésirés (des dys-
tiels de danger qu’il a identifiés. fonctionnements) issus de la structure, de l’activité, de l’évolution,
On constate dès lors que les analyses de risques réalisées de la finalité ou de l’environnement des systèmes naturels ou arti-
aujourd’hui sont des patchworks de méthodologies différentes ficiels.
dans l’objectif de couvrir l’ensemble des exigences réglementaires. Ces événements provoquent ou sont susceptibles de provoquer
Il faut dire que la réglementation en la matière a des impacts sur des installations et/ou êtres vivants tels que les
considérablement évolué, et qu’aujourd’hui, produire une analyse individus, les populations, les écosystèmes.
de risques en bonne et due forme ne s’invente pas. L’application de cette connaissance au problème des analyses
Cette vision des analyses de risques dans le contexte des instal- de risques nécessite au préalable une réflexion épistémologique
lations classées pour la protection de l’environnement est cepen- afin de dégager un langage unitaire, des concepts transversaux.
dant très restrictive. L’approche systémique propose des principes méthodologiques
L’analyse de risques est donc devenue omniprésente dans nos d’investigation des systèmes naturels et artificiels pour améliorer
problématiques actuelles. leur conception, leur fonctionnement et leur gestion.
Dans le monde industriel et les sites de production, il est Sur la base de la systémique et en particulier du concept de sys-
aujourd’hui nécessaire de réaliser une analyse de risques pour tèmes proposé par J.L. Lemoigne [3], le groupe MADS (Méthode
produire le document unique né de l’évaluation des risques profes- d’analyse du dysfonctionnement des systèmes) a développé un
sionnels conformément au Code du travail (réglementation remise modèle de référence appelé processus qui s’adapte à la probléma-
au goût du jour en novembre 2001). Réaliser une étude ATEX tique de la maîtrise des risques [4] [5].
(atmosphère explosible) nécessite également de réaliser une ana- Pour établir ce modèle, on appelle flux des transactions non
lyse de risques. désirées d’un système avec son environnement et champ, l’envi-
Ces besoins en analyse de risques vont également au-delà des ronnement actif dont les fluctuations produisent des ruptures de
problématiques hygiène, sécurité et environnement de tout sys- stabilité du système.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 062 – 2 est strictement interdite. – © Editions T.I.

UR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

_____________________________________________________________________________________________________________ MÉTHODE MADS-MOSAR

miner la recherche de processus source-flux-cible par simple


Source Cible positionnement des sous-systèmes les uns par rapport aux autres.
Source Effets La méthode MADS-MOSAR n’impose pas de règle de modélisa-
de flux du flux tion. La personne qui réalise l’analyse de risques avec
Flux MADS-MOSAR est libre de modéliser comme bon lui semble.
Cependant, par expérience, il est important de donner quelques
Figure 1 – Modèle de référence conseils.
■ Conseils pratiques
L’origine du flux sera appelée source ; la rupture d’équilibre • La modélisation est réalisée indépendamment de la probléma-
concernant sa forme et/ou son comportement sera nommée tique de risques. On ne se dit pas : « Je ne prends pas en compte
source de flux. La partie influée par le flux sera appelée cible ; sa ce sous-système parce qu’il n’y a pas de risque ». Un tel raison-
rupture d’équilibre sera nommée effet. nement s’avérerait dangereux. Modéliser un sous-système sans lui
Il est à noter que cet effet peut lui-même être source (transfor- associer de source signifie que ce système a bien été étudié et
mant ainsi une cible en une source), ce qui traduit le phénomène qu’il ne comporte pas de source.
d’enchaînement d’événements non désirés que l’on appelle scéna- • La modélisation est indépendante de la problématique analy-
rio. sée. Que je fasse du document unique ou de l’étude de danger, je
Une analyse de risque consiste donc à étudier le processus, dois disposer de la même modélisation.
c’est-à-dire la mise en relation d’une source avec une cible au • Si possible, la modélisation doit reprendre les termes qui
moyen de phénomènes appelés flux dans un environnement actif caractérisent le système étudié et qui sont communément utilisés
appelé champ. par les personnes qui exploitent le système.
Le modèle de référence est présenté figure 1. • Il faut privilégier une modélisation géographique et fonction-
nelle à une modélisation organisationnelle. En effet, une organisa-
tion, cela évolue sans cesse. Si à chaque fois que l’organisation
changeait, il fallait actualiser l’analyse de risques, cette contrainte
3. Mise en œuvre serait rédhibitoire. En revanche, l’organisation peut se greffer à la
modélisation. On peut associer un service, une personne à un
de MADS-MOSAR sous-système modélisé.
• Il faut privilégier une modélisation géographique à une modé-
En appliquant MADS-MOSAR, pour réaliser une analyse de lisation fonctionnelle. Une modélisation géographique est beau-
risques avec ce moteur de référence, il est nécessaire de procéder coup plus parlante. Elle peut être couplée à un plan. Une
étape par étape : modélisation fonctionnelle est à réserver pour des réseaux. On ne
va pas créer un sous-système « Réseau d’air comprimé » dans
1. modélisation du système étudié en le découpant en
chaque local desservi. On va prendre en compte un seul et même
sous-systèmes ;
système.
2. identification des sources ;
• Les sous-systèmes modélisés peuvent être regroupés par fina-
3. association des événements ; lité. On va créer un système « Réseaux » et dans ce sous-système,
4. construction des processus ; créer « Réseau d’air comprimé », « Réseau de vapeur ». Les
mêmes règles peuvent être appliquées aux véhicules, aux engins.
5. construction des scénarios ;
• Quel que soit le système étudié, quelle que soit son échelle, il
6. construction des arbres logiques ;
est conseillé de prendre en compte par défaut trois sous-systèmes,
7. identification des mesures de maîtrise des risques ; indépendamment du système étudié : sous-systèmes « Environne-
8. identification des mesures de pérennité. ment naturel », « Environnement technologique » et « Environne-
ment urbain ». La prise en compte systématique de ces sous-
systèmes garantit l’exhaustivité dans la prise en compte des effets
3.1 Modélisation domino entre le système étudié et son environnement.
• Toujours par souci de simplification, il est préconisé de
La modélisation du système à étudier consiste en une prendre en compte systématiquement un système « Hommes » et
décomposition sous forme de sous-systèmes à partir : de le décomposer en sous-systèmes : « Personnel », « Entreprises
– de représentations du système (descriptions, schémas, plans, extérieurs », « Visiteurs » et « Population ». Une telle décomposi-
etc.) ; tion se justifie pour un système industriel, mais serait différente
– d’une visite du système ; pour un système naturel ou urbain. L’homme est omniprésent
– d’échanges avec les acteurs du système. dans le système étudié et son environnement. Considérer l’homme
comme une source et une cible est un minimum. Malheureuse-
La modélisation du système étudié permet d’atteindre deux ment, si l’on considère l’homme seulement comme une source et
objectifs cruciaux en analyse de risques : l’exhaustivité et l’optimi- une cible, on va obligatoirement le retrouver dans tous les systè-
sation. mes modélisés. On va alors démultiplier l’analyse et considérable-
Le fait de ne pas oublier de sous-systèmes est primordial ; c’est ment l’alourdir en répétant à chaque système des mesures de
le garant de l’exhaustivité. Dans la suite de l’analyse, il va falloir maîtrise des risques pour l’homme qui, finalement s’avèrent géné-
identifier les sources. Cette identification se fera sous-système par riques. Rien n’empêche de décomposer le sous-système «
sous-système, de manière systématique, indépendamment les uns Personnel » en « Personnel administratif » et « Personnel tech-
des autres. Oublier un sous-système, c’est oublier des sources ou nique », ce dernier pouvant encore être décomposé en « Cariste »,
des cibles, c’est donc oublier des scénarios et donc occulter la « Pontier », « Soudeur ». Une telle modélisation s’applique parfai-
mise en œuvre des mesures de maîtrise des risques nécessaires. tement aux objectifs de l’évaluation des risques professionnels.
Quant à l’optimisation, elle est liée au simple fait que des • La modélisation peut s’envisager par étapes. On peut la faire
sous-systèmes physiquement éloignés ne pourront pas être à l’ori- évoluer, non pas dans sa transversalité, ce qui est plus délicat,
gine de flux susceptibles de les impacter. On va donc pouvoir éli- mais dans sa profondeur. On réalise une étude de danger, on

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 062 – 3

US
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPVR

MÉTHODE MADS-MOSAR ____________________________________________________________________________________________________________

modélise un sous-système « Local transformateur ». Compte tenu


des objectifs de l’analyse, il ne s’avère pas nécessaire de le redé- Tableau 1 – Typologie associée aux sources
composer en sous-systèmes. Les risques identifiés seront liés à Code Type de danger
l’incendie et à la pollution. En revanche, si l’on a pour objectif une
évaluation du risque professionnel ou un plan de continuité d’acti- A.1 Appareils sous pressions
vité, il va être nécessaire de décomposer ce système.
A.2 Éléments sous contraintes mécaniques
A.3 Éléments en mouvement
3.2 Identification des sources
A.4 Éléments nécessitant une manutention
La première étape dans la construction des processus A.5 Systèmes sources d’explosions d’origine
source-flux-cible est bien évidemment l’identification des sources physique autres que A.1
à l’origine potentielle des flux susceptibles d’impacter une cible.
La source est le potentiel de danger susceptible de générer un A.6 Systèmes sources de chute de hauteur
flux pouvant impacter une cible. A.7 Systèmes sources de chute de plain-pied
La méthodologie MADS-MOSAR consiste à identifier toutes les
sources, sous-système par sous-système. A.8 Autres systèmes sources de blessures
Cette identification peut être réalisée de différentes manières : A.9 Systèmes sources de bruit et de vibrations
en groupe de travail, à travers des documents (fiches de données
de sécurité), par retour d’expérience, etc. B.1 Systèmes sources de réactions chimiques
MADS-MOSAR met à la disposition de ses utilisateurs une liste B.2 Systèmes sources d’explosion
de typologie des sources.
B.3 Systèmes sources de toxicité et d’agressivité
La grille de typologie des sources, présentée dans le tableau 1
distingue les systèmes sources de danger d’origine mécanique (A), B.4 Systèmes sources de pollution de l’atmosphère
chimique (B), électrique (C), les systèmes sources de danger et d’odeurs
d’incendie (D), radiologiques (E), les systèmes sources de danger
biologique (F), sources de perte d’activité (G) et les systèmes B.5 Systèmes sources de manque d’oxygène
sources d’origine humaine (H). C.1 Électricité à courant continu ou alternatif
Cette grille a pour premier objectif d’aider dans l’identification
des sources. Pour ce faire, sous-système par sous-système, on par- C.2 Électricité statique
court cette grille en se posant systématiquement les questions C.3 Condensateurs de puissance
suivantes : dans ce sous-système, y a-t-il des éléments sous
pression ? Y a-t-il des éléments sous contraintes mécaniques ? Y D Systèmes sources d’incendie
a-t-il des éléments en mouvement ?
E.1 Systèmes sources radiologiques
Si oui, on associe au sous-système étudié les noms des sources
correspondantes, avec leur typologie : bouteille d’azote – A.1, pou- E.2 UV – IR – Visible
tre du pont-roulant – A.2, chariot élévateur – A.3... On peut identi-
fier plusieurs sources pour un même système. Une source peut E.3 Lasers
porter le même nom mais pas la même typologie. Une bouteille de E.4 Micro-ondes
gaz sous pression présente une source du fait qu’elle soit sous
pression (A.1) mais aussi du fait qu’elle soit source de chute de E.5 Champs magnétiques
hauteur (A.6). On notera alors : bouteille de gaz – A.1 et bouteille F.1 Virus – Bactéries
de gaz – A.6.
Cette typologie a aussi pour objectif de classer les sources et en F.2 Toxines
faciliter ainsi l’exploitation. Il est possible alors de rechercher par G Source de par sa fonction
exemple toutes les sources d’explosion présentes dans un
sous-système donné. H Source d’origine humaine
■ Conseils pratiques
• L’identification des sources ne doit s’envisager qu’une fois la
modélisation terminée. On procède ainsi étape par étape. L’ana- 3.3 Association des événements
lyse n’en sera que plus cohérente et plus efficace.
• Il est plus aisé de regrouper les sous-systèmes par probléma- Une fois les sources identifiées, il faut leur associer des événe-
tique. On va identifier les sources dans tous les réseaux, puis dans ments, conformément au modèle MADS. On distingue (figure 2) :
tous les engins, puis dans tous les véhicules, etc. – l’événement initial (EI) ;
• Au couple source-typologie, il est indispensable d’associer – les événements initiateurs internes (EII) ;
une phase de vie. En effet, on peut retrouver une source qualifiée – les événements initiateurs externes (EIE) ;
par un même nom et par une même typologie, mais identifiée – les événements principaux (EP).
dans une phase de vie du système différente. Par exemple, un L’événement initial (EI) : c’est l’événement redouté lié à la source
chariot élévateur en mouvement (A.3) peut être identifié en (rupture de confinement, incendie, explosion, etc.).
« Exploitation », mais aussi en « Maintenance ». Il est crucial de les
distinguer ainsi car ils ne présenteront pas les mêmes risques ; on Les événements initiateurs internes (EII) : ce sont les événe-
ne mettra pas en œuvre les mêmes mesures de maîtrise des ments internes propres à la source et qui peuvent initier à eux
risques. En conséquence, une source doit être obligatoirement seuls l’occurrence EI (usure, corrosion, dysfonctionnement, etc.).
définie par un nom, une typologie et une phase de vie. Ce conseil Les événements initiateurs externes (EIE) : ce sont les événe-
trouve toute sa raison d’être quand on constate que la réglementa- ments extérieurs à la source de danger et qui peuvent initier à eux
tion sur les ICPE impose de réaliser une analyse de risques dans seuls l’occurrence EI (flux thermique chaud, flux liquide, action
toutes les phases de vie du système. involontaire, etc.).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 062 – 4 est strictement interdite. – © Editions T.I.

UT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

˜>ÞÃiÊ`iÃÊÀˆÃµÕiÃÊ`iÃÊÃÞÃÌm“iÃÊ
`ޘ>“ˆµÕiÃÊ\Ê>««ÀœV…iʓ>ÀŽœÛˆi˜˜i

«>À i>˜‡*ˆiÀÀi - ", /


>ŠÌÀiÊmÃÊÃVˆi˜Viðʘ}j˜ˆiÕÀÊw>LˆˆÃÌiÊ/œÌ>
˜Vˆi˜ÊۈVi‡«ÀjÈ`i˜ÌÊ`iʏ½˜Ã̈ÌÕÌÊ`iÊ-×ÀiÌjÊ`iÊœ˜V̈œ˜˜i“i˜ÌÊ­-`®
˜Vˆi˜Ê*ÀjÈ`i˜ÌÊ`iÊ ÕÀœ«i>˜Ê->viÌÞÊEÊ,iˆ>LˆˆÌÞÊÃÜVˆ>̈œ˜Ê­ -,®
˜ˆ“>ÌiÕÀÊ`ÕÊ}ÀœÕ«iÊ`iÊÌÀ>Û>ˆÊÊ,iV…iÀV…iʓj̅œ`œœ}ˆµÕiʂÊ`iʏ½`,‡-`

£°
œ˜ÃÌÀÕV̈œ˜Ê}À>«…ˆµÕiÊ`½Õ˜Ê}À>«…iÊ`iÊ>ÀŽœÛ °°°°°°°°°°°°°°°°°°°°°°°°°°°° - Ê{ÊäǣʇÊÓ
Ó° ««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊV>ÃȵÕi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°£ +ÕiµÕiÃÊ`jw˜ˆÌˆœ˜ÃÊ`iÊL>Ãi °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p Î
Ó°Ó À>«…iÊ`iÊ>ÀŽœÛÊÛiÀÃÕÃÊ«>À>“mÌÀiÃÊV>ÃȵÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p {
Ó°Î +ÕiµÕiÃÊjj“i˜ÌÃÊ̅jœÀˆµÕið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p x
ΰ ««ÀœV…iʁʓՏ̈jÌ>Ìʂ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
ΰ£ ˜ÌÀœ`ÕV̈œ˜°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p n
Î°Ó Ýi“«iÃÊ`iÊ}À>«…iÃÊ`iÊ>ÀŽœÛÊ«œÕÀÊ`iÃÊÃÞÃÌm“iÃÊȓ«ið°°°°°°°°°°°°°°° p £Ó
ΰΠ,j`ÕV̈œ˜Ê`iʏ>ÊÌ>ˆiÊ`iÃÊ}À>«…ià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £{
{° *ÀœViÃÃÕÃʓՏ̈«…>Ãià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°£ ˜ÌÀœ`ÕV̈œ˜°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
{°Ó Ýi“«iÃÊȓ«iÃÊ`iÊÃÞÃÌm“iÃʓՏ̈«…>Ãið°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p £n
x° ˆ“ˆÌ>̈œ˜Ã °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°£ />ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ÊVœ˜ÃÌ>˜Ìð°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÓ
x°Ó ˆ}>˜ÌˆÃ“iÊ`Õʘœ“LÀiÊ`½jÌ>ÌÃÊiÌÊ`ˆvwVՏÌjÃÊ`iÊVœ˜ÃÌÀÕV̈œ˜°°°°°°°°°°°°°°°°°° p ÓÓ
È°
œ˜VÕȜ˜ °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ
,jvjÀi˜ViÃÊLˆLˆœ}À>«…ˆµÕià °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° p ÓÎ

 ½>««ÀœV…iÊ “>ÀŽœÛˆi˜˜iÊ iÃÌÊ >Ê `œÞi˜˜i]Ê `œ˜VÊ >Ê «ÕÃÊ Vœ˜˜ÕiÊ iÌÊ >Ê «ÕÃ
ṎˆÃji]Ê`iÃʓj̅œ`iÃʓˆÃiÃÊi˜Ê ÕÛÀiÊ«œÕÀʏiÊÌÀ>ˆÌi“i˜ÌÊ«ÀœL>LˆˆÃÌiÊ`iÃ
ÃÞÃÌm“iÃÊÃiÊVœ“«œÀÌ>˜ÌÊ`ޘ>“ˆµÕi“i˜Ì°
iÊi˜ÌÀiÊ`>˜Ãʏ>ÊV>ÃÃiÊ`iÃʁÊ>««ÀœV…iÃÊ>˜>Þ̈µÕiÃÊ«>ÀÊjÌ>Ìà ‚ÊL>ÃjiÃÊÃÕÀ
½ˆ`i˜ÌˆwV>̈œ˜Ê `iÃÊ `ˆvvjÀi˜ÌÃÊ jÌ>ÌÃÊ `ÕÊ ÃÞÃÌm“iÊ Vœ˜ViÀ˜jÊ «ÕˆÃÊ ÃÕÀÊ ½>˜>ÞÃiÊ `i
½jۜṎœ˜Ê`Õ`ˆÌÊÃÞÃÌm“iÊi˜ÌÀiʏiÃ`ˆÌÃÊjÌ>Ìð
1˜iÊ `iÊ ÃiÃÊ V>À>VÌjÀˆÃ̈µÕiÃÊ >Ê «ÕÃÊ ˆ˜ÌjÀiÃÃ>˜ÌiÊ iÃÌÊ Ã>Ê «œÃÈLˆˆÌjÊ `iÊ Ài«Àj‡
Ãi˜Ì>̈œ˜Ê }À>«…ˆµÕiÊ µÕˆÊ >Õ̜ÀˆÃiÊ Ãœ˜Ê ṎˆÃ>̈œ˜Ê Ã>˜ÃÊ >ۜˆÀÊ Àjii“i˜ÌÊ D
Vœ˜˜>ŠÌÀiʏiÊ`jÌ>ˆÊ`iʏ>ʓ>̅j“>̈µÕiÊÜÕǍ>Vi˜Ìi°Ê
i«i˜`>˜Ì]ÊVœ““iʈÊv>ÕÌ
ÃiÊ}>À`iÀÊ`iʓˆÃiÃÊi˜Ê ÕÛÀiÊ`ÕÊÌÞ«iʁÊLœŠÌiʘœˆÀiʂÊÜÕÛi˜ÌÊÜÕÀViÃÊ`½iÀÀiÕÀÃ
iÌÊ`iÊVœ˜ÌÀiÃi˜Ã]ÊViÊ`œÃÈiÀÊý>ÌÌ>V…iÊDÊ`j}>}iÀ]Êi˜Êˆ>ˆÃœ˜Ê>ÛiVʏiÃÊ«ÀœLm“iÃ
Vœ˜VÀiÌÃÊ Ài˜Vœ˜ÌÀjÃÊ «>ÀÊ iÃÊ >˜>ÞÃÌiÃ]Ê iÃÊ «Àˆ˜Vˆ«iÃÊ iÃÃi˜ÌˆiÃÊ `iÊ ViÌÌi
“>̅j“>̈µÕi°
"ÕÌÀiÊ Ãœ˜Ê ṎˆÃ>̈œ˜Ê VœÕÀ>˜ÌiÊ «œÕÀÊ iÃÊ V>VՏÃÊ `iÊ w>LˆˆÌjÊ iÌÊ `ˆÃ«œ˜ˆLˆˆÌj
V>ÃȵÕiÃ]Ê ViÌÌiÊ >««ÀœV…iÊ ÀiVmiÊ `iÃÊ ÀiÃÜÕÀViÃÊ Lˆi˜Ê ÜÕÛi˜ÌÊ ˆ˜ÃœÕ«Xœ˜˜jiÃ
“k“iÊ`iÊÃiÃÊṎˆÃ>ÌiÕÀÃʏiÃÊ«ÕÃÊ>ÃÈ`ÕðÊ
½iÃÌÊ«œÕÀµÕœˆÊViÊ`œÃÈiÀÊý>««ˆµÕi
DÊ “iÌÌÀiÊ i˜Ê Õ“ˆmÀiÊ iÃÊ V>«>VˆÌjÃÊ `iÊ ViÌÌiÊ >««ÀœV…iÊ DÊ Àj«œ˜`ÀiÊ >ÕÊ ÌÀ>ˆÌi“i˜Ì
`iÃÊ ÃÞÃÌm“iÃÊ «ÀjÃi˜Ì>˜ÌÊ `iÃÊ jÌ>ÌÃÊ `j}À>`jÃÊVœ““iÊ iÃÊ ÃÞÃÌm“iÃÊ `iÊ «Àœ`ÕV‡
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPU

̈œ˜Ê ­ÃÞÃÌm“iÃÊ Ê“Տ̈jÌ>ÌÃʂ®]Ê «>ÀÊ iÝi“«i]Ê œÕÉiÌÊ «ÕÈiÕÀÃÊ «…>ÃiÃÊ `i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vª£

UU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

Ì>ÌÃ

/i“«Ã

ˆ}ÕÀiÊ q *ÀœViÃÃÕÃÊÃ̜V…>Ã̈µÕi

vœ˜V̈œ˜˜i“i˜ÌÊ Vœ““iÊ iÃÊ ÃÞÃÌm“iÃÊ `iÊ ÃjVÕÀˆÌjÊ «jÀˆœ`ˆµÕi“i˜ÌÊ ÌiÃÌjÃÊ ­ÃÞÇ


Ìm“iÃʁʓՏ̈«…>ÃiÃʂ®°
Շ`iDÊ`iʏ½jÛ>Õ>̈œ˜Ê…>LˆÌÕiiÊ`iÃÊ«ÀœL>LˆˆÌjÃÊ`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃÊ`ÕÊÃÞÇ
Ìm“iÊ jÌÕ`ˆj]Ê ViÊ `œÃÈiÀÊ “œ˜ÌÀiÊ Vœ““i˜ÌÊ ½jÛ>Õ>̈œ˜Ê `iÃÊ Ìi“«ÃÊ “œÞi˜ÃÊ `i
ÃjœÕÀÃÊ VՓՏjÃÊ ­/-
®Ê «>ÃÃjÃÊ `>˜ÃÊ iÃÊ `ˆÛiÀÃÊ jÌ>ÌÃÊ œÕÛÀiÊ >Ê ÛœˆiÊ >ÕÊ ÌÀ>ˆÌi‡
“i˜ÌÊ`iÊ̜ÕÌiÊ՘iÊV>ÃÃiÊ`½jÌÕ`iÃʜÀˆi˜ÌjiÊÛiÀÃʏ½jVœ˜œ“ˆiÊ«Õ̞ÌʵÕiÊÛiÀÃʏ>
ÃjVÕÀˆÌjÊiÌÊVœ““i˜Ì]Ê«>ÀÊiÝi“«i]ʏ>ʘœÌˆœ˜Ê`iÊ`ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊÃiÊ«Àœ‡
œ˜}iʘ>ÌÕÀii“i˜ÌÊi˜Ê`ˆÃ«œ˜ˆLˆˆÌjÊ`iÊ«Àœ`ÕV̈œ˜°
ˆi˜ÊµÕiÊÌÀmÃÊyi݈LiÊiÌʫՈÃÃ>˜Ìi]ÊViÌÌiÊ>««ÀœV…iʘ½i˜ÊÜÕvvÀiÊ«>Ãʓœˆ˜ÃÊ`i
µÕiµÕiÃʏˆ“ˆÌ>̈œ˜ÃʵՈʫÀœÛˆi˜˜i˜ÌÊ«Àˆ˜Vˆ«>i“i˜ÌÊ`iʏ½ˆ“«œÃÈLˆˆÌjÊDÊṎˆÃiÀ
`½>ÕÌÀiÃÊ œˆÃÊ µÕiÊ `iÃÊ œˆÃÊ iÝ«œ˜i˜ÌˆiiÃÊ iÌÊ `iÊ ½iÝ«œÃˆœ˜Ê Vœ“Lˆ˜>̜ˆÀiÊ `Õ
˜œ“LÀiÊ `iÃÊ jÌ>ÌÃÊ œÀõÕiÊ iÊ ˜œ“LÀiÊ `iÊ Vœ“«œÃ>˜ÌÃÊ jj“i˜Ì>ˆÀiÃÊ >Õ}“i˜Ìi°

i>ʏˆ“ˆÌiÊÃ>ʓˆÃiÊi˜Ê ÕÛÀiÊÀˆ}œÕÀiÕÃiÊ>ÕÝÊ«ïÌÃÊÃÞÃÌm“iÃ]ʓ>ˆÃʏiÃʓj̅œ‡
`iÃÊ >««ÀœV…jiÃÊ `jVÀˆÌiÃÊ `>˜ÃÊ ViÊ `œÃÈiÀÊ «iÀ“iÌÌi˜ÌÊ `iÊ Ài«œÕÃÃiÀÊ ViÃÊ ˆ“ˆÌiÃ
`>˜ÃÊ՘iÊViÀÌ>ˆ˜iʓiÃÕÀi°
iÊ `œÃÈiÀÊ «ÀjVj`i˜ÌÊQ- Ê{ÊäÇäRÊ ÃÕÀÊ iÃÊ Vœ˜Ãˆ`jÀ>̈œ˜ÃÊ «Àjˆ“ˆ˜>ˆÀiÃ
Vœ˜ViÀ˜>˜Ìʏ½>˜>ÞÃiÊ`iÃÊÀˆÃµÕiÃÊ`iÃÊÃÞÃÌm“iÃÊ`ޘ>“ˆµÕiÃÊ`j}>}iʏiÃÊ}À>˜`iÃ
ˆ}˜iÃÊ`iÃÊjj“i˜ÌÃÊDÊ«Ài˜`ÀiÊi˜ÊVœ“«ÌiÊ«œÕÀÊivviVÌÕiÀÊ՘ÊV…œˆÝÊ«iÀ̈˜i˜ÌÊ`i
>ʓj̅œ`iÊDʓiÌÌÀiÊi˜Ê ÕÛÀiÊ«œÕÀÊÀj>ˆÃiÀÊ՘iÊjÌÕ`iÊw>LˆˆÃÌi°Ê œÕÃʘ½ÞÊÀiۈi˜‡
`Àœ˜ÃÊ«>ÃʈVˆÊiÌʘœÕÃÊÃÕ««œÃiÀœ˜ÃʵÕiʏ½>˜>ÞÃiÊ`ÕÊVœ“«œÀÌi“i˜ÌÊ`ÕÊÃÞÃÌm“i
Vœ˜ViÀ˜jÊ>ʍÕÃ̈wjʏ>ʓˆÃiÊi˜Ê ÕÛÀiÊ`½Õ˜iʓœ`jˆÃ>̈œ˜Ê«>ÀÊ«ÀœViÃÃÕÃÊÃ̜V…>Ç
̈µÕiÊ­w}ÕÀiÊ®°
j̅œ`iÊ>˜>Þ̈µÕiÊL>ÃjiÊÃÕÀʏiÃÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛ]ÊiiÊiÃÌÊÌÀmÃÊ«À>̈µÕji
`>˜ÃÊ ˜œÃÊ Õ˜ˆÛiÀÈÌjÃÊ iÌÊ iÊ LÕÌÊ `iÊ ViÊ `œÃÈiÀÊ iÃÌÊ `iÊ v>ˆÀiÊ >Ê «ÀjÃi˜Ì>̈œ˜Ê `iÊ ÃiÃ
`ˆvvjÀi˜ÌiÃÊV>À>VÌjÀˆÃ̈µÕið

£°
œ˜ÃÌÀÕV̈œ˜Ê}À>«…ˆµÕiÊ
`½Õ˜Ê}À>«…iÊ`iÊ>ÀŽœÛ *£
£ääʯ

ÕÊ «œˆ˜ÌÊ `iÊ ÛÕiÊ `iÊ ½ˆ˜}j˜ˆiÕÀ]Ê ½ˆ˜ÌjÀkÌÊ vœ˜`>“i˜Ì>Ê `i


˜ÌÀji -œÀ̈i
½>««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊiÃÌÊܘÊ>ëiVÌÊ}À>«…ˆµÕiʵՈʫiÀ“iÌÊ`iʏ>
“iÌÌÀiÊ i˜Ê  ÕÛÀiÊ Ã>˜ÃÊ >ۜˆÀÊ Àjii“i˜ÌÊ Li܈˜Ê `½i˜Ê Vœ˜˜>ŠÌÀiÊ i˜ *ÀˆœÀˆÌ>ˆÀi
«Àœvœ˜`iÕÀÊ̜ÕÃʏiÃÊ>ëiVÌÃÊ̅jœÀˆµÕið
£ääʯ
*œÕÀÊ ˆÕÃÌÀiÀÊ Vi>]Ê iÊ «ÕÃÊ Ãˆ“«iÊ iÃÌÊ `iÊ ÀiVœÕÀˆÀÊ DÊ ½iÝi“«i *Ó
V>ÃȵÕiÊQ£R Q™RÊ «ÀjÃi˜ÌjÊ w}ÕÀiÊ£Ê iÌÊ vœÀ“jÊ `iÊ `iÕÝÊ «œ“«iÃÊ *£Ê iÌ
*ÓÊ ˆ˜ÌiÀ`j«i˜`>˜ÌiÃÊ «>ÀÊ iÊ Lˆ>ˆÃÊ `½Õ˜iÊ jµÕˆ«iÊ `iÊ Àj«>À>ÌiÕÀÃÊ Õ˜ˆ‡
µÕiÊ «œÕÀÊ i˜Ê >ÃÃÕÀiÀÊ >Ê “>ˆ˜Ìi˜>˜Vi°Êˆ˜Ãˆ]Ê œÀõÕiÊ *£Ê iÌÊ *ÓÊ Ãœ˜Ì ˆ}ÕÀiÊ£ q
ˆÀVՈÌÊ`iÊ«œ“«>}i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
- Ê{ÊäÇ£ vªÓ ^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ

UV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ  9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6

Ã>˜Ãʓj“œˆÀi°Ê
i>ʈ“«ˆµÕiʵսˆÊVœ˜ÛiÀ}iÊ>ÕÊLœÕÌÊ`½Õ˜Ê`j>ˆÊ«ÕÃ
œÕʓœˆ˜Ãʏœ˜}ÊÛiÀÃÊ՘ÊjÌ>ÌÊ`½jµÕˆˆLÀiʈ˜`j«i˜`>˜ÌÊ`iÃÊVœ˜`ˆÌˆœ˜Ã
Î ˆ˜ˆÌˆ>ið
o£ *£ oÓ

Êý>}ˆÌʈVˆÊ`iÃÊV>À>VÌjÀˆÃ̈µÕiÃÊvœ˜`>“i˜Ì>iÃÊ`iÃÊ«ÀœViÃÃÕÃ
`iÊ>ÀŽœÛʅœ“œ}m˜iÃÊ`œ˜ÌʈÊVœ˜Ûˆi˜ÌÊ`iÊLˆi˜ÊÃiÊÜÕÛi˜ˆÀ°
x£ xÓ
*ÓÊ«ÀˆœÀˆÌ>ˆÀi œÀõÕiÊ iÃÊ Ì>ÕÝÊ `iÊ ÌÀ>˜ÃˆÌˆœ˜ÃÊ ˜iÊ Ãœ˜ÌÊ «>ÃÊ Vœ˜ÃÌ>˜ÌÃ]Ê œ˜Ê «>Ài
*£ «œÕÀʏ> Àj«>À>̈œ˜ *£
£ { `iÊ «ÀœViÃÃÕÃÊ Ãi“ˆ‡“>ÀŽœÛˆi˜Ã°Ê œÕÃÊ ˜iÊ iÃÊ >LœÀ`iÀœ˜ÃÊ «>ÃÊ `>˜Ã
*Ó *Ó
ViÊ`œÃÈiÀÊV>ÀʏiÕÀÊÌÀ>ˆÌi“i˜ÌÊ>˜>Þ̈µÕiÊiÃÌÊLi>ÕVœÕ«Ê“œˆ˜ÃÊv>Vˆi
µÕiÊ iÃÊ «ÀœViÃÃÕÃÊ “>ÀŽœÛˆi˜ÃÊ …œ“œ}m˜iÃ°Ê *œÕÀÊ `iÃÊ ÃÞÃÌm“iÃÊ `i

Ì>ˆiÊ ˆ˜`ÕÃÌÀˆii]Ê iÌÊ Ã>ÕvÊ V>ÃÊ «>À̈VՏˆiÀÃ]Ê ÃiՏiÊ >Ê Ãˆ“Տ>̈œ˜Ê `i
œ˜Ìi‡
>ÀœÊ «iÀ“iÌÊ `iÊ iÃÊ ÌÀ>ˆÌiÀÊ Àjii“i˜Ì°Ê
i>Ê ÃiÀ>Ê `jVÀˆÌÊ i˜
oÓ o£
`jÌ>ˆÊ `>˜ÃÊ iÊ `œÃÈiÀÊ Vœ˜ViÀ˜>˜ÌÊ ½ṎˆÃ>̈œ˜Ê `iÃÊ ÀjÃi>ÕÝÊ `iÊ *iÌÀˆ

Ã̜V…>Ã̈µÕið

Ó
>ÀV…i *>˜˜i

*£] *Ó «œ“«ià i˜ jÌ>ÌÊ`i “>ÀV…i Ó° ««ÀœV…iʓ>ÀŽœÛˆi˜˜iÊ


*£]Ê*Ó «œ“«ià i˜Ê«>˜˜i
V>ÃȵÕi
ˆ}ÕÀiÊÓ q Ýi“«iÊ`iÊ}À>«…iÊ`iÊ>ÀŽœÛ

Ó°£ +ÕiµÕiÃÊ`jw˜ˆÌˆœ˜ÃÊ`iÊL>Ãi
ȓՏÌ>˜j“i˜ÌÊ i˜Ê «>˜˜i]Ê ˆÊ `iۈi˜ÌÊ ˜jViÃÃ>ˆÀiÊ `iÊ `jw˜ˆÀÊ >Ê «œˆÌˆ‡
µÕiÊ`iʓ>ˆ˜Ìi˜>˜ViÊDʓiÌÌÀiÊi˜Ê ÕÛÀiÊiÌ]Ê`>˜ÃÊ՘ʫÀi“ˆiÀÊÌi“«Ã] Û>˜ÌÊ `½>iÀÊ «ÕÃÊ œˆ˜]Ê ˆÊ Vœ˜Ûˆi˜ÌÊ `iÊ À>««iiÀÊ µÕiµÕiÃÊ ˜œÌˆœ˜Ã
˜œÕÃÊVœ˜Ãˆ`jÀiÀœ˜ÃʵÕiÊ*ÓÊiÃÌÊ«ÀˆœÀˆÌ>ˆÀiÊ«œÕÀʏ>ÊÀj«>À>̈œ˜° jj“i˜Ì>ˆÀiÃÊ `ÕÊ `œ“>ˆ˜iÊ `iÊ >Ê Ã×ÀiÌjÊ `iÊ vœ˜V̈œ˜˜i“i˜Ì°Ê iÃ
`iÛÀ>ˆi˜ÌÊ kÌÀiÊ «>Àv>ˆÌi“i˜ÌÊ Vœ˜˜ÕiÃÊ “>ˆÃ]Ê DÊ ½iÝ«jÀˆi˜Vi]Ê œ˜Ê iÃ
>Ê Vœ˜ÃÌÀÕV̈œ˜Ê `ÕÊ }À>«…iÊ `iÊ >ÀŽœÛÊ Ài>̈vÊ DÊ Õ˜Ê ÌiÊ ÃÞÃÌm“i `jVœÕÛÀiÊ՘ʫiÕʜÕLˆjiÃʜÕʓ>Ê>ÃȓˆjiÃÊ«>ÀʏiÃʈ˜}j˜ˆiÕÀÃʵՈ
ýivviVÌÕiÊi˜Ê`iÕÝÊjÌ>«iÃÊ­w}ÕÀiÊÓ®Ê\ iÃÊṎˆÃi˜ÌÊ\
p ˆ`i˜ÌˆvˆV>̈œ˜Ê`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃʵÕiʏiÊÃÞÃÌm“iÊ«iÕÌʜVVÕ«iÀ p vˆ>LˆˆÌjÊ , ­Ì ®Ê\Ê «ÀœL>LˆˆÌjÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀÊ Õ˜
>ÕÊVœÕÀÃÊ`iÊܘÊiÝ«œˆÌ>̈œ˜ ˆ˜ÌiÀÛ>iÊ`iÊÌi“«ÃÊ`œ˜˜jÊQä]ÊÌ RÊiÌÊ`>˜ÃÊ`iÃÊVœ˜`ˆÌˆœ˜ÃÊ`œ˜˜jiÃÊÆ
p `ˆÃ«œ˜ˆLˆˆÌjÊ  ­Ì ®Ê\Ê «ÀœL>LˆˆÌjÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ DÊ Õ˜
U ˆÊÞÊi˜Ê>ʵÕ>ÌÀiÊ`j˜œ““jÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊÆ ˆ˜ÃÌ>˜ÌÊ`œ˜˜jÊÌÊiÌÊ`>˜ÃÊ`iÃÊVœ˜`ˆÌˆœ˜ÃÊ`œ˜˜jið
p Vœ˜ÃÌÀÕV̈œ˜Ê`ÕÊ}À>«…iÊ`iÊ>ÀŽœÛÊ«Àœ«Ài“i˜ÌÊ`ˆÌÊ\ Ê ÀjÃՏÌiÊ `iÊ ViÃÊ `jw˜ˆÌˆœ˜ÃÊ µÕiÊ >Ê w>LˆˆÌj]Ê >ÕÊ Ãi˜ÃÊ “>̅j“>̈‡
µÕiÊ `ÕÊ ÌiÀ“i]Ê VœÀÀi뜘`Ê DÊ Õ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ Ã>˜ÃÊ ˆ˜ÌiÀÀի̈œ˜
U Ài«ÀjÃi˜Ì>̈œ˜Ê`iÊV…>V՘Ê`iÃÊjÌ>ÌÃÊ«>ÀÊ՘ÊViÀVi]
ÃÕÀÊ Õ˜iÊ ViÀÌ>ˆ˜iÊ «jÀˆœ`i°Ê >Ê ˜œÌˆœ˜Ê `iÊ w>LˆˆÌjÊ iÃÌÊ `œ˜VÊ ÌÀmÃÊ Ṏi
U Ài«ÀjÃi˜Ì>̈œ˜Ê`iÃÊÌÀ>˜ÃˆÌˆœ˜ÃÊi˜ÌÀiʏiÃÊjÌ>ÌÃÊ«>ÀÊ`iÃÊymV…i𠫜ÕÀÊ ÌÀ>ˆÌiÀÊ `iÃÊ «ÀœLm“iÃÊ ˆjÃÊ DÊ >Ê ÃjVÕÀˆÌj]Ê V>ÀÊ iiÊ Ã½ˆ˜ÌjÀiÃÃiÊ D
½œVVÕÀÀi˜ViÊ `iÊ >Ê «Ài“ˆmÀiÊ «>˜˜iÊ ­œÕÊ «Ài“ˆiÀÊ >VVˆ`i˜Ì®Ê `Õ

…>µÕiÊÌÀ>˜ÃˆÌˆœ˜ÊÃޓLœˆÃiʏ>Êv>Xœ˜Ê`œ˜ÌʏiÊÃÞÃÌm“iÊÃ>ÕÌiÊ`½Õ˜ ÃÞÃÌm“iÊVœ˜ViÀ˜j°
jÌ>ÌÊÛiÀÃÊ՘Ê>ÕÌÀi°

i>Ê ˜œÕÃÊ Vœ˜`ՈÌÊ DÊ ˆ˜ÌÀœ`ՈÀiÊ Õ˜iÊ >ÕÌÀiÊ ˜œÌˆœ˜Ê `iÊ L>ÃiÊ ˆ˜`ˆÃ‡
Ýi“«i \ `iʏ½jÌ>ÌÊ`iʓ>ÀV…iÊ«>Àv>ˆÌÊ £]ʜ˜Ê«iÕÌÊÃ>ÕÌiÀÊÛiÀÃÊ ÓÊœÕ ÃœVˆ>LiÊ`iÊViiÊ`iÊw>LˆˆÌjÊ\
ÎÊ«>ÀÊ`jv>ˆ>˜ViÊ`iÊ*ÓʜÕÊ*£]Ê`iʏ½jÌ>ÌÊ Óʜ˜Ê«iÕÌÊ>iÀÊ܈ÌÊÛiÀÃʏ½jÌ>Ì
`iÊ«>˜˜iÊ̜Ì>iÊ {Ê«>ÀÊ`jv>ˆ>˜ViÊ`iÊ*£ÊœÕÊÀiÛi˜ˆÀÊDʏ½jÌ>ÌÊ £Ê«>ÀÊÀj«>‡ p //Ê\Ê Ìi“«ÃÊ “œÞi˜Ê >Û>˜ÌÊ >Ê «Ài“ˆmÀiÊ `jv>ˆ>˜ViÊ ­i>˜
À>̈œ˜Ê`iÊ*Ó]Ê°°°]ÊiÌÊw˜>i“i˜ÌÊ`iʏ½jÌ>ÌÊ {ʜ˜Ê«iÕÌÊÀiÛi˜ˆÀÊ՘ˆµÕi“i˜Ì /ˆ“iÊ/œÊ>ˆ ®°
ÛiÀÃÊ ÎÊ«>ÀÊÀj«>À>̈œ˜Ê`iÊ*ÓʵՈÊiÃÌÊ«ÀˆœÀˆÌ>ˆÀiÊ«œÕÀʏ>ÊÀj«>À>̈œ˜° Ê iÃÌÊ DÊ ˜œÌiÀÊ µÕi]Ê «œÕÀÊ Õ˜Ê Vœ“«œÃ>˜ÌÊ jj“i˜Ì>ˆÀiÊ Àj}ˆÊ «>ÀÊ Õ˜i
œˆÊ iÝ«œ˜i˜ÌˆiiÊ `iÊ Ì>ÕÝÊ `iÊ `jv>ˆ>˜ViÊ o]Ê iÊ //Ê iÃÌÊ >œÀÃÊ j}>
ʏ>Êw˜Ê`iÊViÌÊiÝiÀVˆVi]ʜ˜ÊÃiÊÀiÌÀœÕÛiÊi˜Ê«ÀjÃi˜ViÊ`½Õ˜Ê}À>«…i DÊ£Éo°Ê->ÕvÊV>ÃÊÌÀmÃÊ«>À̈VՏˆiÀ]ÊViÌÌiÊ«Àœ«ÀˆjÌjʘ½iÃÌÊi˜Ê}j˜jÀ>Ê«>Ã
`½jÌ>ÌÃÊ µÕˆÊ “œ`jˆÃiÊ iÊ Vœ“«œÀÌi“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ vœÀ“jÊ `iÊ `iÕÝ ÛÀ>ˆiÊ >ÕÊ ˜ˆÛi>ÕÊ `ÕÊ ÃÞÃÌm“iÊ }œL>]Ê “k“iÊ ÃˆÊ ViÕˆ‡VˆÊ ˜iÊ Vœ“«œÀÌi
«œ“«iÃ°Ê *œÕÀÊ µÕ½ˆÊ Ài«ÀjÃi˜ÌiÊ >ÕÃÃˆÊ iÊ «ÀœViÃÃÕÃÊ `iÊ >ÀŽœÛ µÕiÊ`iÃÊVœ“«œÃ>˜ÌÃÊÀj}ˆÃÊ«>ÀÊ`iÃʏœˆÃÊiÝ«œ˜i˜ÌˆiiÃ°Ê ½>ÕÌÀiÊ«>ÀÌ
>ÃÜVˆj]ʈÊÀiÃÌiÊDÊ«ÀjVˆÃiÀʵÕiiÃÊܘÌʏiÃÊV…>˜ViÃʵÕiÊV…>V՘iÊ`i iÊ //Ê iÃÌÊ Õ˜Ê «>À>“mÌÀiÊ µÕˆÊ «iÕÌÊ kÌÀiÊ iÃ̈“jÊ ÃÌ>̈Ã̈µÕi“i˜ÌÊ D
ViÃÊÌÀ>˜ÃˆÌˆœ˜ÃÊ܈ÌÊÀjii“i˜ÌÊi“«À՘ÌjiÊ>ÕÊVœÕÀÃÊ`iʏ>ÊۈiÊ`ÕÊÃÞÇ «>À̈ÀÊ `iÊ `œ˜˜jiÃÊ œLÃiÀÛjiÃÊ `>˜ÃÊ iÊ “œ˜`iÊ «…ÞȵÕiÊ ­Ài̜ÕÀ
Ìm“i°Ê
i>ÊiÃÌʜLÌi˜ÕÊi˜Ê>vviVÌ>˜ÌÊ`iÃÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ o ˆÊDÊV…>‡ `½iÝ«jÀˆi˜Vi®°Ê Ê «iÀ“iÌÊ `œ˜VÊ `iÊ v>ˆÀiÊ iÊ ˆi˜Ê i˜ÌÀiÊ iÃÊ “>̅j‡
V՘iÊ`½iið “>̈µÕiÃÊiÌʏiʓœ˜`iÊÀji°

>̅j“>̈µÕi“i˜Ì]Ê o ˆ ±Ê`ÌÊ iÃÌÊ >Ê «ÀœL>LˆˆÌjÊ Vœ˜`ˆÌˆœ˜˜iiÊ `i Ê ½œ««œÃjÊ `iÊ >Ê w>LˆˆÌj]Ê >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ Ã½ˆ˜ÌjÀiÃÃiÊ DÊ >Ê «ÀœL>‡
Ã>ÕÌiÀÊ `iÊ ˆÊ ÛiÀÃÊ Ê i˜ÌÀiÊ ÌÊ iÌÊ Ì ³Ê`ÌÊ œÀõսœ˜Ê iÃÌÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ D LˆˆÌjÊ µÕiÊ iÊ ÃÞÃÌm“iÊ vœ˜V̈œ˜˜iÊ DÊ Õ˜Ê ˆ˜ÃÌ>˜ÌÊ `œ˜˜jÊ Ã>˜ÃÊ ÃiÊ «Àj‡
½ˆ˜ÃÌ>˜ÌÊÌ°Ê >˜ÃʏiÊV>ÃÊÕÃÕi]ʏiÃÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜ÊܘÌÊ Vœ˜ÃÌ>˜Ìà œVVÕ«iÀÊ`iÊViʵՈÊýiÃÌÊ«>ÃÃjÊ>Õ«>À>Û>˜Ì°Ê iÊV>À>VÌjÀˆÃiÊ`œ˜VÊ՘
iÌÊVœÀÀi뜘`i˜ÌÊ>ÕÝÊÌ>ÕÝÊ`iÊ`jv>ˆ>˜ViʜÕÊ>ÕÝÊÌ>ÕÝÊ`iÊÀj«>À>̈œ˜ vœ˜V̈œ˜˜i“i˜ÌÊ«œÕÛ>˜ÌÊkÌÀiʈ˜ÌiÀÀœ“«ÕʫՈÃÊÀi«ÀˆÃ°
`iÃÊVœ“«œÃ>˜ÌÃʵՈÊV>ÕÃi˜ÌʏiÃÊV…>˜}i“i˜ÌÃÊ`½jÌ>Ì°Ê/œÕÌiÃʏiÃʏœˆÃ >Ê`ˆÃ«œ˜ˆLˆˆÌjÊ ­Ì ®Ê>ÊÃÕÀ̜ÕÌÊ՘ʈ˜ÌjÀkÌÊ̅jœÀˆµÕiÊiÌ]Êi˜Ê«À>̈µÕi]
`iÊ «ÀœL>LˆˆÌjÃÊ µÕˆÊ Àj}ˆÃÃi˜ÌÊ iÃÊ `ˆÛiÀÃÊ «…j˜œ“m˜iÃÊ «ÀˆÃÊ i˜ V½iÃÌÊ«Õ̞ÌÊDÊÃ>ÊÛ>iÕÀʓœÞi˜˜iʵÕiʏ½œ˜Êýˆ˜ÌjÀiÃÃi°Ê ½œÙʏ½ˆ˜ÌÀœ‡
Vœ“«ÌiÊܘÌÊ`œ˜VÊ`iʘ>ÌÕÀiÊiÝ«œ˜i˜ÌˆiiÊiÌÊ՘ÊÌiÊ«ÀœViÃÃÕÃÊÃ̜‡ `ÕV̈œ˜Ê`iÊ`iÕÝÊ>ÕÌÀiÃÊ`jw˜ˆÌˆœ˜ÃÊ\
V…>Ã̈µÕiÊiÃÌÊ`j˜œ““jÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛʅœ“œ}m˜i° p `ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊ«œÕÀÊ՘iʓˆÃȜ˜Ê ­Ì £ ]ÊÌ Ó®Ê\

œ““i]Ê `>˜ÃÊ ViÊ V>Ã]Ê >Ê «ÀœL>LˆˆÌjÊ `iÊ Ã>ÕÌiÀÊ `iÊ ˆÊ ÛiÀÃÊ Ê ˜i U “œÞi˜˜iÊ`iÊ ­Ì ®ÊÃÕÀʏ½ˆ˜ÌiÀÛ>iÊQÌ £ ]ÊÌ ÓR]
`j«i˜`Ê µÕiÊ `iÊ >Ê «ÀjÃi˜ViÊ `>˜ÃÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ ÌÊ “>ˆÃÊ «>ÃÊ `iÊ > U À>̈œÊÌi“«ÃʓœÞi˜Ê`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÉ­Ì Ó qÊÌ £®]
“>˜ˆmÀiÊ`œ˜Ìʜ˜ÊÞÊiÃÌÊ>ÀÀˆÛjÊi˜ÌÀiÊäÊiÌÊÌ]ʏiÊ`iÛi˜ˆÀÊ`ÕÊÃÞÃÌm“iʘi U «œÕÀVi˜Ì>}iÊ `ÕÊ Ìi“«ÃÊ “œÞi˜Ê `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀ
`j«i˜`Ê µÕiÊ `iÊ Ãœ˜Ê jÌ>ÌÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ Ì°Ê Ê ý>}ˆÌÊ `œ˜VÊ `½Õ˜Ê «ÀœViÃÃÕà QÌ £ ]ÊÌ ÓRÊÆ

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vªÎ

UW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

 9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6 ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ

p `ˆÃ«œ˜ˆLˆˆÌjʏˆ“ˆÌiÊ \
/>Li>ÕÊ£ÊqÊ ˆÃ«œ˜ˆLˆˆÌjÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊ­£®
U Û>iÕÀʏˆ“ˆÌiÊ`iÊ ­Ì ®ÊµÕ>˜`ÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ]
U Û>iÕÀʓœÞi˜˜iÊ`iÊ ­Ì ®ÊÃÕÀÊ՘iÊ`ÕÀjiʈ˜w˜ˆi] Q£ £]Êä ÊqÊäx R£ £]Êä ÊqÊä£
U Û>iÕÀʏˆ“ˆÌiÊ`iÊ ­ä]ÊÌ ®ÊµÕ>˜`ÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ] *>À>“mÌÀiÃ
U Û>iÕÀʏˆ“ˆÌiÊ`ÕÊÀ>̈œÊ“œÞi˜Ê`ÕÊÌi“«ÃÊ`iʓ>ÀV…iÉÌi“«ÃÊ̜Ì>] QÓ x]Êä ÊqÊä{ RÓ {]ÊÓ ÊqÊäÓ
U «œÕÀVi˜Ì>}iÊ`ÕÊÌi“«ÃʓœÞi˜Ê`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÊÃÕÀÊ՘i
`ÕÀjiʈ˜w˜ˆi° /i“«Ã Ì>ÌÃ
­…® £ Ó Î {
ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊiÌÊ`ˆÃ«œ˜ˆLˆˆÌjʏˆ“ˆÌiÊ«œÃÃm`i˜ÌÊ`œ˜VÊ`ˆv‡
vjÀi˜ÌiÃÊ ˆ˜ÌiÀ«ÀjÌ>̈œ˜Ã°Ê Ê v>ÕÌÊ v>ˆÀiÊ Õ˜iÊ “i˜Ìˆœ˜Ê ëjVˆ>iÊ «œÕÀ ä £]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää
ViiÊ VœÀÀi뜘`>˜ÌÊ >ÕÊ À>̈œÊ `ÕÊ Ìi“«ÃÊ `iÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜Ì
À>««œÀÌjÊ >ÕÊ Ìi“«ÃÊ `½œLÃiÀÛ>̈œ˜Ê V>ÀÊ iiÊ «iÀ“iÌÊ `iÊ Àj>ˆÃiÀÊ `ià Óä ™]ʙÎÓ ÊqÊä£ È]ÊÇÎx ÊqÊäÎ n]Êx™x ÊqÊäx £]Êäää ÊqÊäÈ
iÃ̈“>̈œ˜ÃÊ ÃÌ>̈Ã̈µÕiÃÊ DÊ «>À̈ÀÊ `iÊ `œ˜˜jiÃÊ œLÃiÀÛjiÃÊ `>˜ÃÊ i {ä ™]ʙäÎ ÊqÊä£ ™]ÊȣΠÊqÊäÎ ™]ÊÇxn ÊqÊäx Ó]ÊÓә ÊqÊäÈ
“œ˜`iÊ «…ÞȵÕi°Ê "˜Ê ÀiÌÀœÕÛiÊ >ÕÃÃˆÊ ˆVˆÊ iÊ ˆi˜Ê i˜ÌÀiÊ iÃÊ “>̅j‡
“>̈µÕiÃÊiÌʏiʓœ˜`iÊÀji° Èä ™]Ên™£ ÊqÊä£ £]Êän{ ÊqÊäÓ ™]ʙÎ{ ÊqÊäx Î]ÊäÎn ÊqÊäÈ
iÃÊ «ÀœL>LˆˆÌjÃÊ Vœ“«j“i˜Ì>ˆÀiÃÊ ­Ì ®Ê iÌÊ 1 ­Ì ®Ê `iÊ >Ê w>LˆˆÌjÊ iÌ nä ™]Ênnx ÊqÊä£ £]Ê£ÎÇ ÊqÊäÓ ™]ʙÇÓ ÊqÊäx Î]Ê{™n ÊqÊäÈ
`iÊ >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ Ãœ˜ÌÊ `j˜œ““jiÃÊ Ê`jw>LˆˆÌjÊ‚Ê iÌ £ää ™]ÊnnÎ ÊqÊä£ £]Ê£x™ ÊqÊäÓ ™]ʙnÈ ÊqÊäx Î]ÊÇ{Î ÊqÊäÈ
Êˆ˜`ˆÃ«œ˜ˆLˆˆÌjʂ \
£Óä ™]ÊnnÓ ÊqÊä£ £]ʣș ÊqÊäÓ ™]ʙ™Ó ÊqÊäx Î]Ênș ÊqÊäÈ
p ­Ì ®ÊrÊ£ÊqÊ, ­Ì ®ÊÆ
p 1 ­Ì ®ÊrÊ£ÊqÊ ­Ì ®° £{ä ™]ÊnnÓ ÊqÊä£ £]Ê£ÇÎ ÊqÊäÓ ™]ʙ™È ÊqÊäx Î]ʙΣ ÊqÊäÈ
£Èä ™]Ênn£ ÊqÊä£ £]Ê£Çx ÊqÊäÓ ™]ʙ™Ç ÊqÊäx Î]ʙÈÓ ÊqÊäÈ
£nä ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™n ÊqÊäx Î]ʙÇÇ ÊqÊäÈ
Ó°Ó À>«…iÊ`iÊ>ÀŽœÛÊÛiÀÃÕÃ
Óää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙn{ ÊqÊäÈ
«>À>“mÌÀiÃÊV>ÃȵÕiÃ
Îää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙ™ä ÊqÊäÈ
,iÛi˜œ˜ÃÊ >ÕÊ }À>«…iÊ `iÊ >ÀŽœÛÊ `iÊ >Ê w}ÕÀiÊÓ°Ê œÕÃÊ ˜½>ۜ˜Ã {ää ™]Ênn£ ÊqÊä£ £]Ê£ÇÈ ÊqÊäÓ ™]ʙ™™ ÊqÊäx Î]ʙ™£ ÊqÊäÈ
i˜VœÀiÊ Àˆi˜Ê `ˆÌÊ ÃÕÀÊ >Ê ˜>ÌÕÀiÊ `iÃÊ jÌ>ÌÃÊ Ài˜Vœ˜ÌÀjÃ°Ê >˜ÃÊ iÊ V>`Ài
V>ÃȵÕi]Ê >Ê «Ài“ˆmÀiÊ jÌ>«iÊ iÃÌÊ `iÊ iÃÊ Àj«>À̈ÀÊ i˜Ê `iÕÝÊ V>ÃÃià ­£® "˜ÊÀ>««iiʵÕiʏ>ʘœÌ>̈œ˜Ê ‡äx]Ê«>ÀÊiÝi“«i]ÊÈ}˜ˆwiÊy £äqx°
`ˆÃ̈˜VÌiÃÊ qÊ >ÀV…iÉ*>˜˜iÊ qÊ >w˜Ê `iÊ «œÕۜˆÀÊ “i˜iÀÊ DÊ Lˆi˜Ê iÃ
V>VՏÃÊ`iÊw>LˆˆÌjÉ`ˆÃ«œ˜ˆLˆˆÌjʜÀ`ˆ˜>ˆÀið

œ““iʏiÃÊ`iÕÝÊ«œ“«iÃÊܘÌÊÀi`œ˜`>˜ÌiÃ]ÊViÌÌiÊÀj«>À̈̈œ˜ÊiÃÌ Ó°Ó°Ó ˆ>LˆˆÌjÊ«ÀjۈȜ˜˜ii
ÌÀmÃÊ Ãˆ“«iÊ\Ê iÃÊ jÌ>ÌÃÊ O £]Ê Ó]Ê ÎPÊ VœÀÀi뜘`i˜ÌÊ >ÕÊ Lœ˜Ê vœ˜V̈œ˜‡
˜i“i˜ÌÊiÌʏ½jÌ>ÌÊO {PÊDʏ>Ê«>˜˜iÊ`ÕÊÃÞÃÌm“i° *ՈõÕiʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÓÊ«iÀ“iÌÊ`½jÛ>ÕiÀʏ>Ê`ˆÃ«œ˜ˆLˆˆÌj
`ÕÊ ÃÞÃÌm“i]Ê Vœ““i˜ÌÊ v>Õ̇ˆÊ iÊ “œ`ˆwiÀÊ «œÕÀÊ œLÌi˜ˆÀÊ Õ˜Ê “œ`mi
«iÀ“iÌÌ>˜ÌÊ`½jÛ>ÕiÀʏ>Êw>LˆˆÌjÊ`Õ`ˆÌÊÃÞÃÌm“iʶ
Ó°Ó°£ ˆÃ«œ˜ˆLˆˆÌjÊ«ÀjۈȜ˜˜ii >Ê Àj«œ˜ÃiÊ ÃiÊ ÌÀœÕÛiÊ `>˜ÃÊ >Ê `jw˜ˆÌˆœ˜Ê “k“iÊ `iÊ >Ê w>LˆˆÌjÊ\Ê ˆ
v>ÕÌÊ >ÃÃÕÀiÀÊ >Ê Vœ˜Ìˆ˜ÕˆÌjÊ `ÕÊ Lœ˜Ê vœ˜V̈œ˜˜i“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ ÃÕÀ
1˜iÊ vœˆÃÊ >Ê `ˆV…œÌœ“ˆiÊ Àj>ˆÃjiÊ i˜ÌÀiÊ iÃÊ jÌ>ÌÃÊ `iÊ “>ÀV…iÊ iÌÊ `i
½ˆ˜ÌiÀÛ>iÊQä]ÊÌ R°ÊÊiÃÌÊ`œ˜VʘjViÃÃ>ˆÀiÊ`iʓœ`ˆwiÀʏiÊ}À>«…iÊ`iʏ>
«>˜˜i]Ê œ˜Ê «iÕÌÊ ÃiÊ `i“>˜`iÀÊ ViÊ µÕiÊ «iÀ“iÌÊ `iÊ V>VՏiÀÊ ivviV̈‡
w}ÕÀiÊÓÊ`iʓ>˜ˆmÀiʵս>ÕV՘ÊV…i“ˆ˜Ê>LœṎÃÃ>˜ÌÊDʏ½Õ˜ÊœÕʏ½>ÕÌÀi
Ûi“i˜ÌʏiÊ}À>«…iÊ`iÊ>ÀŽœÛÊ`iÃȘjÊ«ÀjVj`i““i˜ÌÊiÌÊÀi«ÀjÃi˜Ìj
`iÃÊjÌ>ÌÃÊ`iʓ>ÀV…iÊ £]Ê ÓʜÕÊ ÎÊDʏ½ˆ˜ÃÌ>˜ÌÊÌʘiÊ܈Ìʍ>“>ˆÃÊ«>ÃÃj
w}ÕÀiÊÓ°
«>ÀÊ ½jÌ>ÌÊ `iÊ «>˜˜iÊ {Ê `>˜ÃÊ ½ˆ˜ÌiÀÛ>iÊ Qä]Ê Ì RÊ œÕ]Ê ViÊ µÕˆÊ Àiۈi˜ÌÊ >Õ
*œÕÀÊ Àj«œ˜`ÀiÊ DÊ ViÌÌiÊ µÕiÃ̈œ˜]Ê ˆÊ ÃÕvwÌÊ `iÊ Ài“>ÀµÕiÀÊ µÕ½Õ˜Ê Ìi “k“i]Êv>ˆÀiÊi˜ÊÜÀÌiʵս>ÕV՘ÊV…i“ˆ˜Ê«>ÃÃ>˜ÌÊ«>Àʏ½jÌ>ÌÊ`iÊ«>˜˜i
}À>«…iÊ Ài«ÀjÃi˜Ìi]Ê `iÊ “>˜ˆmÀiÊ Ãޘ̅j̈µÕi]Ê ÌœÕÃÊ iÃÊ V…i“ˆ˜Ã {ʘiÊÀiۈi˜˜iʍ>“>ˆÃÊÛiÀÃÊ՘Ê`iÃÊjÌ>ÌÃÊ`iʓ>ÀV…iÊ £]Ê ÓʜÕÊ Î°
­ÃjµÕi˜ViÃÊ`½jÛj˜i“i˜ÌîʵÕiʏiÊÃÞÃÌm“iÊ«iÕÌÊi“«À՘ÌiÀÊDÊ«>À̈À
>Ê “œ`ˆwV>̈œ˜Ê `iÊ ˜œÌÀiÊ }À>«…iÊ iÃÌÊ >œÀÃÊ ÌÀmÃÊ Ãˆ“«iÊ DÊ Àj>ˆÃiÀ
`iÊܘÊjÌ>Ìʈ˜ˆÌˆ>Ê`ÕÀ>˜ÌÊܘÊjۜṎœ˜Ê>ÕÊVœÕÀÃÊ`ÕÊÌi“«Ã°
«ÕˆÃµÕ½ˆÊ ÃÕvwÌÊ `iÊ ÃÕ««Àˆ“iÀÊ iÃÊ ÌÀ>˜ÃˆÌˆœ˜ÃÊ `iÊ O {PÊ ÛiÀÃÊ O £]Ê Ó]
1˜Ê ÌiÊ V…i“ˆ˜Ê ÃiÀ>Ê «>ÀÊ iÝi“«iÊ £]Ê Ó]Ê £]Ê Î]Ê {]Ê Ó]Ê £°°°Ê
i ÎP°Ê ˜Ê v>ˆÌ]Ê ˆÊ ˜½ÞÊ i˜Ê >Ê µÕ½Õ˜iÊ ÃiՏiÊ DÊ ÃÕ««Àˆ“iÀÊ `iÊ {Ê ÛiÀÃÊ ÎÊ iÌ
}À>«…iÊ Ài˜viÀ“iÊ `œ˜VÊ `iÃÊ V…i“ˆ˜ÃÊ «iÀ“iÌÌ>˜ÌÊ >ÕÊ ÃÞÃÌm“iÊ `i Vi>ʘœÕÃÊVœ˜`ՈÌÊ>ÕÊ}À>«…iÊ«ÀjÃi˜ÌjÊÃÕÀʏ>Êw}ÕÀiÊΰ
«>ÃÃiÀÊ «>ÀÊ ½jÌ>ÌÊ `iÊ «>˜˜iÊ {Ê «ÕˆÃÊ `iÊ ÀiÛi˜ˆÀÊ `>˜ÃÊ Õ˜Ê jÌ>ÌÊ `i À@ViÊ DÊ ViÌÌiÊ ÌÀ>˜ÃvœÀ“>̈œ˜]Ê * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê Ài«ÀjÃi˜Ìi
“>ÀV…iÊ Ó°Ê Ê `jVÀˆÌÊ `œ˜VÊ iÊ Vœ“«œÀÌi“i˜ÌÊ `½Õ˜Ê ÃÞÃÌm“iÊ µÕˆÊ «iÕÌ “>ˆ˜Ìi˜>˜Ìʏ>Ê«ÀœL>LˆˆÌjÊ`½kÌÀiÊi˜Ê“>ÀV…iÊDʏ½ˆ˜ÃÌ>˜ÌÊÌÊÃ>˜Ãʍ>“>ˆÃ
kÌÀiÊ i˜Ê “>ÀV…iÊ DÊ Õ˜Ê ˆ˜ÃÌ>˜ÌÊ `œ˜˜jÊ i˜Ê >Þ>˜ÌÊ jÌjÊ Õ˜iÊ œÕÊ «ÕÈiÕÀà kÌÀiÊ Ìœ“LjÊ i˜Ê «>˜˜iÊ >Õ«>À>Û>˜Ì]Ê V½iÃ̇D‡`ˆÀiÊ >Ê «ÀœL>LˆˆÌjÊ `½kÌÀi
vœˆÃÊi˜Ê«>˜˜iÊ>Õ«>À>Û>˜Ì°ÊÊý>}ˆÌÊ`œ˜VÊÌÞ«ˆµÕi“i˜ÌÊ`½Õ˜Ê“œ`mi ÀiÃÌjÊ i˜Ê Lœ˜Ê jÌ>ÌÊ `iÊ vœ˜V̈œ˜˜i“i˜ÌÊ ÃÕÀÊ ÌœÕÌiÊ >Ê `ÕÀjiÊ Qä]Ê Ì RÊ œÕ
`iÊ`ˆÃ«œ˜ˆLˆˆÌj° >ÕÌÀi“i˜ÌÊ`ˆÌʏ>Êw>LˆˆÌjÊ`ÕÊÃÞÃÌm“iÊjÌÕ`ˆj°
>Ê`ˆÃ«œ˜ˆLˆˆÌjÊ ­Ì ®Ê`ÕÊÃÞÃÌm“iÊjÌÕ`ˆjÊiÃÌÊ`œ˜VÊj}>iÊDʏ>Ê«Àœ‡ iʓk“iʵÕiÊ«ÀjVj`i““i˜Ì]ʜ˜Ê>Ê`œ˜VÊ\
L>LˆˆÌjÊ`iÊÃiÊÌÀœÕÛiÀÊDʏ½ˆ˜ÃÌ>˜ÌÊÌÊ`>˜Ãʏ½Õ˜ÊœÕʏ½>ÕÌÀiÊ`iÃÊÌÀœˆÃÊjÌ>ÌÃ
`iÊ “>ÀV…iÊ £]Ê ÓÊ œÕÊ ÎÊ iÌÊ Ãœ˜Ê ˆ˜`ˆÃ«œ˜ˆLˆˆÌjÊ 1 ­Ì ®Ê iÃÌÊ j}>iÊ DÊ > p * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê³Ê* { ­Ì ®ÊrÊ£ÊÆ
«ÀœL>LˆˆÌjÊ`iÊÃiÊÌÀœÕÛiÀÊ`>˜Ãʏ½jÌ>ÌÊ`iÊ«>˜˜iÊ {° p , ­Ì ®ÊrÊ* £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®ÊÆ
p ­Ì ®ÊrÊ* { ­Ì ®°
*œÃœ˜ÃÊ* ˆ ­Ì ®ÊrÊ«ÀœL>LˆˆÌjÊ`½kÌÀiÊ`>˜Ãʏ½jÌ>ÌÊ ˆÊDʏ½ˆ˜ÃÌ>˜ÌÊÌ°
­ä®

iÃÊ vœÀ“ՏiÃÊ Vˆ‡`iÃÃÕÃÊ Ãœ˜ÌÊ ˆ`i˜ÌˆµÕiÃÊ DÊ ViiÃÊ «iÀ“iÌÌ>˜ÌÊ `i



œ““iÊ iÊ ÃÞÃÌm“iÊ ˜iÊ «iÕÌÊ «>ÃÊ ÃiÊ ÌÀœÕÛiÀÊ `>˜ÃÊ «ÕÈiÕÀÃÊ jÌ>Ìà V>VՏiÀÊ >Ê `ˆÃ«œ˜ˆLˆˆÌj°Ê
iÊ µÕˆÊ iÃÌÊ `ˆvvjÀi˜Ì]Ê V½iÃÌÊ iÊ }À>«…iÊ µÕˆ
Dʏ>ÊvœˆÃ]ʏiÃÊjÌ>ÌÃÊ £]Ê Ó]Ê ÎÊiÌÊ {ÊܘÌÊ`ˆÃœˆ˜ÌðʏÊi˜ÊÀjÃՏÌiÊ\ «iÀ“iÌÊ `½jÛ>ÕiÀÊ iÃÊ «ÀœL>LˆˆÌjÃÊ `iÃÊ `ˆvvjÀi˜ÌÃÊ jÌ>ÌðÊ
i«i˜`>˜Ì]
p * £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®Ê³Ê* { ­Ì ®ÊrÊ£ÊÆ “>ˆ˜Ìi˜>˜Ì]Ê ˆÊ ˜½iÃÌÊ «ÕÃÊ «œÃÈLiÊ `iÊ ÃœÀ̈ÀÊ `iÊ ½jÌ>ÌÊ {Ê Õ˜iÊ vœˆÃ
p  ­Ì ®ÊrÊ* £ ­Ì ®Ê³Ê* Ó ­Ì ®Ê³Ê* Î ­Ì ®ÊÆ µÕ½œ˜Ê ÞÊ iÃÌÊ i˜ÌÀjÊ\Ê œ˜Ê `ˆÌÊ µÕiÊ ViÕˆ‡VˆÊ iÃÌÊ `iÛi˜ÕÊ >LÜÀL>˜Ì°Ê
iÌÌi
`ˆvvjÀi˜Vi]Ê µÕˆÊ «iÕÌÊ «>À>ŠÌÀiÊ “ˆ˜ˆ“i]Ê i˜ÌÀ>Š˜iÊ Vi«i˜`>˜ÌÊ Õ˜
p 1 ­Ì ®ÊrÊ* { ­Ì ®°
Vœ“«œÀÌi“i˜ÌÊ ÌÀmÃÊ `ˆvvjÀi˜ÌÊ `ÕÊ «ÀœViÃÃÕÃÊ `iÊ >ÀŽœÛ°Ê
œ““iÊ ˆ
iÊ Ì>Li>ÕÊ£Ê “œ˜ÌÀiÊ ½jۜṎœ˜Ê `iÊ >Ê «ÀœL>LˆˆÌjÊ `iÃÊ `ˆvvjÀi˜Ìà ˜½i݈ÃÌiÊ «ÕÃÊ `iÊ «œÃÈLˆˆÌjÊ `iÊ ÃœÀ̈ÀÊ `iÊ {]Ê ÌœÕÌiÊ >Ê «ÀœL>LˆˆÌjÊ Û>
jÌ>ÌÃÊ`ÕÊÃÞÃÌm“iÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊiÌʏ>Ê«ÀœL>LˆˆÌjÊ`iʏ½jÌ>ÌÊ{ ÃiÊ ÀiÌÀœÕÛiÀÊ Vœ˜Vi˜ÌÀjiÊ `>˜ÃÊ ViÌÊ jÌ>ÌÊ œÀõÕiÊ iÊ Ìi“«ÃÊ Û>Ê Ìi˜`Ài
`œ˜˜iÊ`ˆÀiVÌi“i˜Ìʏ½ˆ˜`ˆÃ«œ˜ˆLˆˆÌjʈ˜ÃÌ>˜Ì>˜jiÊ1 ­Ì ®° ­ä® ÛiÀÃÊ ½ˆ˜w˜ˆ°Ê
i>Ê ˜iÊ v>ˆÌÊ µÕiÊ ÌÀ>`ՈÀiÊ >Ê ViÀ̈ÌÕ`iÊ µÕiÊ iÊ ÃÞÃÌm“i

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
- Ê{ÊäÇ£ v { ^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ

UX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWQ

ÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚÚ  9- Ê -Ê,-+1 -Ê -Ê-9-/ -Ê 9 +1 -Ê\Ê**,"


 Ê,"6

ViÌÌiÊ«jÀˆœ`i°ÊÊÃÕvwÌÊ`œ˜VÊ`iÊ`ˆÛˆÃiÀÊViÌÌiÊܓ“iÊ«>Àʏ>Ê`ÕÀjiÊ`i
>`ˆÌiÊ«jÀˆœ`iÊ«œÕÀʜLÌi˜ˆÀʏ>Ê`ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊ`ÕÊÃÞÃÌm“iÊi˜
Î µÕiÃ̈œ˜°
o£ *£ oÓ iÊ “k“i]Ê >Ê Ãœ““iÊ `iÃÊ/-
Ê «>ÃÃjÃÊ `>˜ÃÊ iÃÊ jÌ>ÌÃÊ `iÊ «>˜˜i
*Ó qÊ ˆVˆÊ ÃiՏi“i˜ÌÊ {Ê qÊ Vœ˜`ՈÌÊ DÊ ½jÛ>Õ>̈œ˜Ê `iÊ ½ˆ˜`ˆÃ«œ˜ˆLˆˆÌj
“œÞi˜˜iÊ`ÕÊÃÞÃÌm“iÊVœ˜ViÀ˜j°
xÓ -ÕÀʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÎ]ʏ>Êܓ“iÊ`iÃÊ/-
Ê«>ÃÃjÃÊ`>˜ÃʏiÃ
x£ -Õ««ÀiÃȜ˜ jÌ>ÌÃÊ £]Ê ÓÊ iÌÊ ÎÊ VœÀÀi뜘`Ê >ÕÃÃˆÊ DÊ Õ˜iÊ `ÕÀjiÊ “œÞi˜˜iÊ `iÊ Lœ˜
vœ˜V̈œ˜˜i“i˜ÌÊ “>ˆÃ]Ê ˆVˆ]Ê ˆÊ ý>}ˆÌÊ `iÊ >Ê `ÕÀjiÊ “œÞi˜˜iÊ `iÊ Lœ˜
*£ *£ vœ˜V̈œ˜˜i“i˜ÌÊ Ã>˜ÃÊ œLÃiÀÛiÀÊ `iÊ `jv>ˆ>˜ViÊ ÃÕÀÊ >Ê «jÀˆœ`iÊ Qä]Ê Ì R°
£ Ì>ÌÊ>LÜÀL>˜Ì {
*Ó *Ó œÀõÕiÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ]ÊViÌÌiÊ`ÕÀjiʓœÞi˜˜iʘ½iÃÌÊ>ÕÌÀiʵÕiʏi
V>ÃȵÕiÊ//Ê­i>˜Ê/ˆ“iÊ/œÊ>ˆ ®Ê`ÕÊÃÞÃÌm“iÊjÌÕ`ˆj°
xÓ œÀõÕiÊÌʘ½iÃÌÊ«>Ãʈ˜w˜ˆ]ʏ>Ê`ÕÀjiʓœÞi˜˜iÊÃ>˜ÃÊ`jv>ˆ>˜ViÊiÃÌ
՘iÊ >ÕÌÀiÊ “>˜ˆmÀiÊ `½>««Àj…i˜`iÀÊ iÃÊ V…>˜ViÃÊ `½œLÃiÀÛiÀÊ Õ˜i
oÓ o£ `jv>ˆ>˜ViÊÃÕÀʏ>Ê«jÀˆœ`iÊ`½iÝ«œˆÌ>̈œ˜Ê­œÕʏ>Ê«jÀˆœ`iÊ`iÊ}>À>˜Ìˆi®
*£ `ÕÊ ÃÞÃÌm“iÊ Vœ˜ViÀ˜j°Ê iÊ «iÕÌÊ `œ˜VÊ i˜ÌÀiÀÊ `>˜ÃÊ iÃÊ VÀˆÌmÀiÃÊ `i
*Ó Vœ˜Vi«Ìˆœ˜Ê >ÕÊ “k“iÊ ÌˆÌÀiÊ µÕiÊ >Ê w>LˆˆÌj]Ê >Ê `ˆÃ«œ˜ˆLˆˆÌjÊ œÕÊ i
//°
Ó
ˆi˜Êi˜Ìi˜`Õ]ÊVœ““iʈÊiÃÌÊ>LÜÀL>˜Ì]ʏiÊ/-
Ê`iʏ½jÌ>ÌÊ {ÊÌi˜`
>ÀV…iÊVœ˜Ìˆ˜Õi £ÀiÊ«>˜˜i ÛiÀÃʏ½ˆ˜w˜ˆÊœÀõÕiʏ>Ê`ÕÀjiÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ°

ˆ}ÕÀiÊÎ q À>«…iÊ`iÊ>ÀŽœÛÊ«œÕÀʏiÊV>VՏÊ`iʏ>Êw>LˆˆÌj
Ó°Î +ÕiµÕiÃÊjj“i˜ÌÃÊ̅jœÀˆµÕiÃ
1˜iÊvœˆÃʏiÊ}À>«…iÊ`iÊ>ÀŽœÛÊVœ˜ÃÌÀՈÌ]ʈÊiÃÌʘjViÃÃ>ˆÀiÊ`½jÌ>LˆÀ
/>Li>ÕÊÓÊqʈ>LˆˆÌjÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«Ã iÃÊ µÕiµÕiÃÊ vœÀ“ՏiÃÊ Ì…jœÀˆµÕiÃÊ `iÊ L>ÃiÊ «iÀ“iÌÌ>˜ÌÊ `iÊ Àj>ˆÃiÀ
ivviV̈Ûi“i˜ÌÊ iÃÊ V>VՏÃÊ «ÀœL>LˆˆÃÌiÃÊ jۜµÕjÃÊ `>˜ÃÊ iÃÊ «>À>‡
/i“«Ã Ì>ÌÃ
­>˜Ã® }À>«…iÃÊ«ÀjVj`i˜Ìð
£ Ó Î { œÌœ˜ÃÊ`mÃʏiÊ`j«>ÀÌʵÕi]ÊÃ>ÕvÊ«œÕÀÊ`iÊÌÀmÃÊ«ïÌÃÊÃÞÃÌm“iÃ]ʈÊiÃÌ
ä £]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää ä]Êäää ʳÊää «>Àv>ˆÌi“i˜ÌÊ ˆÕ܈ÀiÊ `½i˜ÛˆÃ>}iÀÊ `iÊ Vœ˜`ՈÀiÊ iÃÊ V>VՏÃÊ “>˜Õi‡
i“i˜Ì°Ê œÕÃʘiÊ`jVÀˆÀœ˜ÃÊ`œ˜VʈVˆÊµÕiʏiÃÊvœÀ“ՏiÃʓ>̅j“>̈µÕiÃ
xä ™]Ê£n£ ÊqÊä£ £]Ê£ä£ ÊqÊäÓ ™]Ê£Îx ÊqÊäx Ç]Êän£ ÊqÊäÓ
ˆ˜`ˆÃ«i˜Ã>LiÃÊ «œÕÀÊ Vœ“«Ài˜`ÀiÊ >Ê «…ˆœÃœ«…ˆiÊ `iÊ >Ê “j̅œ`iÊ iÌ
£ää n]ÊxΣ ÊqÊä£ £]ÊäÓÎ ÊqÊäÓ n]Ê{nn ÊqÊäx £]ÊÎÈÈ ÊqÊä£ i˜ÊViÀ˜iÀʏiÃÊ>Û>˜Ì>}iÃÊiÌʏiÃʈ˜Vœ˜Ûj˜ˆi˜Ìð
£xä Ç]ʙÓÇ ÊqÊä£ ™]Êx£ä ÊqÊäÎ Ç]ÊnnÇ ÊqÊäx £]ʙÇn ÊqÊä£ *œÕÀÊ iÊ ÌÀ>ˆÌi“i˜ÌÊ `iÊ ÃÞÃÌm“iÃÊ Êˆ˜`ÕÃÌÀˆiÃʂ]Ê iÃÊ V>VՏÃÊ «Àœ‡
«Ài“i˜ÌÊ `ˆÌÃÊ ˜jViÃÈÌi˜ÌÊ >Ê “ˆÃiÊ i˜Ê  ÕÛÀiÊ `iÊ œ}ˆVˆiÃÊ `œ˜ÌÊ ˆ
Óxä È]Ên{{ ÊqÊä£ n]ÊÓ£ä ÊqÊäÎ È]Ên£ä ÊqÊäx Î]ÊäÇ{ ÊqÊä£ i݈ÃÌiÊ Õ˜Ê ViÀÌ>ˆ˜Ê ˜œ“LÀiÊ ÃÕÀÊ iÊ “>ÀV…j°Ê iÃÊ V>À>VÌjÀˆÃ̈µÕiÃ]
{ää x]Ê{™ä ÊqÊä£ È]ÊxnÇ ÊqÊäÎ x]Ê{ÈÎ ÊqÊäx {]Ê{{Î ÊqÊä£ «œÃÈLˆˆÌjÃÊ iÌÊ «iÀvœÀ“>˜ViÃÊ i˜Ê ܘÌÊ `ˆÛiÀÃiÃÊ iÌÊ ˜œÕÃÊ ˜œÕÃ
i“«œˆiÀœ˜Ã]Ê `>˜ÃÊ ViÌÌiÊ «>À̈iÊ Ì…jœÀˆµÕi]Ê DÊ `jVÀˆÀiÊ «ÕÃÊ «>À̈VՏˆm‡
xää {]ÊÇ{ä ÊqÊä£ x]ÊÈnÇ ÊqÊäÎ {]ÊÇ£Ç ÊqÊäx x]ÊÓäÎ ÊqÊä£ Ài“i˜ÌÊ ViÊ µÕˆÊ iÃÌÊ ˆ“«j“i˜ÌjÊ `>˜ÃÊ iÊ œ}ˆVˆiÊQÓRÊ µÕiÊ ˜œÕÃÊ >ۜ˜Ã
Çää Î]ÊxÎÎ ÊqÊä£ {]ÊÓΙ ÊqÊäÎ Î]Êx£È ÊqÊäx È]Ê{Ó{ ÊqÊä£ `jÛiœ««jÊiÌʓ>ˆ˜Ìi˜ÕÊ`i«ÕˆÃʓ>ˆ˜Ìi˜>˜ÌÊ՘iÊۈ˜}Ì>ˆ˜iÊ`½>˜˜jið
£äää Ó]ÊÓÇ{ ÊqÊä£ Ó]ÊÇÓn ÊqÊäÎ Ó]ÊÓÈÎ ÊqÊäx Ç]Êșn ÊqÊä£
Îäää £]ÊÓäx ÊqÊäÓ £]Ê{{x ÊqÊä{ £]Ê£™™ ÊqÊäÈ ™]ÊnÇn ÊqÊä£ Ó°Î°£ œÀ“ՏiÊ`iÊL>Ãi
xäää È]ÊÎn£ ÊqÊä{ Ç]ÊÈxx ÊqÊäÈ È]ÊÎ{™ ÊqÊän ™]ʙ™{ ÊqÊä£ >ÊvœÀ“ՏiÊ`iÊ`j«>ÀÌÊ`iÃÊ«ÀœViÃÃÕÃÊ`iÊ>ÀŽœÛÊiÃÌÊÌÀmÃÊȓ«iÊD
`jw˜ˆÀ°Ê iÊ Vœ˜ÃˆÃÌiÊ Ãˆ“«i“i˜ÌÊ DÊ jÌ>LˆÀÊ >Ê «ÀœL>LˆˆÌjÊ * ˆ ­Ì ³Ê`Ì ®
`½kÌÀiÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ Ì ³Ê`ÌÊ i˜Ê vœ˜V̈œ˜Ê `iÃÊ «ÀœL>LˆˆÌjÃ
* Ž ­Ì ®Ê`iÃÊ`ˆvvjÀi˜ÌÃÊjÌ>ÌÃÊ­Ž ®ÊDʏ½ˆ˜ÃÌ>˜ÌÊÌ°
̜“LiÊi˜Ê«>˜˜iÊÃÕÀÊ՘iÊ`ÕÀjiʈ˜w˜ˆi°ÊÊi˜ÊÀjÃՏÌiʵÕiÊ ­Ì ®ÊÌi˜`
ÛiÀÃÊ£ÊiÌÊ, ­Ì ®ÊÛiÀÃÊäʏœÀõÕiʏiÊÌi“«ÃÊÌÊÌi˜`ÊÛiÀÃʏ½ˆ˜w˜ˆ°
iÌÌiÊ «ÀœL>LˆˆÌjÊ ÃiÊ `ˆÛˆÃiÊ i˜Ê `iÕÝÊ «>À̈iÃÊ Vœ“«j“i˜Ì>ˆÀiÃ
­w}ÕÀiÊ{®Ê\
iÊ Ì>Li>ÕÊÓÊ “œ˜ÌÀiÊ ½jۜṎœ˜Ê `iÊ >Ê «ÀœL>LˆˆÌjÊ `iÃÊ `ˆvvjÀi˜ÌÃ
£® œ˜Ê>ÀÀˆÛiÊ`>˜Ãʏ½jÌ>ÌʈÊi˜ÌÀiÊÌÊiÌÊÌ ³Ê`Ì Æ
jÌ>ÌÃÊ`ÕÊÃÞÃÌm“iÊi˜Êvœ˜V̈œ˜Ê`ÕÊÌi“«ÃÊiÌʏ>Ê«ÀœL>LˆˆÌjÊ`iʏ½jÌ>ÌÊ{
Ó® œ˜Ê iÃÌÊ `>˜ÃÊ ½jÌ>ÌÊ ˆÊ DÊ ½ˆ˜ÃÌ>˜ÌÊ ÌÊ iÌÊ œ˜Ê ˜½i˜Ê ÜÀÌÊ «>ÃÊ i˜ÌÀiÊ ÌÊ iÌ
`œ˜˜iÊ`ˆÀiVÌi“i˜Ìʏ>Ê`jw>LˆˆÌjÊ ­Ì ®°
Ì ³Ê`Ì°
>Ê `iÕ݈m“iÊ «>À̈iÊ jÌ>˜ÌÊ Ãˆ“«i“i˜ÌÊ iÊ Vœ“«j“i˜ÌÊ DÊ £Ê `iÊ >
Ó°Ó°Î /i“«ÃʓœÞi˜ÃÊ`iÊÃjœÕÀÃÊVՓՏjð «ÀœL>LˆˆÌjÊ `iÊ ÃœÀ̈ÀÊ `iÊ ˆ]Ê œ˜Ê >LœṎÌÊ v>Vˆi“i˜ÌÊ DÊ >Ê vœÀ“Տi
ˆÃ«œ˜ˆLˆˆÌjʓœÞi˜˜iÊiÌÊ// ÃՈÛ>˜ÌiÊ\

ÕÊ VœÕÀÃÊ `iÊ Ãœ˜Ê jۜṎœ˜]Ê iÊ ÃÞÃÌm“iÊ Ã>ÕÌiÊ `½jÌ>ÌÊ i˜Ê jÌ>ÌÊ iÌ
ÃjœÕÀ˜iÊ`>˜ÃÊV…>V՘Ê`½iÕÝÊ«i˜`>˜ÌÊ՘iÊViÀÌ>ˆ˜iÊ`ÕÀji°Ê
œ““iʈ
* ˆ „ Ì ´ `Ì ˆ r ­ *Ž „ Ì ˆ oŽˆ `Ì ´ *ˆ „ Ì ˆ M£ q ­ oˆŽ `Ì N ­£®
Ž|ˆ Ž|ˆ
«iÕÌÊ «>ÃÃiÀÊ «ÕÈiÕÀÃÊ vœˆÃÊ «>ÀÊ iÊ “k“iÊ jÌ>Ì]Ê ˜œÕÃÊ «>ÀiÀœ˜ÃÊ `i
Ìi“«ÃʓœÞi˜ÃÊ`iÊÃjœÕÀÊVՓՏjÃÊ­/-
®Ê>w˜Ê`½jۈÌiÀʏ>ÊVœ˜vÕȜ˜ Ê ˜œÌiÀÊ µÕi]Ê ÃÕÀÊ >Ê w}ÕÀiÊ{]Ê iÊ v>ˆÌÊ µÕiÊ iÊ ÃÞÃÌm“iÊ ÀiÃÌiÊ `>˜Ã
>ÛiVÊ iÊ Ìi“«ÃÊ “œÞi˜Ê `iÊ ÃjœÕÀÊ ­/-®Ê œLÃiÀÛjÊ DÊ V…>µÕiÊ «>ÃÃ>}i ½jÌ>ÌÊ ˆÊ >Ê jÌjÊ Ài«ÀjÃi˜ÌjÊ «>ÀÊ Õ˜iÊ ÌÀ>˜ÃˆÌˆœ˜Ê LœÕVjiÊ ÃÕÀÊ ½jÌ>ÌÊ ˆ°Ê
i
ˆ˜`ˆÛˆ`Õi° }i˜ÀiÊ`iÊLœÕViÊiÃÌʈ“«ˆVˆÌiÊiÌÊ}j˜jÀ>i“i˜Ìʜ“ˆÃÊÃÕÀʏiÃÊ}À>«…iÃ

œ˜Ãˆ`jÀœ˜ÃʏiÊ}À>«…iÊ`iʏ>Êw}ÕÀiÊÓ \ʏ>Ê`ÕÀjiʓœÞi˜˜iÊ`iÊLœ˜ `iÊ>ÀŽœÛ°
vœ˜V̈œ˜˜i“i˜ÌÊ `ÕÊ ÃÞÃÌm“iÊ jÌÕ`ˆjÊ «œÕÀÊ Õ˜iÊ «jÀˆœ`iÊ `œ˜˜ji *œÃœ˜ÃÊ o ˆˆ rÊ o ˆŽÊ «œÕÀÊ Ãˆ“«ˆwiÀÊ >Ê vœÀ“ՏiÊ­£®°Ê o ˆˆÊ Ài«ÀjÃi˜Ìi
VœÀÀi뜘`Ê DÊ >Ê Ãœ““iÊ `iÃÊ Ìi“«ÃÊ “œÞi˜ÃÊ `iÊ ÃjœÕÀÃÊ VՓՏjà `œ˜VÊ iÊ Ì>ÕÝÊ `iÊ ÌÀ>˜ÃˆÌˆœ˜Ê `iÊ ˆÊ ÛiÀÃÊ ˜½ˆ“«œÀÌiÊ µÕiÊ >ÕÌÀiÊ jÌ>ÌÊ `ˆv‡
«>ÃÃjÃÊ`>˜ÃʏiÃÊjÌ>ÌÃÊ`iÊLœ˜Êvœ˜V̈œ˜˜i“i˜ÌÊ £]Ê ÓÊiÌÊ ÎÊ«i˜`>˜Ì vjÀi˜ÌÊ­iÌʘœ˜Ê«>ÃʏiÊÌ>ÕÝÊ`iÊÌÀ>˜ÃˆÌˆœ˜Ê`iʈÊÛiÀÃʏՈ‡“k“i®°

/œÕÌiÊÀi«Àœ`ÕV̈œ˜ÊÃ>˜ÃÊ>Õ̜ÀˆÃ>̈œ˜Ê`ÕÊ
i˜ÌÀiÊvÀ>˜X>ˆÃÊ`½iÝ«œˆÌ>̈œ˜Ê`ÕÊ`ÀœˆÌÊ`iÊVœ«ˆiÊiÃÌÊÃÌÀˆVÌi“i˜Ìʈ˜ÌiÀ`ˆÌi°
^Ê/iV…˜ˆµÕiÃÊ`iʏ½˜}j˜ˆiÕÀ - Ê{ÊäÇ£ vªx

UY
VP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

Analyse des risques des systèmes


dynamiques : réseaux de Petri
Principes
par Jean-Pierre SIGNORET
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1. Contexte...................................................................................................... SE 4 072 – 2
2. Analytique versus Monte-Carlo ............................................................ – 2
3. Modèles de comportement .................................................................... – 3
4. Simulation de Monte-Carlo.................................................................... – 4
4.1 Principe ......................................................................................................... – 4
4.2 Exemple simple............................................................................................ – 4
4.3 Génération des lois de probabilité ............................................................. – 5
4.4 Précision des résultats................................................................................. – 6
5. Réseaux de Petri ....................................................................................... – 7
5.1 Historique ..................................................................................................... – 7
5.2 Réseaux de Petri – RdP – de base ............................................................... – 7
5.3 Extensions .................................................................................................... – 11
6. RdP versus processus de Markov ........................................................ – 13
7. Réseaux de Petri colorés ........................................................................ – 14
8. Conclusion.................................................................................................. – 14
Pour en savoir plus ........................................................................................... Doc. SE 4 073

algré tout son intérêt, l’approche analytique par processus de Markov (cf.
M dossier [SE 4 070] « Analyse des risques des systèmes dynamiques :
préliminaires ») trouve rapidement des limites lorsque la complexité des sys-
tèmes industriels à étudier ou des paramètres probabilistes à évaluer augmente.
Un saut qualitatif devient nécessaire qui impose l’abandon de l’approche ana-
lytique pour l’approche statistique connue sous le nom de simulation de Monte-
Carlo. Elle consiste à tirer des nombres au hasard pour animer un modèle repré-
sentant le comportement du système étudié dont l’évolution ainsi simulée sur
un grand nombre d’histoires permet d’évaluer les informations probabilistes –
fiabilité, disponibilité, disponibilité de production, etc. – recherchées.
Une fois franchi le pas de la simulation, reste à sélectionner un modèle de
comportement efficace sur lequel s’exerce cette simulation. Le comportement
des systèmes industriels présentant beaucoup d’analogie avec celui des auto-
mates à états finis – états discrets et dénombrables – l’un d’entre eux s’est
détaché et a été adopté et adapté à ce propos dès la fin des années soixante-
dix : le réseau de Petri (RdP).
p。イオエゥッョ@Z@。カイゥャ@RPPX

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 072 – 1

VQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

C’est la représentation graphique du réseau de Petri qui lui confère ses carac-
téristiques les plus intéressantes : construction maîtrisée de grands modèles
complexes à partir d’un nombre très limité d’éléments, visualisation synthé-
tique du modèle obtenu, animation manuelle pas à pas pour en vérifier le
comportement, etc.
Après avoir jeté les bases de la simulation de Monte-Carlo, ce dossier
s’attache à montrer comment les réseaux de Petri constituent un formidable
support de simulation permettant d’appréhender pratiquement tous les pro-
blèmes probabilistes rencontrés dans le domaine industriel.
Dans la continuité des approches analytiques (cf. les dossiers [SE 4 070] et
[SE 4 071] « Analyse des risques des systèmes dynamiques : préliminaires et
approche markovienne »), ce premier dossier [SE 4 072] se penche ensuite
rapidement sur l’utilisation primitive des réseaux de Petri pour générer de gros
graphes de Markov. Dans un second dossier [SE 4 073], des exemples simples
sont proposés pour présenter de manière progressive la façon d’aborder les
problèmes classiques – fiabilité et disponibilité – les plus élémentaires avant
de se confronter aux situations autrement plus ardues de la disponibilité de
production impliquant une modélisation très détaillée des procédures de main-
tenance et des niveaux de production du système étudié.
Au cours du temps, les réseaux de Petri de base ont subi des évolutions qui
les ont conduits progressivement aux réseaux de Petri à prédicats et asser-
tions que nous utilisons aujourd’hui. Grâce à la grande capacité de cette
approche à absorber les améliorations, aucune remise en question drastique
des choix initiaux n’a jamais été nécessaire. Bien que pourvus maintenant
d’une puissance de modélisation incomparable, les réseaux de Petri n’ont pas
encore dit leur dernier mot. Des possibilités d’amélioration existent qui sont
abordées succinctement à la fin de ce dossier.
Pour un investissement intellectuel somme toute très minime, les réseaux de
Petri fournissent un outil d’une souplesse d’utilisation et d’une puissance de
modélisation aux possibilités quasi illimitées. Ils offrent indubitablement à l’heure
actuelle le meilleur rapport qualité/prix en cette matière. Mettre le doigt dans
l’engrenage des réseaux de Petri, c’est prendre le risque de trouver désormais les
autres approches beaucoup trop pauvres et de ne plus pouvoir s’en passer !

1. Contexte 2. Analytique versus


Même si l’approche markovienne n’est pas démunie d’atouts, et Monte-Carlo
nous l’avons montré précédemment [SE 4 071], il n’en reste pas
moins qu’elle atteint rapidement ses limites lorsqu’il s’agit de s’atta- Avant de se focaliser sur le sujet de ce dossier, il est bon de
quer à des problèmes dont la nature s’écarte des simples calculs de s’attaquer à l’idée reçue, courante par le passé et qui, bien
fiabilité/disponibilité classiques comme c’est le cas lorsque les para- qu’encore propagée par certains sectateurs, tend fort heureuse-
mètres de fiabilité cessent d’être exponentiels ou lorsque la taille du ment à s’estomper que l’approche analytique serait propre alors
système étudié occasionne l’explosion du nombre des états. que la simulation de Monte-Carlo, elle, serait sale.
Dans une telle conjoncture, la situation de l’ingénieur fiabiliste est- Pour les départager, il suffit de constater que les problèmes rencon-
elle désespérée pour autant ? Non, bien sûr, mais il doit se résoudre à trés par les ingénieurs fiabilistes se classent globalement en deux gran-
réaliser le grand saut qualitatif méthodologique lui faisant abandonner des familles, sécurité et disponibilité, dont les objets sont différents :
la douce quiétude du calcul analytique orthodoxe pour les rivages plus
– la sécurité se préoccupe d’événements rares dont l’occurrence
tourmentés des générateurs de nombres aléatoires et des estimations
entraîne des conséquences extrêmement graves et elle est mise en
statistiques connus sous le nom de simulation de Monte-Carlo.
jeu dès le premier accident. Les études servent généralement à
Une fois le pas franchi se pose immédiatement la question démontrer à des autorités de sûreté compétentes donnant les
corollaire suivante : simulation de Monte-Carlo d’accord, mais sur autorisations d’exploiter que le risque de l’installation industrielle
quel type de modèle de comportement du système étudié ? concernée est acceptable. La sécurité se satisfait donc d’approches
Le but de ce document est de répondre aux questions précédentes. conservatives ;
Après avoir montré rapidement les aspects complémentaires des – la disponibilité se préoccupe d’événements fréquents dont
approches analytiques et par simulation il s’attache à décrire les grands l’occurrence n’entraîne que des conséquences minimes et c’est le
principes de la simulation de Monte-Carlo. Il expose ensuite en détail le cumul de petites pertes fréquentes qui fait le risque. Les études
modèle reconnu comme l’un des plus efficaces en la matière : le servent généralement à démontrer à des décideurs donnant leur
réseau de Petri stochastique qui prête son nom au titre de ce dossier. feu vert pour concrétiser les projets que l’exploitation sera

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 072 – 2 est strictement interdite. – © Editions T.I.

VR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWR

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

rentable. Un trop fort conservatisme risquant de faire rejeter des


projets en fait rentables, la disponibilité demande donc de rester États
A
au plus près de la réalité (approche best estimate). B
Cela tombe bien puisque c’est justement selon les deux axes E1
ci-dessus que les approches analytiques et par simulation se
distinguent réellement : E2
– l’approche analytique n’est pratiquement jamais utilisable sans E3
approximation mais ces approximations sont généralement d’autant
E4
moins sensibles que les probabilités mises en jeu sont petites. Cela
s’accorde donc plutôt bien avec les problèmes liés à la sécurité ; Temps
– l’approche par simulation de Monte-Carlo permet de modéliser Figure 1 – Processus stochastique
au plus près le comportement des systèmes étudiés mais son effi-
cacité est d’autant plus grande que les événements concernés sont
plus fréquents. Cela s’accorde donc plutôt bien avec les problèmes 70
0
liés à la disponibilité. 90 B
50 100 40
Donc, les approches analytiques et par simulation ne sont pas 50
interchangeables. Elles sont complémentaires et chacune est bien Puits D 70
40 90
adaptée à des types de problèmes particuliers. Cependant, avec
70
l’augmentation de la puissance des ordinateurs, les problèmes de C
sécurité sont de plus en plus accessibles à la simulation, comme
nous le montrerons au cours de cet exposé.
Effet rétroactif Effet direct
Avant de clore ce paragraphe, il nous faut aussi tuer le présup-
posé qui veut que la simulation de Monte-Carlo soit imprécise par Chiffres donnés en milliers de barils par jour
rapport à l’approche analytique qui, elle, serait précise. Comme
Figure 2 – Diagramme de flux
nous le verrons plus loin, la simulation de Monte-Carlo délivre tou-
jours l’intervalle de confiance des résultats obtenus. Ce n’est que Pour évaluer la disponibilité de production d’un tel système, il suffit
rarement le cas des méthodes analytiques pour lesquelles il est d’évaluer le temps cumulé moyen passé dans chacun de ses niveaux
souvent difficile, sinon impossible, de mesurer l’impact des de production. Un cas particulier de ce genre de modèle est celui pour
approximations réalisées pour arriver à obtenir un résultat. lequel chaque bloc ne possède que deux états (marche/panne). On
retombe alors sur un diagramme fiabilité et les calculs de fiabilité/
disponibilité classiques. La disponibilité moyenne est un cas particu-
3. Modèles de comportement lier de disponibilité de production mais, cela étant très similaire avec
ce que l’on l’a déjà vu en détail dans le dossier [SE 4 071] sur l’appro-
La modélisation probabiliste des systèmes industriels dynami- che markovienne, nous ne nous étendrons pas davantage sur le sujet.
ques nécessite l’utilisation de processus stochastiques. Cela a déjà À partir de considérations sur l’installation représentée sur la
été évoqué dans les dossiers [SE 4 070] et [SE 4 071] concernant ce figure 2, il est assez facile de dresser un inventaire « à la Prévert »
type de systèmes dont le comportement typique correspond à des problèmes qu’il convient d’aborder, sinon de maîtriser, pour
une modélisation à la fois fonctionnelle et dysfonctionnelle réaliste :
celui présenté sur la figure 1. – niveaux de production ;
Sur cette figure, on voit un système évoluer entre 4 états dis- – effets amont et aval des défaillances ;
tincts en fonction de délais aléatoires liés aux défaillances et aux – blocs en attente (redondance froide/chaude/mixte/tiède) ;
réparations des 2 composants individuels qui le constituent. Ces – blocs périodiquement testés ;
états peuvent être interprétés de manières différentes selon le type – défaillances de cause commune ;
d’étude à réaliser, par exemple : – défaillances induites (la perte d’un bloc induit un état de pro-
– pour une étude de sécurité ou de disponibilité classiques, les duction dégradée chez un autre) ;
états 1, 2 et 3 sont les états de bon fonctionnement et l’état 4, l’état – arrêt induit (la perte d’un bloc induit l’arrêt des blocs en série
de panne ; avec lui) ;
– pour une étude de disponibilité de production, l’état 1 est l’état – reconfigurations lors de la perte d’un bloc pour recouvrer tout
de production à 100 %, l’état 4 est l’état de panne totale et les ou partie de la production ;
états 2 et 3 des états de marche dégradés. – mobilisation des supports d’intervention pour les interventions
lourdes ;
À ce système un peu trop simple pour illustrer l’ensemble des – mobilisation des spécialistes pour les réparations de certains
difficultés rencontrées lors de la réalisation d’études probabilistes, équipements ;
nous allons préférer celui qui est représenté sur la figure 2.
– politique de maintenance curative (nombre d’équipes,
Il s’agit d’un diagramme de flux modélisant une chaîne typique défaillances critiques / dégradées, ...) ;
de production, par exemple le traitement des hydrocarbures sor- – politique de maintenance préventive ;
tant d’un puits de pétrole. Chaque bloc est caractérisé par sa capa- – politique d’approvisionnement des pièces de rechange ;
cité de traitement du flux circulant dans le système. Les capacités – activités se déroulant en parallèle ou en séquence ;
varient en fonction d’événements internes (défaillance, réparation – délais de transport des équipes de maintenance (hélicoptère,
du bloc) mais aussi d’événements externes (états des autres blocs, bateau, ...) ;
politique d’exploitation, etc.). Le puits a, par exemple, deux – rythme jour/nuit (suspension des réparations la nuit, par exemple) ;
niveaux de production : 50 000 barils/jour en éruption naturelle et – présence normale ou non de personnel à bord ;
90 000 barils/jours lorsqu’il est activé. – stockages ;
Selon l’état de chacun des blocs, ce petit système possède ainsi – conditions météo océanologiques pour les installations en mer ;
5 niveaux de production : 0, 40, 50, 70, 90 milliers de barils/jour. À – délais quelconques pour les événements à prendre en compte ;
un moment donné, le niveau de production est fixé par le (les) – etc.
bloc(s) qui impose(nt) la production minimale (goulot d’étrangle- Plus on se rapproche de la réalité et plus le nombre d’états à pren-
ment). Par exemple, lorsque le bloc C est en panne, la production dre en compte augmente mais la caractéristique principale est que
tombe à 70 000 barils/jours. ces états restent bien individualisés (discrets) même s’ils deviennent

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 072 – 3

VS
VT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

Analyse des risques des systèmes


dynamiques : réseaux de Petri
Exemples de modélisation
par Jean-Pierre SIGNORET
Maître ès-Sciences - Expert Fiabiliste TOTAL
Ancien Vice-Président de l’Institut de Sûreté de Fonctionnement (ISdF)
Ancien Président de European Safety & Reliability Association (ESRA)
Ancien Animateur du Groupe de travail « Recherche Méthodologique » de l’IMdR-SdF

1. Contexte ..................................................................................................... SE 4 073 – 2


2. Traitement de problèmes typiques ..................................................... – 2
2.1 Exemple d’un système fonctionnant en 2 sur 3 (2/3)................................ – 2
2.2 Disponibilité ................................................................................................. – 3
2.2.1 Modélisation........................................................................................ – 3
2.2.2 Résultats typiques et MTBF ............................................................... – 3
2.2.3 Influence de la dispersion des temps de réparation ........................ – 4
2.2.4 Observateurs de la simulation........................................................... – 4
2.3 Fiabilité ......................................................................................................... – 6
2.3.1 Modélisation........................................................................................ – 6
2.3.2 Résultats typiques............................................................................... – 6
2.3.3 Influence de la dispersion des temps de réparation ........................ – 6
2.3.4 MTTF .................................................................................................... – 7
2.4 Lien Réseaux de Petri et diagrammes de fiabilité ..................................... – 7
2.4.1 Réseaux de Petri de base ................................................................... – 7
2.4.2 Réseaux de Petri à prédicats et assertions ....................................... – 8
2.5 Systèmes périodiquement testés ............................................................... – 8
2.5.1 Modélisation naïve ............................................................................. – 8
2.5.2 Modélisation efficace.......................................................................... – 9
2.6 Disponibilité de production......................................................................... – 9
2.6.1 Identification des niveaux de production ......................................... – 9
2.6.2 Extrapolation des BDF aux diagrammes de flux .............................. – 10
2.6.3 Éléments de modélisation des systèmes de production ................. – 10
2.6.4 Modélisation des effets directs et rétroactifs des défaillances ....... – 13
3. Conclusion ................................................................................................. – 13
Pour en savoir plus ........................................................................................... Doc. SE 4 073

e traitement d’exemples caractéristiques auxquels l’ingénieur fiabiliste est


L journellement confronté lors de l’analyse et de la modélisation de sys-
tèmes industriels permet d’aller plus loin dans la découverte des immenses
possibilités de modélisation par les réseaux de Petri entrevues dans le dossier
précédent [SE 4 072].
Le dessein de ce second dossier est donc d’ouvrir des pistes pour démarrer
du bon pied les modélisation par réseaux de Petri aussi bien pour l’évaluation
des paramètres fiabilistes classiques, comme la fiabilité, la disponibilité ou le
MTTF (Mean Time To Failure) des dispositifs de sécurité, que pour l’évaluation
de paramètre fiabilistes plus sophistiqués et nécessitant des modélisations très
approfondies, comme la disponibilité de production, la fréquence des pannes
ou la charge de maintenance des systèmes de production.
p。イオエゥッョ@Z@。カイゥャ@RPPX

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 073 – 1

VU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI ___________________________________________________________________

Même si les réseaux de Petri tirent une grande partie de leur puissance
d’expression de leur aspect graphique, la construction maîtrisée de grand
modèles implique à la fois discipline et rigueur. Le lien avec les diagrammes
de fiabilité et les diagrammes de flux est mis à profit dans ce dossier pour
donner la ligne directrice d’une modélisation modulaire incontournable pour
qui veut maîtriser ses modèles au cours de leur développement.
Le succès d’une simulation de Monte-Carlo résidant dans la rapidité des cal-
culs, les astuces à connaître et les écueils à éviter sont indiqués au détour des
exemples servant de support.
Enfin, cet ensemble d’exemples vient conforter l’affirmation exprimée dans
le dossier [SE 4 072] : les réseaux de Petri constituent bien au début des années
2000, dans le domaine de la sûreté de fonctionnement, le meilleur rapport inves-
tissement intellectuel/puissance de modélisation. Attention l’addiction guette... !
Concernant les notations et les graphismes utilisés, le lecteur se reportera
utilement au dossier [SE 4 072].

1. Contexte 2. Traitement de problèmes


Dans le dossier [SE 4 072], un pan du voile a été soulevé sur les
typiques
immenses possibilités de modélisation des réseaux de Petri. Le
traitement d’un ensemble d’exemples typiques correspondant aux
problèmes auxquels l’ingénieur fiabiliste est journellement con- 2.1 Exemple d’un système fonctionnant
fronté permet de continuer cette aventure. en 2 sur 3 (2/3)
Un petit système fonctionnant en vote majoritaire en 2/3 sert de fil
rouge pour introduire les éléments relatifs aux calculs classiques de Pour montrer comment les réseaux de Petri permettent d’appré-
fiabilité et de disponibilité. Les problèmes de disponibilité de produc- hender les divers paramètres d’intérêt dans les études probabilis-
tion sont ensuite mis à profit pour montrer tout l’intérêt de la modélisa- tes, nous allons commencer par nous appuyer sur la figure 1 dont
tion modulaire au profit de la maîtrise des grands systèmes industriels. le but est de modéliser le comportement d’un système en 2/3.
La publication récente de la norme internationale IEC 61508 Ce système est composé de 3 composants identiques partageant
[Doc. SE 4 073] concernant l’évaluation des « niveaux d’intégrité la même équipe de réparateurs et le lecteur reconnaîtra facilement
de sécurité » (Safety Integrity Levels SIL) met en lumière les lacu- les modules que nous avons disséqués en [SE 4 072] avec cepen-
nes actuelles en ce qui concerne la modélisation et les calculs de dant quelques ajouts. En effet, pour modéliser un 2/3, il faut con-
systèmes testés périodiquement. Un paragraphe spécifique (§ 2) naître précisément le nombre de composants fonctionnant à un
est consacré à ce problème que les réseaux de Petri permettent instant donné. Avec les réseaux de Petri, il existe plusieurs maniè-
d’aborder sans difficultés particulières. res possibles pour ce faire et nous avons décidé d’introduire ici
Quand on parle de modélisation fiabiliste, le traitement des deux places auxiliaires, une pour compter le nombre de compo-
défaillances de cause commune (DCC) est incontournable. La sants en marche NbM et une autre pour compter le nombre de
modélisation des systèmes de production est mise à profit pour composants en panne NbP.
montrer comment appréhender facilement cette question. Chaque fois qu’un composant tombe en panne, NbP reçoit un
Enfin, comme le succès ou l’échec de l’approche par simulation jeton et NbM en perd un et, réciproquement, chaque fois qu’un
de Monte-Carlo est directement tributaire de la rapidité des calculs, composant est réparé NbM reçoit un jeton et NbP en perd un. À
les astuces à connaître et les écueils à éviter sont indiqués au chaque instant, ces places permettent donc de connaître l’état du
détour des exemples servant de support. De la négligence de cet système et, bien entendu, à l’instant initial, NbM doit contenir
aspect, des échecs cuisants peuvent résulter ! 3 jetons et NbP aucun.

M_1 M_2 M_3

NbM NbM NbM NbM NbM NbM


! RD ! RD ! RD
Fin_R1 P_1 Fin_R2 P_2 Fin_R3 P_3

NbP ? RD NbP NbP ? RD NbP NbP ? RD NbP


!-RD !-RD !-RD
R_1 A_1 R_2 A_2 R_3 A_3

St_R1 St_R2 St_R3

NbM Nombre de composants en marche NbP Nombre de composants en panne

Figure 1 – Comptage des composants en panne et en marche

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 073 – 2 est strictement interdite. – © Editions T.I.

VV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWS

____________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

2.2 Disponibilité
Marche

2.2.1 Modélisation NbM


-2
δ=0 Réparation
Telle qu’elle est, la figure 1 ne permet pas encore d’évaluer
la disponibilité du système. Il faut lui adjoindre un sous-réseau Panne δ=0 -2
de Petri auxiliaire qui saura détecter quand le système 2/3 est NbP
en Marche ou en Panne. C’est celui qui est représenté sur la
Panne
figure 2.
Deux arcs inhibiteurs permettent de faire passer le système 2/3
alternativement en panne et en marche selon le nombre de jetons Figure 2 – RdP auxiliaire « Disponibilité »
dans les places NbM et NbP. Le passage est immédiat (délai δ = 0)
dès que les conditions sont réunies (deux composants en panne ou Tableau 1 – Nombre moyen de tir
deux composants en marche). L’utilisation de tels arcs inhibiteurs des transitions
est très pratique car elle ne perturbe pas du tout le modèle de la
figure 1, qui pourrait tout aussi bien être utilisé pour analyser un 1/3 T = 10 000 h, β = 2,
Nom Fréquence
ou un 3/3 en modifiant seulement le poids des arcs inhibiteurs de la 106 histoires
figure 2.
P_1 19,39

2.2.2 Résultats typiques et MTBF Composant 1 St_R1 19,38

Les tableaux 1 et 2 montrent les résultats pouvant être obtenus Fin_R1 19,36
directement à partir du réseau de Petri ci-dessus. Pour réaliser ces P_2 19,41
Figure 1
calculs, nous avons adopté un classique taux de défaillances (λ) de
2.10−3/h pour chacun des composants mais, pour les réparations, Composant 2 St_R2 19,41
nous avons choisi des lois de Weibull de moyenne 15 h afin de Fin_R2 19,38
pouvoir analyser l’influence de la dispersion du temps de répa-
ration autour de cette moyenne en faisant varier le paramètre de P_3 19,37
forme β.
Composant 3 St_R3 19,37
Les premiers résultats standards sont présentés sur le
tableau 1. Ils ont été établis en réalisant 106 histoires et avec Fin_R3 19,34
β = 2. Ils concernent la fréquence de tir de chacune des transi-
Panne 3,35
tions. On constate qu’en moyenne chaque composant subit de Figure 2 Disponibilité
l’ordre de 19,4 pannes au cours des 10 000 h simulées et que Réparation 3,35
cela a conduit à 3,35 défaillances du système en 2/3. Il en résulte
que l’équipe de maintenance a été mobilisée environ 58,2 fois. Figure 6 Fiabilité Défaillance 0,96

Tableau 2 – Temps moyen de séjour dans les places et marquage moyen des places
T = 10 000 h, β = 2, Temps moyen Écart type Marquage moyen Écart type
Nom
106 histoires (h) (h) (%) (%)

M_1 9 698,55 75,4 96,99 0,75

Composant 1 A_1 10,94 12,8 0,11 0,13

R_1 290,52 72,2 2,91 0,72

M_2 9 698,02 75,5 96,98 0,76


Figure 1

Composant 2 A_2 11,17 13,3 0,11 0,13

R_2 290,81 72,3 2,91 0,72

M_3 9 697,99 75,6 96,98 0,76

Composant 3 A_3 11,61 13,9 0,12 0,14

R_3 290,40 72,1 2,90 0,72

Marche 9 966,79 23,8 99,67 0,24


Figure 2 Disponibilité
Panne 33,21 23,8 0,33 0,24

Figure 6 Fiabilité Marche_en_continu 2 997,77 2670 29,98 26,71

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 073 – 3

VW
VX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

Méthode LOPA : principe et exemple


d’application

par Olivier IDDIR


Ingénieur en analyse de risques industriels Technip France
Service expertise et modélisation – Division QHSES

1. Présentation de la méthode LOPA...................................................... SE 4 075 - 3


1.1 Objectif de la méthode................................................................................ — 3
1.2 Origines de la méthode............................................................................... — 4
1.3 Déroulement d’une revue LOPA ................................................................ — 4
1.4 Quelques rappels sur la notion de barrière de sécurité ........................... — 8
1.5 Principe des couches de protection ........................................................... — 8
1.6 Critères de performance des barrières ...................................................... — 13
1.7 Principales étapes de la méthode .............................................................. — 15
1.8 Définition et quantification des fréquences
des événements initiateurs......................................................................... — 16
1.9 Définition des barrières............................................................................... — 17
1.10 Quantification des probabilités de défaillance des barrières .................. — 19
1.11 Évaluation de la fréquence d’occurrence résiduelle du scénario............ — 20
1.12 Exemple d’application................................................................................. — 22
2. Parallèle entre la méthode LOPA et les autres
méthodes d’analyse des risques.......................................................... — 26
2.1 Lien privilégié avec l’HAZOP ...................................................................... — 26
2.2 Différences avec la méthode du nœud papillon ....................................... — 26
3. Conclusion ................................................................................................. — 29
Pour en savoir plus ............................................................................................ Doc. SE 4 075

n France, depuis 2003, l’influence de la loi Bachelot et l’introduction des


E plans de prévention des risques technologiques (PPRT) ont eu comme
effet une évolution notable dans la manière d’évaluer les risques. En effet, les
évolutions réglementaires ont conduit à un plébiscite des analyses dites proba-
bilistes. De ce fait, les études de dangers (EDD) ne se limitent plus à une
approche uniquement déterministe, et il est demandé aux industriels d’expli-
citer le lien entre les résultats de leur EDD et leurs choix en termes de mesures
de maîtrise des risques (MMR).
De manière beaucoup plus large, lors de la réalisation d’analyses de risques,
des barrières de sécurité sont valorisées dans le but de justifier que les risques
sont prévenus et maîtrisés. Dès lors, plusieurs questions viennent sponta-
nément à l’esprit :
– Ai-je suffisamment de barrières de sécurité ?
– Comment définir précisément le besoin en termes de réduction du risque ?
– Les barrières mises en place sont elles suffisantes pour justifier d’un
risque résiduel acceptable ?
Pour justifier d’un risque résiduel faible, une tendance naturelle pourrait être
de chercher à valoriser un maximum de barrières. Une telle démarche peut
malheureusement se révéler contre-productive car l’empilement des barrières
ne garantit en rien d’une bonne maîtrise de risques. De surcroît, ce biais de rai-
sonnement peut instaurer un faux sentiment de sursécurité et mener
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQR

finalement à un accident.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 1

VY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

L’émergence de la norme IEC 61511 relative au niveau d’intégrité des fonc-


tions instrumentées de sécurité (SIF) a mis en lumière le besoin de disposer de
méthodologies permettant de déterminer le niveau d’intégrité ou niveau de SIL
(Safety Integrity Level) requis pour les SIF. De ce fait, la norme IEC 61511 décrit
un certain nombre de méthodes permettant d’atteindre cet objectif. L’une
d’entre elles est la méthode LOPA (Layer Of Protection Analysis). Si les normes
citées précédemment sont spécifiques aux SIF, le principe des méthodes propo-
sées dans les normes est « déclinable » à tous les types de barrières.
Le retour d’expérience montre que de nombreuses barrières de sécurité
mises en place sur les sites industriels sont le résultat :
– d’une réponse à des prescriptions réglementaires ;
– du bon sens ;
– de la prise en compte du retour d’expérience et de l’accidentologie.
De manière générale, il n’est pas rare dans les EDD d’aboutir à la conclusion
que les barrières de sécurité mises en œuvre par les industriels permettent de
justifier d’un niveau de risque résiduel acceptable. Par conséquent, une
approche pragmatique basée sur un ou plusieurs des trois critères précédents
peut se révéler efficiente.
L’idée de faire correspondre des barrières de sécurité à un besoin (facteur de
réduction du risque) est finalement relativement récente. Si avec du recul, ce
concept peut paraître évident, sa mise en œuvre s’avère beaucoup plus difficile
et nécessite de disposer de méthodes permettant de garantir de la pertinence
de l’analyse. Pour mener une telle approche, il faut disposer :
– d’un référentiel d’acceptabilité des risques : sans référentiel, il est impos-
sible de proportionner le besoin en termes de barrières à un facteur de réduction
du risque ;
– d’une méthode de quantification des risques : l’estimation du facteur de
réduction du risque nécessite inévitablement de recourir à une estimation de la
criticité de l’événement indésirable.
Cet article s’attache à présenter les principes fondamentaux de la méthode et
à illustrer son application au travers d’exemples pratiques.

Acronyme Définition Acronyme Définition

APS Automate programmable de sécurité LOPA Layer Of Protection Analysis

BPCS Basic Process Control System LT Level Transmitter/Transmetteur de niveau


CCPs Center for Chemical Process Safety MMRI Mesure de maîtrise des risques instrumentée
DGPR Direction générale de la prévention des risques MMR Mesure de maîtrise des risques
EI Événement initiateur PFD Probability of Failure on Demand
FCV Flow Control Valve/Vanne de régulation de débit PPRT Plan de prévention des risques technologiques
HAZOP Hazard and OPerability analysis
Risk Reduction Factor/Facteur de réduction
RRF
HSE Health and Safety Executive du risque

HSL Health and Safety Laboratory Safety Instrumented Function/Fonction


SIF
instrumentée de sécurité
IEC International Electrotechnical Commission
SIL Safety Intergrity Level/Niveau d’intégrité
Independant Protection Layer/Couche
IPL TESEO Tecnica Empirica Stima Errori Operatori
de protection indépendante

ISA International Society of Automation THERP Technique for Human Error Rate Prediction

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 − 2 est strictement interdite. − © Editions T.I.

WP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

1. Présentation Nota : pour être prises en compte dans le calcul de fréquence d’occurrence résiduelle
du scénario, il faudra que les barrières de sécurité vérifient les critères qui permettent de
répondre à la définition d’une couche de protection indépendante (IPL).
de la méthode LOPA Cette méthode intègre toutes les couches de protection de
l’entreprise, tant organisationnelles que techniques. La méthode
LOPA évalue la réduction du risque en analysant la contribution
1.1 Objectif de la méthode des différentes couches (qui englobe l’ensemble des barrières
La méthode LOPA est une méthode semi-quantitative dévelop- depuis la conception du procédé jusqu’aux mesures de secours)
pée dans l’optique : en cas d’accident. L’ouvrage du CCPs [1] introduit la notion de bar-
rière de sécurité indépendante (IPL). Dans le cadre de l’application
– de juger de l’adéquation entre les barrières mises en œuvre et de la méthode, seules les barrières de sécurité qui vérifient les
le niveau de risque visé ; conditions pour être retenues comme IPL sont à valoriser dans le
– de statuer sur le besoin de mise en œuvre de nouvelles calcul de la fréquence d’occurrence résiduelle du scénario.
barrières ;
– de définir les « exigences » minimales sur la probabilité de La méthode LOPA trouve plusieurs applications :
défaillance des barrières à mettre en place dans le cas où les bar- – compléter l’analyse menée dans l’HAZOP si le groupe de tra-
rières existantes ne permettraient pas de justifier d’un risque vail considère le scénario trop complexe ou que les conséquences
acceptable ; sont trop importantes ;
– d’évaluer la fréquence d’occurrence résiduelle d’un scénario – déterminer les niveaux de SIL requis pour les fonctions instru-
d’accident. mentées de sécurité (SIF) ;
– évaluer l’impact de la modification du procédé ou des barrières
Nota : la méthode LOPA sert aussi à identifier les actions humaines (réponses et de sécurité ;
actions des opérateurs) qui peuvent permettre de rétablir le fonctionnement du système.
Par la suite, il faut alors définir des procédures dans le but de garantir que les opérateurs
– analyser de manière plus détaillée certains scénarios
seront formés pour accomplir ces actions. d’accidents.
D’après l’ouvrage [1], un scénario est jugé complexe en cas de
doute :
Remarque – sur la compréhension du déroulement du scénario identifié ;
Le CCPs considère la méthode LOPA comme semi-quantita- – sur l’indépendance des barrières valorisées.
tive car la fréquence d’occurrence, ainsi que la gravité des Aujourd’hui, le retour d’expérience montre que la méthode
conséquences, constituent des approximations qui utilisent en LOPA est principalement utilisée dans le cadre de l’application des
règle générale une cotation à l’aide de puissance de dix. normes SIL (IEC ou ISA). En revanche, les propositions de mise en
place de barrières supplémentaires dans le but de réduire un
risque ne doivent pas se limiter aux seules SIF.
La première étape de la méthode LOPA consiste à définir le scéna-
rio d’accident. Un scénario est composé a minima de deux éléments :
– un événement initiateur ; Remarque
– une conséquence. Si l’émergence des normes IEC 61508 et 61511 a eu pour
L’un des principes de base de la méthode est qu’un scénario effet de « démocratiser » la méthode LOPA, celle-ci ne doit pas
doit être composé d’un unique couple événement initiateur/ être limitée à la définition des niveaux de SIL et elle peut être
conséquence. Dans le cas où un même événement initiateur peut utilisée plus largement dans le cadre des analyses de risques.
mener à différentes conséquences, il est alors nécessaire de définir
autant de scénarios que de conséquences.
La méthode LOPA peut aussi être utilisée comme une alternative
Un scénario peut, en plus des deux éléments définis précédemment, à une analyse quantifiée en termes de fréquence d’occurrence et
inclure : de gravité. À ce titre, la figure 1 présente l’exemple de répartition
– des conditions de réalisation qui correspondent à des des méthodes d’analyse de risques proposé par le CCPs dans
conditions nécessaires pour que l’événement initiateur puisse l’ouvrage [1].
aboutir à la conséquence envisagée ;
Nota : pour faire le parallèle avec le contexte ICPE, dans les études de dangers, il est
– la défaillance des barrières de sécurité mises en place vis-à-vis demandé aux industriels français de traiter à l’aide d’une méthode semi-quantifiée ou
du scénario d’accident. quantifiée 100 % des scénarios d’accident qui sortent des limites de l’établissement.

Analyse qualitative Analyse semi- Analyse quantitative


des risques quantitative des risques des risques (environ 1 %
(100 % des scénarios) (10 à 20 % des scénarios) des scénarios)

Ex : LOPA

Figure 1 – Répartition des méthodes d’analyse (d’après [1])

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 3

WQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

CCPs décida de réunir des industriels et des experts en risques afin


La méthode LOPA est aujourd’hui principalement utilisée de démarrer un groupe de travail sur la méthode LOPA. Pour ren-
pour déterminer le niveau de SIL à allouer aux SIF. De dre accessible au grand public cette méthode, le CCPs publia en
manière plus large, elle permet de déterminer le nombre de 2001 l’ouvrage « Layer Of Protection Analysis » (LOPA) [1]. De ce
barrières de sécurité indépendantes (IPL) à mettre en œuvre fait, la méthode LOPA est souvent considérée comme une
dans le but de pouvoir justifier d’un niveau de risque méthode d’analyse de risques récente.
acceptable. La finalité de la méthode est d’estimer le niveau
de risque résiduel en considérant l’effet des IPL. Pour ce faire,
il est nécessaire : Remarque
– d’une part, de calculer la fréquence d’occurrence du scé- Il semble qu’une nouvelle version de l’ouvrage LOPA pourrait
nario d’accident (par an), ce qui nécessite d’évaluer la fré- prochainement être publiée par le CCPs [2]. Cette nouvelle ver-
quence d’occurrence des événements initiateurs et les sion aurait pour objectif de prendre en compte le retour d’expé-
probabilités de défaillances de chaque IPL ; rience des utilisateurs de la méthode. La liste d’événements
– d’autre part, d’évaluer la gravité associée à la conséquence initiateurs types et de barrières serait aussi plus détaillée.
en cas de survenue de l’accident.

1.2 Origines de la méthode 1.3 Déroulement d’une revue LOPA


La genèse de la méthode LOPA est présentée par le CPPS 1.3.1 Compétences nécessaires
dans [1]. D’après cet ouvrage, la méthode LOPA trouve ses
origines dans deux publications : La LOPA est une méthode d’analyse de risques menée en
– à la fin des années 1980, le Chemical Manufacturers Asso- groupe de travail pluridisciplinaire. Dans l’idéal, le groupe doit être
ciation (maintenant American Chemistry Council ) publie composé de représentants des disciplines suivantes :
« Responsible Care® Process Safety Code of Management – sécurité ;
Practices » qui introduit la notion de couches de protection et qui – instrumentation ;
recommande de les prendre en considération dans le cadre du – procédé ;
système de management ; – maintenance et inspection ;
– en 1993, le Center of Chemical Process Safety (CCPs) introdui- – exploitation.
sait dans le « Guidelines for Safe Automation of Chemical La revue LOPA doit nécessairement être menée en groupe de
Processes » la méthode LOPA. Dans cet ouvrage, la méthode décrite travail car l’expertise de chaque discipline est nécessaire. Le
était à un stade d’avancement préliminaire, mais était déjà proposée tableau 1 précise les domaines pour lesquels l’expertise de chaque
comme alternative pour déterminer le niveau de SIL des SIF. discipline est nécessaire au bon déroulement de la revue.
En octobre 1997, lors du congrès international à Atlanta sur les Le groupe de travail est généralement piloté par un chairman
méthodes d’analyses de risques organisé par le CCPs, le besoin de (animateur de la revue) qui connaît bien la méthodologie. Le
publier un ouvrage présentant la méthode LOPA a émergé des dif- chairman est en charge de conduire la revue, c’est-à-dire d’organi-
férentes présentations et discussions. ser les « échanges » entre les différents membres. Ces échanges
En parallèle, en Europe et aux États-Unis, les normes relatives sont formalisés sous la forme de tableau d’analyse tel que pré-
au SIL (respectivement les normes IEC 61508/61511 et ISA S84.01) senté au paragraphe 1.3.3.
étaient en pleine évolution et dans leurs premières versions,
aucune de ces normes ne recommandait la méthode LOPA pour
déterminer le niveau de SIL des SIF. 1.3.2 Processus général de la méthode
Pour faire face aux évolutions normatives mais aussi méthodo- Les principales étapes de la méthode LOPA décrites au
logiques initiées pour certaines par des industriels, en 1998, le paragraphe 1.7.1 sont reprises sur la figure 2.

Tableau 1 – Domaines d’expertise des différents participants à une revue LOPA


Discipline Domaine d’expertise
Définition des scénarios d’accidents
Évaluation des fréquences d’occurrence des événements initiateurs
Sécurité
Évaluation des conséquences et des niveaux de gravité qui y sont associés
Évaluation de la probabilité de défaillance des barrières de sécurité
Définition de l’architecture des fonctions instrumentées de sécurité (SIF)
Instrumentation Évaluation de la probabilité de défaillance des SIF
Connaissances sur les exigences des normes relatives au SIL (IEC 61508 – 61511)
Connaissance du fonctionnement du procédé (permet d’identifier les dérives, définir des modes et seuils
Procédé
de détection, etc.)
Connaissance des fréquences d’inspection des équipements (données qui influent sur la fréquence
d’occurrence des événements de type « perte de confinement »)
Connaissance des périodes de test pour les barrières de sécurité (données nécessaires à l’évaluation
Maintenance et Inspection
de la probabilité de défaillance des SIF)
Connaissance des temps de réparation des barrières de sécurité (données nécessaires à l’évaluation
de la probabilité de défaillance des SIF)
Exploitation Connaissance du fonctionnement des installations

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 – 4 est strictement interdite. – © Editions T.I.

WR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Sélection des scénarios d’accident devant faire


l’objet d’une analyse par la méthode LOPA
ÉTAPE 1

Sélection du premier
scénario d’accident

Développement
du scénario d’accident

ÉTAPE 2

ÉTAPE 4

Identification des barrières Évaluation de la fréquence Validation/Évaluation de la gravité


de sécurité existantes d’occurrence de l’événement des conséquences associées
initiateur au scénario
ÉTAPE 5 ÉTAPE 3

Identification des couche


de protection indépendantes (IPL)

Évaluation de la fréquence résiduelle


Évaluation de la probabilité du scénario d’accident (avec prise en
de défaillance des IPL compte des barrières)

ÉTAPE 6 ÉTAPE 7

Évaluation de la criticité
NON du scénario d’accident

OUI Peut-on définir Le risque


une nouvelle barrière ? est-il acceptable ?

ÉTAPE 8
OUI
NON

Envisager de modifier OUI


Y a-t-il un autre
le procédé scénario ?

NON

Fin de l’analyse

Figure 2 – Processus général de la méthode LOPA

Comme pour toutes les méthodes d’analyse de risques, il est et hypothèses émises par le groupe de travail lors des 8 étapes décri-
important : tes au paragraphe 1.7. Le tableau 2 présente le formalisme de la fiche
– que toutes les phases d’exploitation de l’installation soient étu- d’analyse proposé dans l’ouvrage LOPA [1]. Dans cette fiche, les
diées (démarrage, arrêt programmé, fonctionnement nominal, etc.) ; cases non cochées sont celles qui doivent être renseignées par le
– que toutes les causes pouvant mener à un événement initia- groupe de travail. Dans la pratique, les revues sont généralement
teur soient identifiées et étudiées séparément car les barrières et conduites avec des tableaux d’analyse qui diffèrent (dans la forme)
IPL valorisables ne seront pas nécessairement les mêmes. du tableau 2. À titre d’exemple, le tableau 4 présente le formalisme
de tableau proposé au chapitre 3 de la norme IEC 61511.

1.3.3 Contenu des tableaux d’une revue LOPA Afin de guider l’utilisateur, le CCPs précise dans l’ouvrage décri-
vant la méthode LOPA [1] les attentes vis-à-vis des différents items
Lors d’une revue LOPA, des tableaux d’analyse sont remplis en qui doivent être renseignés dans le tableau 2. Ces précisions sont
temps réel. Ces tableaux ont pour objectif de formaliser les décisions résumées dans le tableau 3.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 5

WS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION ___________________________________________________________________________________

Tableau 2 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Numéro du scénario : Numéro de l’équipement : Titre du scénario :
Date : Description Probabilité Fréquence
Conséquences/Niveau de gravité associé × ×
Fréquence « cible » pour atteindre le niveau
×
de risque acceptable
Événement initiateur du scénario × ×
Conditions de réalisation du scénario ×
Facteurs conditionnels de réalisation Probabilité d’inflammation ×
(si applicables au scénario)
Probabilité de présence du personnel
×
dans la zone d’effet atteinte par le scénario
Probabilité de blessures mortelles ×
Autres ×
Fréquence du scénario sans les barrières ×
Barrières de sécurité respectant les critères
d’indépendance explicités dans la méthode
LOPA (IPL) et valeur de PFD associée ×

Autres barrières de sécurité ne respectant


pas les critères d’indépendance explicités
dans la méthode LOPA × ×

Total des PFD associées aux barrières


×
de sécurité indépendantes (IPL)
Fréquence du scénario avec les barrières indépendantes ×
La fréquence « cible » permettant de justifier d’un risque acceptable est elle atteinte ? (Oui/Non) :
Actions requises pour atteindre le niveau de risque acceptable :
Notes :
Références (PID, etc.) :
Identité des membres ayant participés à la revue LOPA :

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1])
Item Définition/précision
Conséquences/Niveau de gravité associé Cet item peut être renseigné de deux manières :
qualitativement : la conséquence est décrite avec le plus de précision possible.
Par exemple, montée en pression dans une capacité générant une fuite sur une bride
quantitativement : la conséquence est décrite en termes d’effet. Par exemple,
mise à l’atmosphère de X kg de produit inflammable
Dans les deux cas, un niveau de gravité doit être associé à la conséquence
Fréquence « cible » pour atteindre Cet item indique la fréquence d’occurrence maximale admissible pour la conséquence
le niveau de risque acceptable au regard du niveau de gravité défini précédemment. Pour ce faire, en fonction de la finalité
de l’étude, les critères d’acceptabilité du risque à utiliser peuvent être, soit réglementaires,
soit internes à un groupe ou à un industriel

Événement initiateur du scénario Cet item doit être renseigné avec le plus de précision possible.
Si l’événement initiateur est lié au dépassement d’un seuil, il est nécessaire que celui-ci
soit clairement indiqué. Par exemple, montée en température dans le réacteur au-dessus
de T1 (en précisant la valeur de T1)

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 4 075 – 6 est strictement interdite. – © Editions T.I.

WT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWU

___________________________________________________________________________________ MÉTHODE LOPA : PRINCIPE ET EXEMPLE D’APPLICATION

Tableau 3 – Définitions des différents items à renseigner dans la fiche de synthèse


pour un scénario étudié à l’aide de la méthode LOPA (d’après [1]) (suite)
Item Définition/précision

Conditions de réalisation du scénario Cet item doit être renseigné précisément dans le but de pouvoir par la suite évaluer
la probabilité à associer à chacune des conditions. Par exemple, si un emballement
de réaction ne peut se produire que durant une phase spécifique de la réaction,
il est nécessaire de préciser la durée de cette phase par rapport à la durée totale
de la réaction

Facteurs conditionnels de réalisation Cet item doit préciser la nature et les valeurs associées aux facteurs pris en compte
(si applicables au scénario) dans le calcul de la fréquence d’occurrence du scénario. En général, trois facteurs sont
pris en compte :
la probabilité d’inflammation (dans le cas de mise à l’atmosphère de produit inflammable)
la probabilité de présence du personnel dans la zone d’effet
la probabilité de blessure ou de mort dans la zone d’effet

Barrières de sécurité respectant Cet item permet de lister des barrières de sécurité qui sont retenues comme IPL vis-à-vis
les critères d’indépendance explicités du scénario d’accident étudié. Les probabilités de défaillances associées à ces IPL doivent être
dans la méthode LOPA (IPL) et valeur justifiées. De même, la démonstration de l’efficacité des IPL vis-à-vis du scénario d’accident
de PFD associée doit être documentée

Autres barrières de sécurité ne respectant Cet item doit préciser les barrières de sécurité qui n’ont pas été retenues comme IPL.
pas les critères d’indépendance explicités L’objectif est d’assurer une traçabilité du raisonnement en expliquant pourquoi ces barrières
dans la méthode LOPA ne constituent pas des IPL

Total des PFD associées aux barrières Cet item correspond au produit des PFD associées à chaque IPL
de sécurité indépendantes (IPL)

Fréquence du scénario avec les barrières Cet item correspond à la fréquence d’occurrence résiduelle du scénario d’accident,
indépendantes c’est-à-dire en considérant la défaillance de l’ensemble des IPL valorisées

La fréquence « cible » permettant Cet item permet de statuer sur l’acceptabilité du risque. Si la fréquence d’occurrence
de justifier d’un risque acceptable résiduelle calculée est supérieure à la fréquence cible, alors le risque n’est pas acceptable.
est-elle atteinte ? (Oui/Non) Au contraire, si la fréquence d’occurrence résiduelle calculée est inférieure à la fréquence
cible, alors le risque est acceptable

Actions requises pour atteindre le niveau Cet item doit préciser quelles actions sont envisagées pour rendre le risque acceptable.
de risque acceptable Dans le cas où une nouvelle barrière est proposée, il est nécessaire de la détailler
et en parallèle de démontrer qu’elle peut être considérée comme une IPL

Les trois derniers items ne sont pas explicités car il n’y a pas d’ambiguïté sur leur interprétation.

Tableau 4 – Tableau d’analyse proposé pour la conduite d’une revue LOPA d’après le chapitre 3
de la norme IEC 61511
PFD des couches de protection
Probabilité
Probabilité
PFD d’occurrence
No EI G CI P(CI) Conception Atténuation Barrière d’occurrence Note
(SIF) résiduelle
générale BPCS Alarmes supplémentaire de mitigation intermédiaire
(avec SIF)
du procédé accès limité, etc. (non SIF)

EI : événement indésirable/événement initiateur.


G : niveau de gravité de l’événement indésirable.
CI : cause initiatrice (événement initiateur).
P(CI) : probabilité d’occurrence de la cause initiatrice.
BPCS : Basic Process Control System.
PFD(SIF) : probabilité de défaillance à la sollicitation de la fonction instrumentée de sécurité.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 4 075 – 7

WU
WV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

Méthode PDS

par Olivier IDDIR


Ingénieur quantification des risques – Membre du réseau des experts de TECHNIP
Service Expertise & Modélisation – TECHNIP, La défense, France

1. Présentation de la méthode....................................................................... SE 4 077 - 2


1.1 Les origines ................................................................................................. — 2
1.2 Estimation de l’indisponibilité critique de sécurité .................................. — 3
1.3 Les différents types de défaillances pris en compte ................................ — 5
1.4 Prise en compte des causes communes de défaillances......................... — 6
1.4.1 Définition ............................................................................................ — 6
1.4.2 Le modèle PDS................................................................................... — 6
1.5 Les formules de calcul ................................................................................ — 6
1.5.1 Calcul de la PFD et PFH ..................................................................... — 6
1.5.2 Calcul de la DTU................................................................................. — 9
1.5.3 Calcul de PTIF ...................................................................................... — 9
2. Différences avec l’IEC 61508 ...................................................................... — 11
2.1 Les types d’indisponibilité considérés ...................................................... — 11
2.2 La prise en compte des modes communs de défaillance ....................... — 11
2.3 L’hypothèse AGAN ..................................................................................... — 11
2.4 La prise en compte des erreurs systématiques........................................ — 13
3. Cas d’application......................................................................................... — 13
3.1 Présentation du cas..................................................................................... — 13
3.2 Estimation de la CSU par la méthode PDS ............................................... — 14
3.3 Estimation de la PFD par application des formules IEC 61508-6 ............ — 14
4. Conclusion ................................................................................................... — 16
Pour en savoir plus .............................................................................................. Doc. SE 4 077

our prévenir et limiter les risques, les industriels sont amenés à mettre en
P œuvre des barrières de sécurité. Il existe différents types de barrières de
sécurité tels que les fonctions instrumentées de sécurité (SIF) ; réalisées par
des systèmes instrumentés de sécurité (SIS), elles ont connu un essor crois-
sant depuis la parution des normes encadrant leurs conception, utilisation,
suivi et maintien dans le temps (normes IEC 61508 et 61511). La conception
d’un SIS nécessite d’estimer le niveau d’intégrité (SIL) des SIF pour justifier
que les risques sont maîtrisés. L’objectif est de démontrer que les architectures
proposées pour les SIF permettent bien d’atteindre les niveaux de SIL requis.
Pour ce faire, il est nécessaire de calculer la probabilité de défaillance de
chaque SIF (PFDavg pour les systèmes en mode sollicitation ou PFH pour les
systèmes en mode continu). La méthode PDS, largement utilisée dans l’indus-
trie offshore (et plus particulièrement en Norvège), permet de répondre à ce
besoin.
Cet article présente les principes de la méthode PDS et met en lumière les
principales différences avec l’approche présentée dans l’IEC 61508-6. Plus
précisément :
– il retrace les origines de la méthode ;
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQV

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 1

WW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

MÉTHODE PDS _____________________________________________________________________________________________________________________

– il présente les formules permettant de calculer la probabilité de défaillance


à la sollicitation d’une SIF (PFDavg) ;
– il compare les valeurs de PFDavg obtenues par application de la méthode
PDS à celles obtenues par application des formules de l’IEC 61508-6.

1. Présentation Mode continu : Mode de fonctionnement dans lequel la SIF


maintient le processus dans un état de sécurité en fonctionne-
de la méthode ment normal. Définition IEC 61511-1.

Pour chaque classe de SIL, les facteurs de réduction du risque


1.1 Les origines et valeurs cibles de PFDavg et PFH sont rappelés dans les
tableaux 1 et 2.
PDS est un acronyme norvégien pour désigner la fiabilité et la
Les normes IEC 61508 et 61511 introduisent différentes
sécurité des systèmes instrumentés de sécurité (SIS). La méthode
approches permettant d’estimer la probabilité de défaillance d’un
PDS a été développée par le SINTEF en étroite collaboration avec :
système (pour en déduire le niveau de SIL), parmi elles :
• des compagnies pétrolières ; • les formules analytiques [SE4058] ;
• des fournisseurs et concepteurs de système de logique de • les arbres de défaillance [SE4050] ;
traitement ; • les blocs diagramme de fiabilité ;
• des organismes spécialistes sur les systèmes de contrôle et • les graphes de Markov [SE8250] [SE4071] ;
de sécurité. • les réseaux de Pétri [SE4073].
Elle permet de quantifier l’indisponibilité de la sécurité et de la Ces normes n’imposent pas le type d’approche à retenir mais
perte de production pour les systèmes instrumentés de sécurité (SIS). incitent l’utilisateur à retenir celle qui semble le mieux adaptée à
Son principe est détaillé dans l’ouvrage PDS Method Handbook [1]. son besoin. La méthode PDS s’inscrit donc comme un exemple
Cette méthode est couramment mise en œuvre dans l’industrie d’utilisation de formules analytiques dans le but de vérifier les
offshore, plus particulièrement en Norvège (en lien avec le NOG niveaux de SIL requis. Même si cette méthode est relativement
GL 070 [2]). développée et qu’elle peut être considérée comme « réaliste »,
elle reste relativement simple à mettre en œuvre et doit être
Note : la méthode est également applicable à d’autres secteurs d’activité que considérée comme un outil dédié à des non spécialistes en
l’offshore.
matière de sureté de fonctionnement. En effet, cette méthode a
Plus généralement, elle permet d’estimer les niveaux de SIL des pour finalité d’améliorer la prise en compte des approches « fiabi-
fonctions instrumentées de sécurité, et donc de répondre à l’une listes » dans les disciplines de l’ingénierie, et ainsi combler le
des exigences des normes IEC 61508 et 61511 et du NOG GL 070. fossé entre la théorie et son application.

Système instrumenté de sécurité (SIS) : ensemble de maté- Tableau 1 – Définition des niveaux SIL
riels qui composent le système de sécurité. Il comprend tous pour un système en mode faible sollicitation
les capteurs, les logiques et les actionneurs. d’après IEC 61511-1
Fonction instrumentée de sécurité (SIF) : automatisme de Niveau
sécurité composé par un ou plusieurs capteurs, une logique et Facteur de réduction
d’intégrité avg avg
un ou plusieurs actionneurs dans le but de remplir une fonction du risque (FRR)
de sécurité
de sécurité.
SIL 1 10–2 PFDavg < 10–1 10 < FRR  100

À titre de rappel, les normes IEC 61508 et 61511 distinguent SIL 2 10–3  PFDavg < 10–2 100 < FRR  1 000
quatre niveaux de réduction de risques appelés niveaux de SIL.
SIL 3 10–4  PFDavg < 10–3 1 000 < FRR  10 000
Les niveaux de SIL sont rattachés à :
• une probabilité de défaillance sur sollicitation (notée PFDavg) SIL 4 10–5  PFDavg < 10–4 10 000 < FRR  100 000
pour les systèmes en mode faible sollicitation ;
• une probabilité de défaillance par heure (notée PFH) pour les
systèmes en mode continu ou en mode sollicitation élevée. Tableau 2 – Définition des niveaux SIL
pour un système en mode continu ou en mode
sollicitation élevée d’après IEC 61511-1
Mode à faible sollicitation : Mode de fonctionnement dans
Niveau
lequel la SIF n’est réalisée que sur sollicitation, afin de faire Facteur de réduction
d’intégrité PFH
passer le processus dans un état de sécurité spécifié, et où la du risque (FRR)
de sécurité
fréquence des sollicitations n’est pas supérieure à une par an.
Définition IEC 61511-1. SIL 1 10–6  PFH < 10–5 10 < FRR  100
Mode à sollicitation élevée : Mode de fonctionnement dans
SIL 2 10–7  PFH < 10–6 100 < FRR  1 000
lequel la SIF n’est réalisée que sur sollicitation, afin de faire
passer le processus dans un état de sécurité spécifié, et où la SIL 3 10–8  PFH < 10–7 1 000 < FRR  10 000
fréquence des sollicitations est supérieure à une par an. Défini-
tion IEC 61511-1. SIL 4 10–9  PFH < 10–8 10 000 < FRR  100 000

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 2

WX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

_____________________________________________________________________________________________________________________ MÉTHODE PDS

Proposition Comparaison
Allocation
d’architectures Calcul des probabilités
Identification des niveaux de SIL
pour atteindre des probabilités de défaillance
des SIF requis pour
les niveaux de défaillance aux classes de SIL
les SIF
de SIL requis (tableaux 1 et 2)

Figure 1 – Les différentes étapes pour estimer le niveau de SIL

La méthode PDS peut être considérée comme « réaliste » car Trois contributeurs à la CSU sont désignés :
elle prend en compte les principaux paramètres qui ont une 1/ L’indisponibilité liée aux défaillances dangereuses non détectées
influence sur la disponibilité d’un système, tels que : (λDU) qui couvre :
• les différentes catégories de défaillances/causes ; a) l’indisponibilité liée aux défaillances aléatoires de matériels
(λDU-RH) ;
• les défaillances de cause commune ;
b) l’indisponibilité liée aux défaillances systématiques (λDU-
• les autotests (internes aux équipements dotés de cette fonc-
SYST).
tionnalité) ;
Cette indisponibilité est associée à la probabilité de défaillance
• les tests périodiques de bon fonctionnement ; sur demande notée PFD (Probability of Failure on Demand).
• les défaillances systématiques ; 2/ L’indisponibilité liée aux arrêts qui couvre :
• les redondances d’équipements. a) l’indisponibilité liée à la réparation d’équipements décelés en
panne (maintenance corrective) → DTUR ;
Comme présenté en figure 1, la méthode PDS constitue une
alternative aux formules de calculs proposées dans l’annexe B de b) l’indisponibilité liée à l’inhibition d’équipements afin de réali-
l’IEC 61508-6 lors de l’étape de calcul de la probabilité de défail- ser les tests périodiques de bon fonctionnement et la maintenance
lance pour justifier de l’atteinte du niveau SIL requis. préventive → DTUT.
Toutes les approches précitées pour déterminer le niveau de SIL Cette indisponibilité est associée à l’indisponibilité pour arrêts
nécessitent d’utiliser des données de fiabilité pour caractériser les planifiés notée DTU (Down Time Unavailability).
équipements qui permettent de remplir la fonction de sécurité 3/ L’indisponibilité liée à des défaillances dangereuses cachées qui
(détecteur, automate, vanne d’isolement, etc.). Pour faciliter la ne peuvent pas être décelées pendant les tests périodiques de bon
fonctionnement, mais uniquement lors d’une sollicitation réelle.
mise en œuvre de la méthode PDS, le SINTEF propose en complé-
ment un recueil de données de fiabilité (PDS Data Handbook [3]). Cette indisponibilité est associée aux défaillances cachées notée
PTIF (Test Independant Failure Probability).

1.2 Estimation de l’indisponibilité PTIF : probabilité qu’un composant ou système ne remplisse


critique de sécurité pas sa fonction de sécurité à cause d’une défaillance latente
non détectable lors des tests périodiques de bon fonctionne-
La méthode PDS introduit la notion d’indisponibilité critique de ment.
sécurité (traduction de Critical Safety Unavailability notée CSU).
L’ouvrage [1] définit cette indisponibilité comme la probabilité
La CSU s’exprime comme la somme de ces différents contribu-
qu’un système ou composant ne remplisse pas sa fonction de
teurs :
sécurité au moment où un événement dangereux ou accident sur-
vient.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés.


SE 4 077 – 3

WY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPWW

MÉTHODE PDS _____________________________________________________________________________________________________________________

Ces contributeurs à l’indisponibilité critique de sécurité (CSU) Sur la figure 3, il est possible d’observer que la PFD et la CSU
sont repris en figure 2. atteignent leurs maximums juste avant la période de test et leurs
La figure 3 inspirée de [1] illustre la contribution à la CSU de la minimums juste après. Cependant, la valeur de CSU générale-
PFD et de PTIF. Sur cet exemple, la contribution de la DTU n’est ment retenue correspond à la moyenne. Par conséquent, il est
pas considérée. L’évolution de la PFD(t) est donnée pour un équi- possible que la valeur moyenne permette de justifier de l’atteinte
pement en 1oo1 et est approximée comme suit : de l’objectif visé, mais qu’il ne le soit plus en considérant la valeur
maximum. Pour cette raison, il peut être intéressant de déterminer
le temps passé dans chaque classe de SIL.

Indisponibilité liée aux arrêts


→ DTU : 2a (DTUR = réparation) et
2b (DTUT = tests)

Indisponibilité associée
aux défaillances dangereuses Indisponibilité associée
→ PFD : 1a (défaillances aléatoires aux pannes cachées (non révélées
de matériel) et 1b (défaillances systématiques) par les tests)
→ PTIF : 3

Indisponibilité critique
de sécurité (CSU)
CSU = PFD +
DTUR + DTUT +
PTIF

Figure 2 – Contributeurs à l’indisponibilité critique de sécurité (CSU)

Évolution de la PFD en
CSU = PFD (t) + PTIF
fonction du temps

Évolution de la CSU en CSU maximum Valeur moyenne de la CSU


fonction du temps

PFD maximum

PFDavg = λDU × 0,5 × T

PTIF

Temps
T 2T 3T 4T

Période de test

Figure 3 – Contribution à l’indisponibilité critique de sécurité de la PFD et de PTIF

Copyright © – Techniques de l’Ingénieur – Tous droits réservés


SE 4 077 – 4

XP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

Méthode HACCP – Approche


pragmatique

par Michel FEDERIGHI


Professeur, Oniris, unité Hygiène et Qualité des Aliments, Nantes, France

1. Étape 1 : constitution de l’équipe HACCP – délimitation SL 6 210v2 - 2


du champ de l’étude ............................................................................
2. Étape 2 : description du produit....................................................... — 3
3. Étape 3 : identification de l’utilisation attendue......................... — 3
4. Étape 4 : établir le diagramme des opérations ............................ — 4
5. Étape 5 : confirmation sur site du diagramme des opérations — 4
6. Étape 6 : analyse des dangers – détermination des causes –
identification des mesures de maîtrise .......................................... — 5
7. Étape 7 : identifier les CCP (Critical Control Point) ................... — 7
8. Étape 8 : établir les limites critiques .............................................. — 8
9. Étape 9 : mise en place d’un système de surveillance............... — 9
10. Étape 10 : identification des actions correctives........................ — 9
11. Étape 11 : établir les procédures de vérification ........................ — 10
12. Étape 12 : établir un système de documentation........................ — 10
13. Conclusion .............................................................................................. — 11
14. Glossaire.................................................................................................. — 11
Pour en savoir plus ........................................................................................ Doc. SL 6 210v2

nalyse des risques – point critique pour leur maîtrise », telle a été la
«A traduction de l’acronyme anglais HACCP (Hazard Analysis Critical
Control Point) adoptée par la commission du « Codex Alimentarius » en 1997
dans la troisième révision du texte fondateur [1]. L’évolution de la terminologie
a cependant conduit à préférer par la suite « analyse des dangers et des points
critiques pour leur maîtrise ». Cette terminologie rend mieux compte de la
mission dévolue à la méthode au sein de chaque entreprise, se démarque et
évite la confusion avec la démarche globale d’analyse des risques, décrite éga-
lement par le Codex, qui est du ressort des États au sein de l’Organisation
Mondiale du Commerce. L’HACCP est donc une méthode, une approche struc-
turée par sept principes permettant de se prémunir de tous problèmes
d’insécurité des aliments par la mise en place d’activités opérationnelles,
moyens et solutions techniques préétablies et d’en apporter la preuve !
Ainsi, l’HACCP va rassurer et donner confiance en démontrant la capacité de
l’organisme à identifier les dangers menaçant véritablement l’hygiène de ses
productions et à organiser ses activités pour les maîtriser. Initialement déve-
loppée à la fin des années soixante pour l’industrie chimique aux États-Unis, la
méthode HACCP fut rapidement reprise par les IAA (industries agroalimen-
p。イオエゥッョ@Z@ョッカ・ュ「イ・@RPQU

taires) toujours aux États-Unis, avant d’être aujourd’hui mondialisée. De nos


jours, après quelques années de flottement dues à des textes décrivant la
méthode avec un nombre d’étapes variant de 11 à 14, le texte du « Codex

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 1

XQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

MÉTHODE HACCP – APPROCHE PRAGMATIQUE ___________________________________________________________________________________________

Alimentarius » fait référence et a fixé ce nombre à 12. De fait, une façon très
simple de présenter globalement la méthode HACCP est d’indiquer qu’il s’agit,
dans ses dernières étapes, des sept principes de la méthode, précédées de
cinq étapes préliminaires destinées à collecter toutes les informations néces-
saires à l’accomplissement des fameux sept principes (tableau 1). Ce caractère
global de la méthode en fait un de ses atouts, chacun utilisant le même dérou-
lement de méthode.
Le statut réglementaire de la méthode HACCP a lui aussi évolué, en particu-
lier sur le territoire européen. D’abord fortement recommandée, puis
obligatoire (après transposition dans la loi nationale) pour l’application de ses
principes dans la célèbre directive hygiène 93/43 (aujourd’hui abrogée), la
méthode HACCP est maintenant ancrée fortement dans la réglementation
(règlement CE 178/2002 ou « food law ») et largement répandue dans les entre-
prises. Au-delà de son caractère obligatoire, la méthode HACCP représente
pour celles-ci un véritable outil d’amélioration continue et, appliquée de façon
pragmatique dans la logique de ses 12 étapes, constitue le meilleur moyen
pour assurer la sécurité de leurs produits finis.
Cet article se propose de décrire les différentes étapes de la méthode en les
accompagnant, à des fins didactiques, de commentaires, remarques et autres
retours d’expérience de l’utilisation de cette méthode.

1. Étape 1 : constitution C’est un truisme que de dire que la mise en place d’une
démarche HACCP est un véritable travail d’équipe. C’est au moins,
de l’équipe HACCP – et à l’évidence, une démarche pluridisciplinaire nécessitant pour sa
mise en œuvre des compétences très variées. Mais c’est égale-
délimitation du champ ment, et plus particulièrement, l’affaire d’une ou deux personnes.
À ce titre, le rôle de l’animateur est primordial pour la réussite de
de l’étude la démarche et sa compétence reconnue en matière de méthode
HACCP doit le conforter. Il veille en particulier à l’adéquation entre
la composition de l’équipe et les besoins de l’étude. Dans l’idéal,
une équipe de 5 à 6 personnes compétentes, volontaires et moti-
vées doit constituer une structure fonctionnelle non hiérarchique
Hygiène des aliments : ensemble des conditions et mesures
avec un animateur et un secrétaire technique. Au-delà des fonc-
nécessaires pour assurer la sécurité et la salubrité des aliments
tions qualité (assurance, contrôle) et production – incontournables
à toutes les étapes de la chaîne alimentaire :
–, les fonctions recherche et développement, entretien et mainte-
– sécurité des aliments : assurance que les aliments ne cause- nance, achats, logistique, commercial peuvent faire partie de
ront pas de dommage au consommateur quand ils sont préparés l’équipe HACCP. Il s’agit de constituer une équipe avec un noyau
et/ou consommés conformément à l’usage auquel ils sont dur qui va accompagner la démarche du début jusqu’à la fin. De
destinés ; fait, la formation à la méthode HACCP de tous les membres de
– salubrité des aliments : assurance que les aliments lorsqu’ils l’équipe est indispensable. Le référent HACCP de l’équipe peut, par
sont consommés conformément à l’usage auquel ils sont desti- exemple, s’appuyer sur le manuel de formation édité par la FAO
nés, sont acceptables pour la consommation humaine. (Food and Agriculture Organization) « Système de qualité et de
Ainsi, l’hygiène des aliments n’est pas l’hygiène alimentaire sécurité sanitaire des aliments : manuel de formation » [2]. Il
(apport raisonné par l’alimentation des éléments et nutriments insiste en particulier sur les liens, ainsi que la chronologie à res-
nécessaires à la vie). De même, la sécurité des aliments n’est pecter dans leur mise en place respective, entre bonnes pratiques
pas la sécurité alimentaire (sécurité des approvisionnements, hygiéniques et HACCP. Après la formation, l’équipe HACCP
suffisance alimentaire). s’accorde sur une définition des points critiques de maîtrise (CCP)
et autres points d’attention (voir étape 7, § 7), ainsi que sur un
Les notions de « dangers » et de « risques » sont souvent calendrier de réalisation. Un secrétaire technique seconde l’anima-
employées de manière inappropriée, laissant penser que cela teur et veille à l’établissement des comptes rendus des réunions
puisse être confondu, ce qui ne devrait pas être le cas. de l’équipe HACCP et, surtout, au suivi des actions entre les
Danger : agent biologique, chimique ou physique, présent réunions.
dans un aliment, ou état de cet aliment, pouvant entraîner un
Il est possible et recommandé d’adjoindre à ce noyau dur, au
effet néfaste sur la santé.
gré des besoins et de la progression de l’étude, toute personne
Risque : fonction de la probabilité d’un effet néfaste sur la jugée collectivement comme indispensable à l’avancée du projet.
santé et de la gravité de cet effet résultant d’un ou de plusieurs Cette personne peut être extérieure à l’organisme (fournisseur,
dangers dans un aliment. consultant, experts divers et variés...). Il est important toutefois de
« garder la main » sur le sujet et de ne pas dépendre entièrement
Ces confusions sémantiques sont très répandues et de personnes extérieures, et il convient d’être très prudent
devraient être bannies, car elles ne participent pas à simplifier vis-à-vis de la promesse d’un système complet « clés en main ». Il
le débat et la communication. faut comprendre, assimiler et s’approprier la méthode HACCP pour

SL 6 210v2 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

XR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
slVRQP

___________________________________________________________________________________________ MÉTHODE HACCP – APPROCHE PRAGMATIQUE

l’appliquer à son site de production. Il convient de rappeler ici


qu’un plan HACCP complet doit envisager tous les dangers signifi- 2. Étape 2 : description
catifs pour tous les produits fabriqués par un organisme. Cepen-
dant, pour des raisons pratiques et d’efficacité, il est recommandé
du produit
de délimiter le champ de l’étude.
Il est important de noter que cette description ne doit pas se
limiter au produit fini mais doit inclure les matières premières, les
Par exemple, l’équipe HACCP peut concentrer ses efforts, lors produits intermédiaires le cas échéant, ainsi que les divers ingré-
d’une période limitée dans le temps, sur un triptyque illustré par la dients, matériaux d’emballage et les procédés de traitement
figure 1. entrant dans la formulation du produit. Il s’agit, lors de cette étape,
d’effectuer un véritable « audit » produit. Un soin tout particulier
est accordé aux exigences légales et réglementaires et aux infor-
De la même façon, face à un processus de fabrication particuliè- mations pertinentes au regard de la sécurité des aliments :
rement complexe ou comprenant un grand nombre d’opérations – caractéristiques sanitaires : critères microbiologiques, physiques
et/ou de produits intermédiaires, il est recommandé de subdiviser ou chimiques ;
le processus de fabrication en deux ou trois phases dont chacune – caractéristiques physico-chimiques en relation avec des dan-
fait l’objet d’une étude HACCP particulière. gers significatifs (activité de l’eau aw , pH, potentiel d’oxydoréduc-
tion (Eh ), concentrations en divers composés, composition
Bien évidemment, la conséquence pratique de ces délimitations (incluant les teneurs en sel, sucres et substances grasses), etc.) ;
est que plusieurs études successives sont nécessaires pour aboutir – traitements subis, surtout ceux qui peuvent avoir un impact
à un plan HACCP complet. sur la sécurité des aliments (traitements chimiques et physiques
Même si elle va bien au-delà de cela, on est en droit de consi- de préservation, ces derniers permettront de retracer, si néces-
dérer que la démarche HACCP s’apparente à un « plan de travail » saire, l’historique des procédés pouvant conduire à une obligation
logique et chronologique. Le franchissement successif des douze d’étiquetage [3]) ;
étapes constitue la séquence d’application du plan de travail. À ce – conditions de stockage en interne et les conditions de distribu-
titre, le recours à des outils de gestion de projet comme le dia- tion et de conservation du produit fini.
gramme de Gantt ou des rétroplanning peut être très utile dans la Les informations liées aux produits ne doivent pas être négligées
planification des tâches et le positionnement des « jalons » de car elles peuvent se révéler capitales lors des étapes 6, 7 et 8 qui
l’étude. soulèvent de nombreuses questions ; par exemple et de manière
non exhaustive :
– le pH, le potentiel d’oxydoréduction, l’activité de l’eau du
Le diagramme de Gantt est un outil permettant de modéliser produit peuvent-ils inhiber la croissance microbienne ou la
la planification de tâches nécessaires à la réalisation d’un toxinogénèse ?
projet. – comment l’emballage affecte la survie des micro-organismes ?
– des micro-organismes ou des substances toxiques sont-ils
Un rétroplanning est un planning inversé, conçu en partant affectés par les traitements subis ?
de la date de fin du projet puis en remontant dans le temps – les temps d’attente à température ambiante en cours de pro-
afin de positionner les jalons. duction sont-ils acceptables ? Y a-t-il des données scientifiques
pour étayer la réponse ?
– l’un des facteurs de production constitue-t-il un moyen de
maîtrise d’un danger significatif ? Se prête-t-il à une surveillance
Il est important de noter également que, comme pour toute
rapide et facile ? etc.
démarche planifiée et systématisée que l’on souhaite efficace,
l’engagement de la direction dans la démarche HACCP doit être
clair et sans faille. La direction doit être informée de la nécessité
de la mettre en œuvre et consciente de l’investissement que cela
représente. En retour, la démarche HACCP assure la sécurité sani- 3. Étape 3 : identification
taire des produits fabriqués et peut se révéler un élément d’amé-
lioration organisationnelle de l’organisme. de l’utilisation attendue
Cette étape doit permettre de compléter les informations précé-
dentes et conduit notamment à préciser la durabilité attendue, les
modalités « normales » d’utilisation du produit ainsi que des ins-
tructions qui peuvent être données pour l’utilisation. L’utilisateur
peut être le consommateur final ou bien le transformateur qui se
Un danger sert du produit comme d’une matière première ou d’un ingrédient.
ou une catégorie De plus, il y a lieu de considérer toutes possibilités
de dangers
« raisonnablement prévisibles » d’utilisation fautive [4]. Ce concept
est contenu dans l’article L. 221-1 du Code de la consommation. Le
« raisonnablement prévisible » est important ; il ne s’agit en aucun
cas pour l’équipe HACCP d’anticiper des utilisations imprévisibles
inadéquates et/ou dangereuses : on ne peut prévoir l’imprévisible !
Un produit ou Un process ou Par contre, des fautes ou des pratiques erronées peuvent être anti-
une catégorie une catégorie cipées comme :
de produits de process
– une remontée en température du produit lors du transport
entre le centre de distribution et le domicile ;
– une consommation légèrement postérieure à la date limite ;
– une consommation en plusieurs fois ;
– l’utilisateur va vouloir prolonger la durée de vie d’un produit
Figure 1 – Champ d’étude de l’équipe HACCP réfrigéré « à date » par la congélation dudit produit ; etc.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SL 6 210v2 – 3

XS
XT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

La sûreté de fonctionnement :
méthodes pour maîtriser les risques

par Yves MORTUREUX


Ingénieur civil des Ponts et Chaussées
Expert Sûreté de Fonctionnement
à la Direction déléguée Système d’exploitation et sécurité à la SNCF
Vice-Président de l’Institut de Sûreté de Fonctionnement

1. Caractérisation de la sûreté de fonctionnement ............................ AG 4 670 - 3


1.1 Considérer avec réalisme les entités auxquelles on a affaire.................. — 3
1.2 Exploiter toutes les connaissances disponibles, rechercher le juste
nécessaire..................................................................................................... — 3
1.3 Produire de la confiance partageable grâce à la sûreté
de fonctionnement ...................................................................................... — 4
2. Notions fondamentales .......................................................................... — 4
2.1 Sûreté de fonctionnement .......................................................................... — 4
2.2 Risque ........................................................................................................... — 4
2.3 Fiabilité ......................................................................................................... — 6
2.4 Maintenabilité .............................................................................................. — 7
2.5 Disponibilité ................................................................................................. — 7
2.6 Sécurité......................................................................................................... — 7
3. Taux de défaillance, MTBF, MTTF, MUT .............................................. — 8
4. Données de fiabilité (ou de maintenabilité) ..................................... — 10
4.1 Généralités ................................................................................................... — 10
4.2 Bases de données........................................................................................ — 10
4.3 Retour d’expérience .................................................................................... — 11
5. Démarches et méthodes fondamentales d’une approche SdF .... — 12
5.1 Présentation des caractéristiques .............................................................. — 12
5.2 Analyse préliminaire de risques (APR) ...................................................... — 12
5.3 Analyse des modes de défaillance, de leurs effets et de leurs criticités
(AMDEC) ....................................................................................................... — 13
5.4 Arbres de causes, d’événement, de défaillances...................................... — 13
5.5 Graphes d’états. Réseaux de Petri ............................................................. — 15
5.6 Complémentarités entre ces méthodes..................................................... — 16
6. Fiabilités électronique, mécanique, logicielle, humaine... ........... — 16
Références bibliographiques ......................................................................... — 17

ans l’industrie, on parle de plus en plus de sûreté de fonctionnement. Cette


D discipline, qui a acquis ce nom et sa forme actuelle principalement au cours
du dernier demi-siècle et dans les secteurs de la défense, de l’aéronautique, de
l’espace, du nucléaire, puis des télécommunications et des transports, serait
désormais utile, voire indispensable, à tous les secteurs de l’industrie et même
d’autres activités.
De quoi s’agit il ? La sûreté de fonctionnement est une riche palette de métho-
des et de concepts au service de la maîtrise des risques.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPPQ

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle A G 4 670 − 1

XU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

La sûreté de fonctionnement n’est pas un but en soi, mais un moyen ou un


ensemble de moyens : des démarches, des méthodes, des outils et un vocabu-
laire. Le but qui impose le recours à la sûreté de fonctionnement est plus recon-
naissable sous le terme de « maîtrise des risques ».
■ Comme il est habituel avec ce type de mots ou d’expressions, « sûreté de
fonctionnement » désigne à la fois un ensemble de moyens et un ensemble de
résultats produits par ces moyens :
— une forme d’esprit particulière dans la considération portée aux systèmes
(en particulier industriels, mais rien ne justifie de se limiter à l’industrie) ; des
démarches, méthodes et outils propres à connaître, caractériser et maîtriser les
effets des aléas, des pannes, des erreurs... ;
— des caractéristiques des systèmes (produits, services, systèmes de produc-
tion, installations, etc.), exprimant la conformité dans le temps (constance, fré-
quence de la conformité) de leurs comportements et actions avec des attentes
plus ou moins explicites (on note la proximité de ces notions avec la qualité) :
sécurité, fiabilité, disponibilité, maintenabilité, voire invulnérabilité, capabilité,
coût global de possession, survivabilité...
Par extension, on parle de la « sûreté de fonctionnement d’un système »
comme la caractéristique de ce système qui permet de placer en lui une
confiance justifiée. C’est d’une simplicité séduisante et trompeuse. La con-
fiance dépend de ce à quoi on accorde de l’importance (innocuité, productivité,
qualité... ?) et des valeurs relatives de ces caractéristiques ; elle repose sur un
ensemble de démarches et s’exprime par un ensemble de caractéristiques, en
particulier des disponibilités et de la sécurité. C’est un atout majeur du concept
de sûreté de fonctionnement de réunir des approches motivées par la fiabilité, la
disponibilité, la maintenabilité et la sécurité, mais c’est un piège de vouloir
réduire à une valeur (qui s’appellerait la sûreté de fonctionnement du système)
le résultat de ces démarches.
■ Les caractéristiques pertinentes pour exprimer les fondements de la
confiance que l’on place et que l’on veut transmettre dans son système pren-
nent des formes (des noms et des définitions) propres au système dont il s’agit,
aux cultures des acteurs concernés et à leurs vocabulaires. Fondamentalement,
il s’agit toujours de disponibilité et de sécurité fondées sur des fiabilités et des
maintenabilités élémentaires, mais le foisonnement des vocabulaires en usage
dans les différentes branches de l’industrie (et encore plus si on élargit au-delà
du monde industriel) prouve que chacun a besoin de notions propres adaptées
à son contexte.
Par contre, les démarches et méthodes, même cachées sous des noms
divers et variés, s’avèrent universelles. Plutôt que les caractéristiques, ce sont
les méthodes qui seront au cœur de ce premier article. En matière de sûreté de
fonctionnement (et pas seulement là), il nous paraît infiniment plus important de
comprendre une démarche et un raisonnement, quitte à réinventer le vocabu-
laire en l’appliquant, que d’apprendre des définitions et des règles, d’utiliser des
outils en se laissant guider par eux. Cette dernière pratique, très répandue,
conduit malheureusement assez souvent à des conclusions gravement erronées.
La sûreté de fonctionnement n’est que du bon sens organisé et systématisé.
S’en éloigner en se laissant conduire par une recette ou une méthode à l’encon-
tre du bon sens est, à coup sûr, s’exposer aux pires dangers d’erreurs graves.
■ Maîtriser les risques est une attitude naturelle que chacun pratique ; mettre en
œuvre la sûreté de fonctionnement, c’est professionnaliser cette attitude, la sys-
tématiser, l’optimiser, l’expliciter. Concrètement, cela peut se limiter à un état
d’esprit spécifique, à quelques questions que l’on se pose systématiquement ;
cela peut aussi, à l’inverse, mobiliser des équipes hautement spécialisées en
calcul de probabilités, essais, modélisations, analyses, recueil et traitement de
données... À chacun son activité, son besoin, ses enjeux, à chacun sa sûreté de
fonctionnement, mais le principe en est toujours le même.
Nota : Le lecteur pourra utilement se reporter au CD-Rom Sécurité/Prévention des risques (projet 2002) et, plus particuliè-
rement, à l’article [SE 1 020] « La sûreté de fonctionnement : démarches pour maîtriser les risques ».

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
A G 4 670 − 2 © Techniques de l’Ingénieur, traité L’entreprise industrielle

XV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

___________________________________________________________________ LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES

1. Caractérisation Une première caractéristique d’une approche sûreté de fonc-


de la sûreté tionnement, c’est le principe de considérer un système pour
tout ce qu’il peut être et non seulement pour ce qu’on veut qu’il
de fonctionnement soit.

La sûreté de fonctionnement (SdF) est peut-être d’abord un état


d’esprit avant d’être un ensemble de méthodes. Qu’est-ce qui carac- 1.2 Exploiter toutes les connaissances
térise cet esprit ? disponibles, rechercher le juste
nécessaire
1.1 Considérer avec réalisme les entités
auxquelles on a affaire L’application du principe évoqué au paragraphe 1.1 met donc en
présence de nombreuses éventualités d’échecs ou d’accidents. Il y a
l’attitude qui consiste à les ignorer et celle qui consiste à les éliminer
Un composant, un sous-système peut tomber en panne. Un totalement. La SdF consiste à remplacer le choix binaire entre ces
homme peut avoir une activité différente de ce qu’on a voulu lui deux extrêmes par le choix continu entre toutes les positions inter-
prescrire. Les conditions d’environnement peuvent être défavora- médiaires. Entre excès de précautions (coûteux, contraignant) et jeu
bles, etc. avec le feu (tout va bien jusqu’à la catastrophe), il y a un juste milieu
La sûreté de fonctionnement consiste à ne pas considérer un sys- en harmonie avec les grands principes, la politique de son entité
tème uniquement à travers son cahier des charges comme s’il ne (entreprise, association...).
devait jamais avoir comme comportements et comme effets que
ceux pour lesquels il a été conçu. Entre la connaissance déterministe que la panne va toucher tel
Exemple : un frein de bicyclette est conçu, fabriqué, installé pour composant à tel moment et l’ignorance totale (on ne sait pas quelle
ralentir et arrêter la bicyclette. panne va survenir, ni où, ni quand), il y a des connaissances incom-
Premièrement, la SdF considère qu’il n’est pas acquis, parce qu’il plètes ou incertaines. La sûreté de fonctionnement, loin de les écar-
peut le faire, qu’il va le faire. Il peut ne pas remplir totalement, instanta- ter (comme si on ne pouvait rien faire d’une incertitude) les exploite.
nément, à chaque sollicitation sa fonction.
Le cas des composants électroniques après la Seconde Guerre
Deuxièmement, la SdF considère que, à partir du moment où il
existe, il va avoir des effets, peut-être sans rapport avec sa fonction. mondiale est caractéristique, puisqu’il est à l’origine de l’essor évo-
Normalement, un frein de bicyclette produit de la chaleur, peut faire du qué dans l’« historique » : en présence d’un lot de composants
bruit, occupe de la place, ajoute du poids à certains endroits. Un frein « identiques » (fabriqués ensemble), il n’était pas possible (techni-
de bicyclette, ce sont des pièces qui pourraient, accidentellement, tom- quement ou économiquement) de déterminer lesquels allaient tom-
ber dans les rayons, des câbles tendus qui pourraient, accidentelle- ber en panne et quand. Par contre, le retour d’expérience montrait
ment, casser, cingler, blesser, etc. Il y a lieu d’en examiner les une très grande régularité dans le nombre de pannes rapporté au
conséquences pour faire des choix appropriés. nombre de composants par unité de temps.

Historique
Selon A. Leroy et J.P. Signoret [1], l’entre-deux-guerres voit émerger les Ces activités, dès leur prime jeunesse, ont dû maîtriser les risques d’acci-
concepts de fiabilité et de taux de défaillance dans l’aéronautique suite à la dents. Elles ont développé des approches déterministes très poussées et se
comparaison des fréquences des pannes des avions bimoteurs et quadrimo- sont essentiellement appuyées sur le surdimensionnement, la redondance et
teurs et au calcul de ratios, nombre de pannes/nombre d’heures de vol. l’analyse logique pour assurer la sécurité. L’apport des approches probabilis-
tes permet de chercher à ajuster les mesures de prévention des événements
■ Ë
tir de la deuxième guerre mondiale, une discipline se développe sous aléatoires au lieu de rester abrité derrière des normes de dimensionnement
le nom de « théorie de la fiabilité ». Les décennies 1940 et 1950 sont caractéri- larges et coûteuses.
sées par la découverte de l’efficacité d’une approche probabiliste appliquée à ■ À partir de la décennie 1980, les efforts entrepris dans tant de directions
l’électronique dans l’aéronautique, la défense et le nucléaire. La formulation s’approfondissent, mais aussi tendent à se rejoindre pour constituer cette dis-
de ce qui nous paraît évident aujourd’hui – la probabilité de succès d’une cipline d’application très étendue qu’est aujourd’hui la sûreté de fonctionne-
chaîne de composants est le produit des probabilités de succès de chacun des ment. On note les développements suivants :
composants – fut l’origine d’un développement très rapide dans les domaines — constitution de bases de données de fiabilité ;
cités. — début de normalisation en matière de sûreté de fonctionnement ;
Cette période fut aussi celle d’un développement rapide de l’électronique — développement des méthodes d’analyse, de modélisation, de représen-
qui introduit des composants nombreux dont les défaillances individuelles tation des systèmes complexes ;
sont imprévisibles à ce stade des connaissances, mais dont les défaillances — développement de logiciels de calculs ;
collectives présentent des régularités statistiques ; sur un lot de composants — développement de logiciels de modélisation ;
homogène, on sait prédire avec une bonne confiance le nombre de — campagnes d’essais pour recueillir des données de fiabilité ;
défaillances par unité de temps qui vont se produire alors qu’on reste totale- — utilisation large ou ciblée de la sûreté de fonctionnement dans la plupart
ment incapable de prédire quel composant va tomber en panne et quand. des industries ;
— utilisation de la sûreté de fonctionnement pour maîtriser tout type de
risque industriel (et peu à peu des risques juridiques, individuels, financiers,
■ Les décennies 1960 et 1970 sont marquées par les tentatives de généraliser etc.) et non seulement la sécurité ;
cette approche probabiliste si réussie à d’autres « composants » : — apparition et développement des clauses contractuelles de sûreté de
mécaniques, hydrauliques, électriques, puis aux hommes, aux logiciels... et fonctionnement et des exigences légales et réglementaires de sûreté de
l’extension de l’approche au retour à la normale (à la fiabilité vient s’ajouter la fonctionnement ;
maintenabilité). En même temps se développent des méthodes permettant de — besoin croissant de connaissances pointues dans les domaines scienti-
maîtriser les risques de systèmes complexes (centrale nucléaire, supersoni- fiques concernés dans les systèmes complexes : systèmes programmés,
que...) et non plus simplement de chaînes de composants (même complexes). sciences humaines et sociales.
Ces démarches sont conduites par les équipes constituées autour de la Aujourd’hui, le terme « sûreté de fonctionnement » recouvre l’ensemble
« théorie de la fiabilité ». Cependant elles rejoignent la prise en compte des des moyens qui permettent de se donner et de transmettre une confiance jus-
risques qui a toujours accompagné les activités à risque comme le transport. tifiée dans le succès d’un projet, d’une activité et son innocuité.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité L’entreprise industrielle AG 4 670 − 3

XW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
agTVWP

LA SÛRETÉ DE FONCTIONNEMENT : MÉTHODES POUR MAÎTRISER LES RISQUES ____________________________________________________________________

Entre une position très prudente consistant à ne pas utiliser ces La sûreté de fonctionnement est souvent définie comme :
composants faute de pouvoir éviter les pannes, en les remplaçant à
temps par exemple, et une position très risquée consistant à espérer — fiabilité, disponibilité, maintenabilité et sécurité ;
ne pas subir trop de pannes aux mauvais moments, la SdF permet — science des défaillances ;
d’évaluer statistiquement le risque pris en fonction des choix — maintien de la qualité dans le temps.
d’architecture, de politique de maintenance, etc., mais elle ne le per-
met que parce qu’il y a une information utile qui est, ici, la loi de pro- Toutes ces définitions sont reconnues à divers titres par l’Institut
babilité de défaillance des composants en fonction du temps ! de Sûreté de Fonctionnement (ISDF). Chacune de ces définitions est
porteuse de beaucoup du contenu de la SdF, mais chacune est
cependant réductrice, trop étroite.
1.3 Produire de la confiance partageable ■ La définition « fiabilité, maintenabilité, disponibilité et
grâce à la sûreté de fonctionnement sécurité » fait donc référence aux définitions de ces termes (§ 2.3 à
§ 2.6) et met en avant la cohérence de ces approches. Par contre, si
En vertu du principe évoqué en premier dans le paragraphe 1.1, la la fiabilité (ou la maintenabilité, la disponibilité et la sécurité) est
sûreté de fonctionnement tend à « tout prévoir » (à ne pas confon- aussi une performance d’un système, la SdF ne se réduit pas facile-
dre avec « empêcher tout accident »). En vertu du deuxième prin- ment à une performance.
cipe (§ 1.2), elle tend à prendre en compte toute information
accessible. Elle offre donc les meilleures garanties possibles que ■ La définition « science des défaillances » met l’accent sur la
choix et décisions ont pu être faits et pris en toute connaissance de prise en compte des défaillances, de leurs causes, de leurs effets et
cause. souligne, en parlant de science, l’importance de la connaissance sur
les défaillances (causes, effets, mécanismes...) sans laquelle il n’y a
Il n’y a pas à proprement parler de décisions de SdF. Il y a des pas d’approche SdF. Mais elle est réductrice en ce sens que la SdF
décisions techniques, politiques, des choix de conception, d’organi- prend en compte et traite plus que des défaillances.
sation, d’exploitation, etc., toutes les décisions qui peuvent se pren-
dre dans la vie professionnelle, associative, publique, privée... La En ce qui concerne les événements finaux (les conséquences), la
SdF permet de prendre en compte de façon explicite les SdF ne prend pas en compte que les défaillances dans l’accomplis-
défaillances, les incertitudes, les aléas... dans toute la mesure, mais sement des fonctions requises (ce qui serait seulement une appro-
seulement dans la mesure, des connaissances qu’on détient à leur che fiabilité, maintenabilité, disponibilité ou « dependability »), mais
propos. Ce caractère explicite permet de justifier, de montrer, de dis- aussi des événements sans rapport avec le cahier des charges fonc-
cuter, de faire partager la représentation des conséquences (souhai- tionnel du système (approche orientée sécurité).
tées et non souhaitées, mais maîtrisées) des décisions que l’on En ce qui concerne les événements initiateurs (les causes), la SdF
prend ou que l’on veut faire prendre. ne se limite pas aux défaillances, mais peut permettre de prendre en
compte aussi bien des agressions de l’environnement, des actions
Utiliser la sûreté de fonctionnement, c’est rechercher et inattendues ou interdites des utilisateurs ou des tiers, des phénomè-
exploiter les informations relatives aux événements non nes aléatoires...
voulus : pannes, agressions, aléas..., les prendre en compte
pour des décisions plus fines, plus justes, inspirant plus ■ La définition « maintien de la qualité dans le temps » souli-
confiance. gne l’importance de la durée et l’importance de la référence à des
exigences (explicites ou non). Elle a le défaut de laisser supposer
Cela souligne aussi le fait qu’il n’y a pas de démarche sûreté de qu’une activité SdF se conduit nécessairement dans le cadre d’une
fonctionnement possible s’il n’y a pas de connaissances. La SdF est démarche qualité, ce qui est faux. C’est le choix – explicable histori-
toujours totalement dépendante de la connaissance du système étu- quement – de certains secteurs industriels où la sûreté de fonction-
dié et de l’état des sciences concernées. La recherche de ces infor- nement est très développée à l’intérieur de l’organisation Qualité,
mations, en particulier par le retour d’expérience et les essais, est mais n’est pas une nécessité ; d’autres secteurs ont une forte expé-
donc indissociable de la SdF. rience de la sûreté de fonctionnement antérieure à la Qualité au
sens moderne incarné par les normes ISO 9 000 et bien d’autres, en
particulier une expérience de la sûreté de fonctionnement orientée
vers la sécurité.
2. Notions fondamentales Nota : la recherche de termes équivalents dans d’autres langues pose de sérieux problè-
mes.

La démarche, le raisonnement « sûreté de fonctionnement »


s’appuient sur quelques notions de base qui se sont précisées au
cours de l’évolution (cf. Historique) et qui continuent à s’affiner. Par- 2.2 Risque
courir ce vocabulaire de base est donc une introduction classique à
la sûreté de fonctionnement. Le lecteur trouvera d’autres définitions
importantes dans un glossaire.
Événement redouté évalué en terme de fréquence et de gra-
vité. En sûreté de fonctionnement, il s’agit d’identifier les événe-
ments indésirables, d’évaluer la fréquence de leurs survenues et
2.1 Sûreté de fonctionnement de quoi elle dépend, d’évaluer la gravité de leurs survenues et
de quoi elle dépend ; de prendre ses décisions en fonction de
leurs impacts sur le triplet « événement, fréquence, gravité »
Aptitude d’une entité à satisfaire une ou plusieurs fonctions qu’on appelle risque.
requises dans des conditions données.
On notera que ce concept peut englober la fiabilité, la disponi-
bilité, la maintenabilité, la sécurité, la durabilité... ou des combi-
naisons de ces aptitudes. Reformuler en terme de risque les éléments de décision qui relè-
vent de la prise en compte des dysfonctionnements, des aléas, des
Au sens large, la SdF est considérée comme la science des erreurs, des agressions de l’extérieur... c’est déjà intégrer l’esprit de
défaillances et des pannes [2]. la sûreté de fonctionnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
AG 4 670 − 4 © Techniques de l’Ingénieur, traité L’entreprise industrielle

XX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

Mesures de maîtrise des risques


instrumentées (MMRI)
État zéro et fiche de vie

par Olivier IDDIR


Ingénieur analyse des risques
Membre du réseau des experts
TECHNIP France, Paris la-Défense

1. Caractérisation d’une mesures de maîtrise SE 2 090 - 2


des risques instrumentées (MMRI) ...................................................
1.1 Contexte : plan de modernisation des installations industrielles ......... — 2
1.2 Vieillissement des MMRI .......................................................................... — 4
1.3 MMRI parmi les MMR ............................................................................... — 5
1.4 Contexte réglementaire ............................................................................ — 6
1.5 Différents types de MMRI ......................................................................... — 8
1.6 Performances des MMRI – Rappels ......................................................... — 11
2. Identification des MMRI ...................................................................... — 11
2.1 Guide DT 93 ............................................................................................... — 11
2.2 Méthode de sélection du guide DT 93..................................................... — 12
2.3 Référentiels d’évaluation des MMRI........................................................ — 15
3. Indépendance des MMRI ..................................................................... — 15
3.1 Plusieurs notions d’indépendance .......................................................... — 15
3.2 Indépendance entre la MMRI et le scénario ........................................... — 15
3.3 Indépendance des équipements dans une MMRI .................................. — 16
3.4 Critère d’indépendance des MMRI .......................................................... — 16
3.5 Indépendance des MMR et des MMRI : clarification.............................. — 18
4. État zéro et ficher de vie ..................................................................... — 19
4.1 Contenu d’une fiche de vie....................................................................... — 19
4.2 Exemple de fiche de vie – Proposition de l’EXERA ................................ — 21
5. Programme et plan de surveillance des MMRI.............................. — 24
6. Conclusion............................................................................................... — 25
Pour en savoir plus ........................................................................................ Doc. SE 2 090

uite à une recrudescence de pertes de confinement dans les secteurs de


S l’industrie chimique et pétrolière survenues à partir de 2007, un plan de
modernisation des installations industrielles (PMII) a été initié en 2008. Ce plan
a conduit à définir pour les industriels soumis au régime des installations clas-
sées pour la protection de l’environnement (ICPE) de nouvelles obligations sur
le recensement, l’évaluation et le suivi des équipements critiques.
Au travers de l’arrêté du 4 octobre 2010, il est demandé aux industriels de
mettre en place une méthodologie de gestion et de maîtrise du vieillissement
des mesures de maîtrise des risques instrumentées (MMRI). L’objectif visé est
de pouvoir garantir un maintien dans le temps des performances des MMRI
valorisées dans le cadre des études de dangers pour les sites classés SEVESO.
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQT

Cette nouvelle exigence a pour finalité de mieux prévenir le vieillissement en


imposant un suivi rigoureux de l’ensemble des systèmes instrumentés de

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 1

XY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

sécurité (SIS) ainsi que certaines MMR qui couplent des équipements techni-
ques (capteur, vanne, etc.) et des actions humaines. Pour ce type de MMR, plus
connu sous le nom de système à action manuelle de sécurité (SAMS), des
conditions quant à la nature de l’action humaine sont à vérifier avant de
pouvoir les considérer comme des MMRI. Le présent article s’attache à donner
les clés au lecteur lui permettant de comprendre comment identifier les MMRI
et compiler les informations nécessaires à la réalisation des fiches de vie. Les
aspects liés à l’exploitation et à la gestion des compétences ne seront pas
abordés dans cet article. Le lecteur pourra se référer aux recommandations
présentées dans la guide méthodologique pour la gestion et la maîtrise du
vieillissement des MMRI (guide DT 93).

Glossaire 1. Caractérisation
Acronyme Signification d’une mesures de maîtrise
ADR
APS
Analyse détaillée des risques
Automate programmable de sécurité
deRs risques
(aussi nommé APidS pour automate instrumentées (MMRI)
programmable dédié à la sécurité)
AU Arrêt d’urgence
1.1 Contexte : plan de modernisation des
BPCS Basic Process Control System
installations industrielles
BTS Barrière technique de sécurité
Entre 2007 et 2009, les pertes de confinements survenues à
EDD Étude de dangers Ambès (11 janvier 2007), Donges (16 mars 2008) et la Plaine-
EI Événement initiateur de-la-Crau (7 août 2009) avec des conséquences environnementales
importantes ont mis en lumière la problématique du vieillissement
ER Événement redouté des installations. Le tableau 1 présente les causes et les consé-
FCV Flow Control Valve quences associées à ces trois pertes de confinement.

GMAO Gestion de la maintenance assistée Au regard des accidents listés dans le tableau 1 et de l’âge
par ordinateur moyen de l’outil industriel en France, le ministère du Développe-
ment a décidé d’initier fin 2008 par sa note du 12 décembre 2008
ICPE Installations classées pour la protection (note BRTICP 2008-601-CBO) un plan pour la maîtrise du vieillisse-
de l’environnement ment dans les installations industrielles. Ce plan avait pour objectif
LT Level Transmitter annoncé de prévenir la survenue d’incidents dont les causes
seraient liées à l’âge des installions.
MMR Mesure de maîtrise des risques
MMRI Mesure de maîtrise des risques instrumentée Il est demandé aux industriels d’évaluer si la défaillance de leurs
installations est susceptible de conduire à un risque technologique
MMRI C Mesure de maîtrise des risques instrumentée direct ou indirect. Dans l’affirmative, ils doivent alors se conformer
de conduite aux obligations du plan de modernisation des installations indus-
trielles.
MMRI S Mesure de maîtrise des risques instrumentée
de sécurité Les équipements concernés sont :
NC Niveau de confiance – les capacités et tuyauteries ;
PID Piping and Instrumentation Diagram – les bacs de stockage de liquides inflammables ou dangereux
PMII Plan de modernisation des installations pour l’environnement et bacs cryogéniques ;
industrielles – les canalisations de transport de gaz, d’hydrocarbures et de
PFDavg Average Probability of Failure on Demand produits dangereux ;

PFH Probability of Failure per Hour – certains ouvrages de génie civil ;


– l’instrumentation de sécurité.
PPRT Plan de prévention des risques technologiques
SAMS Système à action manuelle de sécurité Le tableau 2 précise la nature des équipements visés, les
échéances réglementaires, ainsi que les guides professionnels sur
SGS Système de gestion de la sécurité lesquels il est recommandé de s’appuyer.
SIF Safety Intrumented Function
Les exigences liées à la mise en œuvre de ce plan sont forma-
SIL Safety Integrity Level lisées au travers des prescriptions de la section I de l’arrêté du
4 octobre 2010 relatif à la prévention des risques accidentels au
SIS Safety Instrumented System sein des installations classées pour la protection de l’environne-
SNCC Système numérique de contrôle commande ment soumises à autorisation. Plus particulièrement, les articles 7
et 8 concernent les mesures de maîtrise des risques instrumentées
SV Safety Valve (MMRI).

SE 2 090 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

YP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 1 – Accidents industriels attribués au vieillissement des installations

Localisation/
Cause Conséquence
date

Ouverture brutale 2 000 m3 passent au-dessus


d’un fond de bac des merlons en terre entourant
contenant 12 000 m3 la cuvette
de pétrole brut dans 50 m3 rejoignent les chenaux d’une
un dépôt zone marécageuse → 2 km de fossés
pollués et infiltration jusqu’à la nappe
superficielle
50 m3 s’écoulent dans la
Ambès
Garonne → avec les marées, 40 km
11 janvier 2007
de berges polluées sur la Gironde,
la Dordogne et la Garonne

Déversement de fioul
lourd dans l’estuaire
de la Loire au cours
d’un chargement de À l’origine, une fuite sur une cana-
31 000 m3 de fioul lisation de transfert de la raffinerie
de soute dans un Brèche de 16 cm due à une corrosion
navire Fuite décelée seulement 5 h après
478 t de fioul déversées dont 180 t
Donges qui ont rejoint la Loire
16 mars 2008 750 personnes mobilisées
pendant 3 mois et demi pour nettoyer
90 km de berges souillées
Dommages, coûts de dépollution et
indemnisations estimés à environ
50 millions€

5 400 m3 de pétrole brut déversés sur


5 ha de réserve naturelle
73 000 t de terres polluées décaissées,
Rupture d’une transportées et traitées
canalisation de
transport de pétrole
brut dans la réserve
Plaine naturelle de la Crau
de la Crau (site Natura 2000)
7 août 2009 Brèche
« boutonnière »
de 15 cm de large et
1,8 m de long due à
l’effet de toit

Source : présentation faite par le ministère de l’Environnement sur l’état d’avancement du plan de modernisation du 13 janvier 2010

Cet arrêté définit une MMRI comme une mesure de maîtrise des traitement comprenant une prise d’information (capteur, détec-
risques faisant appel à de l’instrumentation de sécurité. Le guide DT teur...), un système de traitement (automate, calculateur, relais...) et
93 vient préciser cette définition : MMR constituée par une chaîne de une action (actionneur avec ou sans intervention d’un opérateur).

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 3

YQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

Tableau 2 – Équipements entrant dans le cadre du plan de modernisation


des installations industrielles – échéances et guides professionnels (source UIC)
Programme
Thème État initial Guide professionnel
d’inspection/surveillance

Guide d’inspection et de maintenance


Réservoirs cryogéniques 30 juin 2011 31 décembre 2011
des réservoirs cryogéniques – DT 97

Guide d’inspection et de maintenance des


Réservoirs de stockages 31 décembre 2011 30 juin 2012
réservoirs aériens cylindriques verticaux – DT 94

Capacités/tuyauteries 31 décembre 2012 31 décembre 2013 Guide tuyauterie d’usine – DT 96

Guide de surveillance des ouvrages de génie


Rack interunités 31 décembre 2012 31 décembre 2013
civil et structures – DT 98

Guide de surveillance des ouvrages de génie


Caniveaux/fosses humides béton 31 décembre 2012 31 décembre 2013 civil et structures – Caniveaux et fosses humides
– DT 100

Guide de surveillance des ouvrages de génie


Cuvettes/massifs de réservoirs 31 décembre 2011 31 décembre 2012
civil et structure – DT 92

Guide méthodologique pour la gestion


Mesures de maîtrise des risques et la maîtrise du vieillissement des mesures
31 décembre 2013 31 décembre 2014
instrumentales de maîtrise des risques instrumentées (MMRI) –
DT 93

en compte par le biais de calcul de fiabilité. En effet, pour un sys-


Seuls les établissements soumis à l’arrêté du 10 mai 2000 tème de sécurité, le seul bon fonctionnement (absence de panne)
modifié (SEVESO seuil haut ou SEVESO seuil bas) sont concer- peut s’avérer insuffisant et il est nécessaire de prévenir la dégrada-
nés par l’identification des MMRI. tion dans le temps des performances pour pouvoir justifier de la
maîtrise du risque dans le temps.
Par exemple, pour les MMRI dont le mode de détection repose
1.2 Veillissement des MMRI sur de la détection de gaz ambiante, il est connu que les détecteurs
de gaz (comme d’autres instruments de mesure) ont tendance à
Il existe de nombreuses définitions possibles du vieillissement. dériver dans le temps et que leur fonctionnement peut être altéré
Dans l’article [SE 2 080], les auteurs proposent de retenir la par des paramètres extérieurs. De ce fait, le temps de réponse peut
définition proposée par l’Agence pour l’énergie nucléaire et reprise être allongé avec pour conséquence une augmentation du délai
par l’Electric Power Research Institute (EPRI) : Processus par lequel avant la mise en sécurité des installations. Plus précisément, pour
les caractéristiques d’un système, structure ou composant (SSC) se les détecteurs de gaz toxiques, suite à une campagne d’évaluation
modifient graduellement avec le temps ou l’utilisation. D’après [1], des détecteurs d’ammoniac, l’INERIS concluait que ces dispositifs
ces mêmes auteurs définissent le vieillissement comme suit : Le entraient dans « une période d’endormissement » s’ils n’étaient
vieillissement est un phénomène continu et progressif qui dépend pas régulièrement mis en présence de gaz ammoniac [2]. Cet
bien souvent d’un grand nombre de covariables influentes telles endormissement ayant pour conséquence d’allonger les temps de
que le temps de fonctionnement, les chargements appliqués, les réponse et donc les temps de déclenchement d’alarme de façon
propriétés des matériaux, le régime d’exploitation... Il se traduit par non négligeable.
une altération des performances due à un mécanisme de dégrada-
tions physique ou chimique, propre au matériel et aux matériaux La prise en compte des dérives dans le temps de performances
qui le constituent et à ses conditions d’environnement. des MMRI valorisées dans le cadre d’une étude de dangers est
nécessaire puisque les niveaux performances retenus ont un
De la définition précédente, il ressort que pour juger du vieillis- impact sur la criticité du risque vis-à-vis duquel la MMRI est
sement d’un système, la prise en compte du seul âge n’est pas suf- valorisée.
fisante. En effet, le vieillissement dépend d’une part des conditions
susceptibles de modifier dans le temps ces caractéristiques, et Par exemple, pour une MMRI dont la fonction de sécurité serait
d’autre part des actions mises en œuvre dans le but d’atténuer ou d’isoler une canalisation par la fermeture d’une vanne d’isolement
de ralentir les mécanismes de dégradation. automatique, une dérive (à la hausse) de son temps de réponse
aboutirait à un délai d’isolement plus long et donc potentiellement
à une masse explosible formée plus importante. À titre d’exemple,
Les MMRI sont concernées par la problématique du vieillis- le tableau 3 présente l’évolution de la masse explosible en fonc-
sement puisqu’il peut mener à leur indisponibilité ou à la tion de la durée d’une fuite de propane liquéfié à pression de satu-
dégradation des performances, ce qui a pour conséquence ration (To = 15 oC) suite à une rupture de canalisation de diamètre
d’abaisser le niveau de sécurité d’une installation. 6″.
Nota : l’isolement d’une fuite ne permet de limiter la masse explosible formée que
dans le cas où le temps de réponse de la MMR est inférieur au temps de stabilisation du
Pour les systèmes instrumentés, il est important de ne pas limi- nuage. Si le délai d’isolement est supérieur au temps de stabilisation, isoler aura pour
ter la prévention du phénomène de vieillissement à sa seule prise effet de réduire le temps de persistance du nuage explosible.

SE 2 090 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

YR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

_____________________________________________________________________________ MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI)

Tableau 3 – Exemple d’évolution de la masse explosible en fonction de la durée d’isolement


Temps de réponse de la MMRI
15 s 20 s 30 s
Conditions atmosphériques 3–F 5–D 3–F 5–D 3–F 5–D
Masse explosible ..............................................(kg) 543 440 638 471 726 480
3-F : vent 3 m/s et classe de Pasquill « moyennement à très stable »
5-D : vent 5 m/s et classe de Pasquill « neutre »
Nota : les distances d’effets présentées dans ce tableau ne sont pas génériques, mais liées à des hypothèses de modélisation non présentées dans le cadre de
cet article

1.3 MMRI parmi les MMR Les différents types de MMR sont présentés sur le schéma de la
figure 1.
Dans son rapport Ω 10 [3], l’INERIS propose de retenir la classifi- Nota : dans le rapport OMEGA 10 datant de décembre 2008, la terminologie utilisée
cation présentée en figure 1 pour caractériser les MMR. Les défini- est le terme de barrière (remplacé ici par MMR).
tions sont les suivantes :
À l’heure actuelle, la sémantique retenue par les inspecteurs
– MMR humaine : MMR constituée d’une activité humaine qui DREAL dans le cadre des instructions des EDD et PPRT est celle
s’oppose à l’enchaînement d’événements susceptible d’aboutir à rapportée sur le schéma de la figure 1.
un accident ;
– MMR technique : MMR constituée d’un dispositif de sécurité Il est important de bien comprendre que comme représenté sur
ou d’un système instrumenté de sécurité (SIS) qui s’oppose à la figure 1, les MMRI sont tout d’abord des MMR et que de ce fait,
l’enchaînement d’événements susceptible d’aboutir à un accident ; elles doivent répondre aux exigences de l’article 4 de l’arrêté du
– système à action manuelle de sécurité (SAMS) : MMR faisant 29 septembre 2005.
intervenir des éléments techniques et humains. Les MMRI peuvent donc être considérées comme un sous-
groupe de MMR. Deux types de MMRI sont à différencier :
– les MMRI qui couplent des dispositifs techniques (capteurs,
En croisant les définitions précédentes à celle d’une MMRI automate, etc.) et une action humaine (action opérateur). Ces
(cf. arrêté du 4 octobre 2010), il apparaît que les SIS et certains MMRI sont assimilables à des systèmes à action manuelle de sécu-
SAMS peuvent entrer dans la catégorie des MMRI. rité (SAMS) dans lesquels l’action humaine est limitée (§ 1.5.1) ;

MMR

MMR pouvant répondre à la définition


MMR MMR d'une MMRI au sens de l'arrêté du 4
humaines techniques octobre 2010

Systèmes à action
manuelle de sécurité
(SAMS)

Dispositif de
sécurité Systèmes
instrumentés de
sécurité (SIS)

Passif Actif

Figure 1 – Caractérisation des mesures de maîtrise des risques d’après l’INERIS [3]

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 2 090 – 5

YS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seRPYP

MESURES DE MAÎTRISE DES RISQUES INSTRUMENTÉES (MMRI) _____________________________________________________________________________

1.4 Contexte réglementaire

1.4.1 Arrêté du 4 octobre 2010


MMR de l’EDD L’arrêté du 4 octobre 2010, relatif à la prévention des risques
accidentels au sein des ICPE soumises à autorisation, définit des
dispositions relatives à la prévention des risques liés au vieillisse-
ment de certains équipements (réservoirs aériens cylindriques
verticaux, capacités, tuyauteries, massifs des réservoirs, cuvettes
MMRI de
de rétention, mesures de maîtrise des risques instrumentées). Les
l’EDD articles 7 et 8 sont applicables aux MMR faisant appel à l’instru-
mentation de sécurité et préconisent :
– la réalisation d’un état initial des MMRI ;
– l’élaboration d’un plan et d’un programme de surveillance des
MMRI ;
– l’élaboration d’un dossier pour chaque MMRI.
À titre de rappel, seuls les établissements soumis à l’arrêté du
10 mai 2000 modifié (SEVESO seuil haut ou SEVESO seuil bas)
MMRI PMII sont concernés par les exigences précitées.
Pour établir l’état initial, le programme de surveillance et le plan
de surveillance, les industriels peuvent s’appuyer soit :
– sur la base du guide professionnel reconnu par le ministère en
charge de l’Écologie ;
– sur la base d’une méthodologie développée par l’exploitant,
pour laquelle le préfet peut exiger une analyse critique par un
organisme extérieur expert, choisi par l’exploitant en accord avec
Figure 2 – MMRI : un type de MMR l’administration.
Ci-après les articles 7 et 8 extraits de l’arrêté du 4 octobre 2010.
– les MMRI qui ne comportent que des dispositifs techniques. Art. 7. – Le présent article est applicable aux mesures de maîtrise
Ces MMRI sont assimilables à des fonctions instrumentées de des risques, c’est-à-dire aux ensembles d’éléments techniques
sécurité (SIF). et/ou organisationnels nécessaires et suffisants pour assurer une
fonction de sécurité, faisant appel à de l’instrumentation de sécu-
rité visées par l’article 4 de l’arrêté du 29 septembre 2005 susvisé
et présentes au sein d’un établissement soumis à l’arrêté du 10
Valorisation des MMRI avec action humaine mai 2000 susvisé.
pour les « filtres probabilité » EDD et PPRT Sont exclues du champ d’application de cet article les mesures
de maîtrise des risques faisant appel à de l’instrumentation de
Le guide qui accompagne la note de doctrine précise que sécurité dont la défaillance n’est pas susceptible de remettre en
les MMRI avec action humaine ne peuvent pas être consi- cause de façon importante la sécurité lorsque cette estimation de
dérées comme des « MMR techniques » au sens de la circu- l’importance est réalisée selon une méthodologie issue d’un guide
laire du 10 mai 2010. Seules les MMRI ne comportant pas professionnel reconnu par le ministre chargé de l’Environnement.
d’intervention humaine peuvent être assimilées à des MMR L’exploitant réalise un état initial des équipements techniques
techniques et entrer dans le cadre de l’application des « filtres contribuant à ces mesures de maîtrise des risques faisant appel à
probabilité » PPRT et MMR. de l’instrumentation de sécurité.
À l’issue de cet état initial, il élabore un programme de sur-
veillance des équipements contribuant à ces mesures de maîtrise
Pour les MMRI qui ne comportent pas d’action humaine, comme des risques.
le présente le tableau 4, il est nécessaire de préciser que ce type L’état initial, le programme de surveillance et le plan de sur-
de MMRI et les SIF répondent à des exigences et à des cadres veillance sont établis soit sur la base d’un guide professionnel
différents. reconnu par le ministre chargé de l’Environnement, soit sur la

Tableau 4 – MMRI et SIF


MMRI SIF
Les MMRI sont définies en lien avec les scénarios d’accidents étudiés Les SIF sont définies à partir d’une analyse des risques (pas néces-
dans l’étude de dangers sairement réglementaires) qui vise à définir le niveau de SIL requis
nécessaire pour rendre le risque acceptable
Les MMRI doivent répondre aux exigences de la réglementation Les SIF doivent répondre aux exigences des normes de sécurité
ICPE : fonctionnelle : IEC 61508 et IEC 61511
1. loi du 30 juillet 2003
2. arrêté du 29 septembre 2005
3. circulaire du 10 mai 2010
4. arrêté du 4 octobre 2010

SE 2 090 – 6 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

YT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

Pondération des fréquences


de fuite dans le cadre des analyses
de risques industriels

par Olivier IDDIR


Ingénieur en analyse de risques industriels
Technip France
Service Expertise et Modélisation
Division Procédés et Technologies

1. Introduction ............................................................................................... SE 5 080 - 3


2. Quantification des fréquences de fuite :
une nécessité dans les analyses de risques quantifiées ............... — 3
3. Principe de la pondération des fréquences de fuite ...................... — 5
4. Répartition des causes de fuite sur canalisation ............................ — 8
5. Méthodologies et propositions en lien avec la pondération........ — 11
6. Comment choisir la banque de données à pondérer ? .................. — 26
7. Influence du système de management de la sécurité
sur la fréquence de fuite ........................................................................ — 29
8. Influence des méthodes risk based inspection (RBI)
sur la fréquence de fuite ........................................................................ — 30
9. Conclusion.................................................................................................. — 31
Pour en savoir plus ........................................................................................... Doc. SE 5 080

es fuites sur canalisation représentent une part importante des événements


L redoutés identifiés dans les analyses de risques réalisées dans le cadre des
études réglementaires françaises (étude de dangers), mais aussi dans le cadre
des études dites QRA (quantitative risk assessment).
Pour quantifier l’occurrence d’une fuite sur canalisation, l’une des méthodes
couramment utilisée consiste à extraire une fréquence d’occurrence dite
linéique (/an · m) d’une banque de données, et à la multiplier par le métré de la
canalisation. Cette manière de procéder a pour principal intérêt d’être relative-
ment simple à mettre en œuvre. En revanche, un certain nombre de questions
se posent quant à l’utilisation des valeurs « moyennes » rapportées dans les
banques de données. Il est alors nécessaire de distinguer deux types de
banques de données :
– les banques de données qui sont spécifiques à un secteur d’activité, telle
que l’EGIG 6th pour les canalisations de transport de gaz (pipe) ou l’UKOPA 4th
pour les canalisations de transport d’hydrocarbures (pipe) ;
– les banques de données « multisecteurs », telle que le CPR 18 E, plus
connu sous le nom de Purple Book.
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQQ

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 5 080 – 1

YU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________

Utiliser les fréquences de fuite rapportées par l’EGIG 6th dans le cadre d’une
analyse de risques portant sur une canalisation de transport de gaz ne pose a
priori pas de problème, puisque les valeurs rapportées dans cette banque de
données sont spécifiques à ce secteur d’activité. En d’autres termes, les
valeurs rapportées dans cette banque constituent de bons estimateurs des fré-
quences de fuite. En revanche, lorsque l’on souhaite évaluer la fréquence de
fuite sur une canalisation pour un secteur d’activité qui n’est pas couvert par
une banque de données spécifique, il se pose la question de la représentativité
des valeurs. En effet, comment juger si la valeur rapportée dans la banque est
trop pessimiste, ou au contraire trop optimiste, au regard des différentes
causes de fuite et mesures de prévention identifiées lors de l’analyse des ris-
ques. Pouvoir s’écarter à la hausse ou à la baisse des valeurs rapportées dans
les banques de données devient alors nécessaire si l’on souhaite mener une
analyse des risques spécifique en prenant en compte les particularités du
système étudié (nature et intensité des causes pouvant mener à la fuite, perfor-
mance des mesures de prévention mises en place par l’industriel, etc.).
Cet article propose de faire un point sur l’état des connaissances actuelles
sur le thème de la pondération des fréquences de fuite dans le cadre des ana-
lyses de risques quantifiées.

Termes et acronymes Définition


API American Petroleum Institute
Projet européen débuté en janvier 2002 dont l’objectif général était de proposer
une nouvelle méthodologie d’analyse des risques combinant les avantages
ARAMIS
des différentes méthodes rencontrées en Europe, à savoir les approches probabilistes et les
approches déterministes
CCPs (Center for Chemical Process Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE).
Safety) Le CCPs a pour objectif de promouvoir l’amélioration de la sécurité
Ouvrage rapportant des données probabilistes nécessaires à la réalisation d’analyse
de risques de type QRA. Ces données sont issues d’un consensus établi
entre les représentants des industries, les autorités compétentes et le gouvernement
CPR 18 E
des Pays-Bas. L’ouvrage a été rédigé par le RIVM (National Institute of Public Health
and the Environment ) et supervisé par une sous-commission sur l’évaluation du risque
du Committee for Prevention of Disasters (CPR)
CODETI Code de construction des tuyauteries industrielles
COMAH Control of major accidents hazards
DAE Dossier d’autorisation d’exploiter
EGIG European gas pipeline incident data group
Événement, courant ou anormal, interne ou externe au système, situé en amont
de l’événement redouté dans l’enchaînement causal, et qui constitue une cause directe dans
Événement initiateur les cas simples ou une combinaison d’événements à l’origine de cette cause directe. Dans la
représentation en « nœud papillon », cet événement est situé à l’extrémité gauche (définition
issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Événement conventionnellement défini, dans le cadre d’une analyse de risques,
au centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte
de confinement pour les fluides et d’une perte d’intégrité physique pour les solides.
Événement redouté
Les événements situés en amont sont conventionnellement appelés « phase
pré-accidentelle » et les événements situés en aval « phase post-accidentelle »
(définition issue de la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
Major accident reporting system
MARS Banque de données de l’Union européenne dont la finalité est de recenser
les accidents majeurs

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 5 080 − 2 est strictement interdite. − © Editions T.I.

YV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS

Termes et acronymes Définition


Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence
Mesure de prévention d’un phénomène dangereux (définition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident
Mesure de protection sur les éléments vulnérables (définition issue de la circulaire no DPPR/SEI2/MM-05-0316
du 7 octobre 2005)
L’évaluation de la performance des barrières de sécurité s’effectue au travers de leur
efficacité, temps de réponse et niveau de confiance au regard de leur architecture
Performance des MMR
(en référence à la norme EN NF 61 508) (définition issue de la circulaire
no DPPR/SEI2/MM-05-0316 du 7 octobre 2005)
PPRT Plan de prévention des risques technologiques
Au sens de l’article L. 512-1 du Code de l’environnement, la probabilité d’occurrence
d’un accident est assimilée à sa fréquence d’occurrence future estimée
Probabilité d’occurrence sur l’installation considérée. Elle est en général différente de la fréquence historique
et peut s’écarter, pour une installation donnée, de la probabilité d’occurrence moyenne
évaluée sur un ensemble d’installations similaires
RBI Risk based inspection
« Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73)
Risque
« Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51)
Quantitative risk assessment = analyse quantifiée des risques
QRA Analyse probabiliste dont le but est d’évaluer le niveau de risque pour un individu
(risque individuel) ou pour un groupe d’individus (risque sociétal)
UFIP Union française des industries pétrolières
UKOOA United Kingdom off shore operators association

1. Introduction 2. Quantification
Les enjeux liés à la réalisation d’analyses des risques deviennent
des fréquences de fuite :
de plus en plus cruciaux pour les industriels. En effet, à gravité
constante, un scénario d’accident peut, en fonction de sa probabi-
une nécessité
lité, nécessiter des modifications des concepts de sécurité, voire dans les analyses
dans le cas de la réglementation française, aboutir :
– au refus de l’autorisation d’exploiter (étude de danger réalisée
de risques quantifiées
dans le cadre de DAE) ;
– à la fermeture de site industriel dans le cas où l’acceptabilité
du site ne pourrait être démontrée au sens de la circulaire du 2.1 Rappel sur la quantification
29 septembre 2005 ; des risques
– à l’expropriation de riverains consécutivement à la mise en
œuvre d’un plan de prévention des risques technologiques (PPRT). La quantification des risques implique l’évaluation de la probabi-
L’évaluation des probabilités d’occurrence des accidents indus- lité et de la gravité des accidents. Cette dernière repose générale-
triels nécessite un degré de détail de plus en plus poussé, et donc ment sur une évaluation des distances d’effets, puis sur le
le recours à l’utilisation de méthodologies de plus en plus décompte des cibles impactées. L’évaluation de la probabilité,
complexes (arbre de défaillances, arbre d’événements, etc.) pour repose de plus en plus sur la mise en œuvre de méthodologies qui
lesquelles l’utilisation de banques de données est souvent nécessitent le recourt à l’utilisation de banques de données. La
nécessaire. Afin d’éviter de surestimer ou de sous-estimer les figure 1 présente de manière simplifiée les différentes étapes
risques, ou encore de réaliser des études « standard », il parait menées lors d’un processus de quantification des risques.
indispensable de s’écarter à la hausse ou à la baisse des valeurs Lors de l’évaluation des probabilités des accidents, trois princi-
rapportées dans les banques de données. Mener une réflexion sur paux facteurs doivent être évalués :
la nécessité de pondérer ces valeurs est aujourd’hui essentiel au
regard des enjeux liés aux analyses des risques. Ainsi, dans le – 1) la fréquence de l’événement redouté à l’origine de
cadre des projets d’ingénierie, estimer au plus juste les fréquences l’accident [SE 4 055] ;
de fuite est impératif, d’une part pour démontrer l’acceptabilité des – 2) la probabilité de défaillance des mesures de mitigation
risques, et d’autre part pour optimiser les coûts liés aux résultats [SE 4 057] [SE 4 058] ;
des études de sécurité (implantation des équipements, perfor- – 3) la probabilité d’inflammation (dans le cas des produits
mances à allouer aux chaînes de sécurité, etc.). inflammables) [SE 4 020].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 5 080 – 3

YW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________

Définition des scénarios


Fréquence
accidentels
des événements redoutés

Probabilité de défaillance
des barrières de sécurité
Évaluation Évaluation
de la probabilité (P) de la gravité (G)
Probabilité
d'inflammation

Divers (direction
des vents, etc.)
Évaluation du risque
(P x G)

Critères
d'acceptabilité
NON Barrière(s)
Risque acceptable ? de sécurité
supplémentaire(s)
OUI

Fin de l'analyse

Figure 1 – Principe d’évaluation des risques

D’autres paramètres sont parfois introduits dans le cadre de – substances inflammables (12,5 %) ;
l’évaluation des probabilités d’accident ; on peut citer par exemple – substances extrêmement inflammables (8,9 %) ;
la répartition statistique des directions de vent. – substances très toxiques (6 %).
Bien que l’objet de cet article ne soit pas de détailler les diffé- Cette étude permet aussi d’identifier le poids des différents équi-
rentes méthodologies permettant de quantifier les fréquences des pements à l’origine de la plupart des pertes de confinement recen-
événements redoutés, il est important de rappeler qu’il existe deux sées. Cette répartition est présentée dans le tableau 1.
approches :
1) l’approche dite « directe » qui consiste à allouer à l’événement La majorité des incidents se produit lors du fonctionnement nor-
redouté une fréquence extraite d’une banque de données ; mal de l’installation ; seuls 15,6 % des incidents se sont produits
2) l’approche dite « par calcul » qui consiste à évaluer la fré- durant une opération de maintenance.
quence de l’événement redouté à partir de la connaissance des fré- Les canalisations (en incluant les brides, les soudures, le corps
quences des événements initiateurs et des probabilités de et les open end ) sont à l’origine de 23,3 % des pertes de
défaillances des mesures de prévention. confinement ; celles-ci se produisent dans 51 % des cas durant le
À ce jour, l’approche directe est généralement retenue pour les fonctionnement normal de l’installation et 32 % durant une phase
événements redoutés de type perte de confinement sur capacité. de maintenance.
Cette approche est aussi préférée dans le cadre de la réalisation Une analyse plus profonde de la causalité des pertes de
des analyses QRA du fait du très grand nombre d’événements confinement permet de mettre en évidence une « défaillance » du
redoutés traités dans ce type d’étude. système de management de la sécurité.
L’analyse démontre que 81 % des incidents sont le résultat de
plans ou d’application de procédures inadéquats qui incluent :
2.2 Perte de confinement sur capacité :
événement redouté « type » – la conception de l’installation dans 25,6 % des cas ;
– la planification d’opération d’exploitation ou de maintenance
dans les analyses de risques qui représentent respectivement 15,6 % et 22,6 % des cas ;
Le rapport de projet mené par le Health & Safety laboratory, qui – la gestion des modifications dans 5,7 % des cas ;
vise à fournir des informations au HID (hazardous installations – la gestion du permis feu dans 4,9 % des cas ;
directorate ) [1], apporte des éléments qui permettent de mettre en – les procédures d’inspection dans 3,5 % des cas ;
évidence l’importance du poids des pertes de confinement au tra- – l’évaluation des compétences dans 1,7 % des cas.
vers des incidents et accidents recensés. Cette étude, effectuée en
Grande Bretagne sur une durée de onze ans (entre 1991 et 2002)
démontre que sur 2 500 incidents, 718 impliquent une perte de À retenir : l’étude du HSL permet de confirmer que la perte
confinement d’équipement. de confinement sur équipement constitue l’un des événements
La nature des produits impliqués dans ces incidents sont en redoutés récurrents lors de l’analyse des incidents et accidents
majorité (63,6 %) soumis aux réglementations COMAH (control of recensés dans l’accidentologie. Il ressort aussi l’importance du
major accidents hazards ) en Grande Bretagne. Ces produits sont système de management de la sécurité dans la prévention des
des : accidents, puisque 81 % des incidents recensés dans cette
étude sont le résultat de plan ou d’application de procédures
– produits toxiques (15,3 %) ;
– liquides très inflammables (13,2 %) ; inadéquats.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 5 080 – 4 est strictement interdite. – © Editions T.I.

YX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS

Tableau 1 – Répartition statistique des différents équipements à l’origine des pertes


de confinement (d’après l’étude du HSL [1])
Composant Nombre de perte Pourcentage
Équipement
de l’équipement de confinement (%)
Bride 50 7
Soudure 9 1,3
Canalisation (pipe work)
Corps de la canalisation 46 6,4
Open end 62 8,6
Bride 7 1
Réacteur Corps du réacteur 29 4
Open end 128 17,8
Bride 4 0,6
Vanne Corps de vanne 22 3,1
Open end 87 12,1
Bride 4 0,6
Réservoir de stockage Corps du réservoir 22 3,1
Open end 64 8,9
Raccordement 28 3,9
Flexible Corps du flexible 19 2,6
Open end 23 3,2
Bride 4 0,6
Autre équipement Corps 14 1,9
Étanchéité 18 2,5
Camion citerne durant phase de déchargement – 19 2,6
Pompe – 19 2,6
Scrubber – 13 1,8

3. Principe de la pondération sans apporter d’informations sur le secteur d’activité, la nature du


produit ou encore les conditions d’exploitation. Ces données sont
des fréquences de fuite donc considérées comme des données « génériques ».
La plupart des banques de données présentent comme principal
défaut de rapporter des valeurs « moyennes » qui peuvent ne pas
être représentatives du site faisant l’objet de l’analyse de risques. Il
3.1 Pourquoi pondérer les fréquences est indéniable qu’en fonction du niveau de sécurité (nombre,
de fuite ? nature, fiabilité et efficacité des barrières de sécurité), la probabi-
lité d’occurrence des accidents peut être plus ou moins grande. Il
Dans le cadre des analyses de risques quantifiées (QRA ou apparaît alors nécessaire :
autres), il est nécessaire de pouvoir estimer les probabilités
d’occurrence de phénomènes dangereux pouvant survenir – d’identifier les facteurs susceptibles de modifier (à la hausse
consécutivement à des événements, tels que des pertes de ou à la baisse) les fréquences d’occurrence d’événements redou-
confinement de capacité (brèche sur tuyauterie, rupture d’enceinte tés, tels que les brèches sur canalisation, les ruptures de piquage,
sous pression, etc.). Il existe à ce jour un certain nombre de ban- etc. ;
ques de données (HCRD, UKOPA, EGIG, etc.) dont l’analyse du – de proposer des facteurs de correction permettant de pondérer
contenu a fait l’objet d’un développement au sein de les valeurs rapportées par les banques de données en fonction des
l’article [SE 4 055]. Ces banques de données rapportent des fré- mesures de prévention mises en place.
quences de fuite issues d’une exploitation statistique du retour Bien qu’il soit couramment admis que les calculs réalisés dans
d’expérience. Ainsi, ces données peuvent être considérées comme le cadre des analyses de risques permettent d’obtenir une évalua-
« spécifiques » (puisqu’elles sont représentatives d’un échantillon tion des fréquences, et donc une incertitude sur les résultats, il
d’équipements similaires). En parallèle de ces banques coexistent reste nécessaire d’évaluer au plus juste ces valeurs. En effet, une
des banques de données qui rapportent des fréquences de fuite surévaluation des risques peut avoir des conséquences sur le coût
pour différents types d’équipements (canalisation, réservoir, etc.) des installations (du fait de la mise en place de dispositifs de sécu-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 5 080 – 5

YY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS _____________________________________________

3 × 10–5 3 × 10–5
ER ER
3 × 10–4 3 × 10–4

A B C A B C

10–5 10–5 10–5 Décote Décote 3 × 10–5 ε ε


d'un facteur 10 d'un facteur 10
10–4 10–4 10–4 3 × 10–4 ε ε

Cas d'une répartition de causes Cas d'une répartition de causes avec


« équiprobables » une cause prépondérante

Figure 2 – Principe de la décote

rité qui peuvent parfois ne pas se justifier au regard des risques).


Au contraire, une sous-évaluation des risques peut conduire à des
accidents majeurs préjudiciables pour l’industriel.
L’évaluation des fréquences d’occurrence des événements
redoutés de type perte de confinement sur capacité constitue une
étape prépondérante lors de la quantification des probabilités
d’occurrence des phénomènes dangereux de type incendie,
explosion ou dispersion de toxique. Une erreur lors de cette étape
peut avoir des conséquences significatives sur les conclusions de
l’analyse des risques et mener à des prises de décisions non perti-
nentes.

À retenir : dans le cadre des analyses de risques industriels,


la perte de confinement (brèche ou rupture) constitue un évé-
nement type qui est systématiquement étudié. La question de
la quantification des fréquences de fuite sur équipement revêt
Figure 3 – Arbre des causes non exhaustif dédié à l’illustration
alors toute son importance pour évaluer au plus juste les pro- de l’approche 1
babilités des phénomènes dangereux qui y sont associés.

Pondérer une fréquence de fuite peut se faire par différentes


approches :
3.2 Comment pondérer ?
– approche 1 : pondération de la fréquence de fuite d’un équipe-
Dès lors qu’une fréquence de fuite est disponible dans une ban- ment en prenant en compte le poids des différentes causes et la
que de données, il n’est pas aisé de justifier d’une éventuelle sur- performance des mesures de prévention mises en œuvre (appro-
cote ou décote de cette valeur. En effet, les analyses de risques ont che par arbre de défaillances) ;
parfois tendance à surévaluer l’impact des barrières de prévention – approche 2 : pondération de la fréquence de fuite d’un équipe-
sur la fréquence d’occurrence des événements redoutés de type ment par application directe de facteurs de pondération sans une
perte de confinement. Ainsi, il est courant de trouver des décotes analyse préalable des causes et des mesures de prévention mises
d’un facteur 10, voire 100, sans justification probante portant sur en place.
les fréquences issues des banques de données. Supposons,
comme le montre la figure 2, que trois causes de fuite (A, B, C) sur
capacité soient identifiées et que la banque de données consultée 3.2.1 Principe de l’approche 1
rapporte une fréquence de fuite de 3 · 10–5/an. Pouvoir décoter
cette fréquence d’un facteur 10 suppose donc : Dans cette approche, il est nécessaire de disposer au préalable
d’une fréquence de fuite issue de banque de données et d’une
1) de pouvoir décoter d’un facteur 10 chacune des branches répartition statistique des causes de fuite.
(dans le cas où toutes les branches de l’arbre seraient
équiprobables) ; Une fois ces données disponibles, une analyse de risques visant
2) de pouvoir décoter une branche qui représente la quasi-tota- à identifier les causes qui peuvent mener à la fuite doit alors être
lité de la fréquence d’occurrence (dans le cas où une cause pré- effectuée afin de construire un arbre des causes. Pour chacune
pondérante serait identifiée). d’elles, il faut recenser les mesures de prévention mises en place
par l’industriel et leur allouer une probabilité de défaillance.
La difficulté consiste à proposer des facteurs de pondération qui
puissent être justifiés. Si l’on souhaite donner du crédit à une telle L’arbre des causes présentées en figure 3 illustre l’application de
démarche, il est indispensable de pouvoir argumenter quant au cette approche qui permet de décoter la fréquence de fuite rappor-
choix des valeurs. tée dans une banque de données.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


SE 5 080 – 6 est strictement interdite. – © Editions T.I.

QPP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seUPXP

_____________________________________________ PONDÉRATION DES FRÉQUENCES DE FUITE DANS LE CADRE DES ANALYSES DE RISQUES INDUSTRIELS

Tableau 2 – Difficulté de mise en œuvre de la démarche « idéale »


Phase Difficulté
Évaluation du poids statistique Effectuer une répartition statistique des causes de fuite par taille de brèche qui correspond
de chaque cause au secteur d’activité faisant l’objet de l’étude.
• Savoir quelles sont les mesures de prévention mises en place sur les installations
qui composent le retour d’expérience. Les banques de données ne fournissent pas un tel
degré de détail et il est difficile de savoir quelles sont les barrières dont la « performance »
est déjà inclue dans la fréquence d’occurrence rapportée par la banque. En effet, il est
important de ne pas prendre en compte deux fois l’effet des mesures de prévention.
Évaluation de l’effet des mesures
En d’autres termes, seules des mesures de prévention jugées « spécifiques » peuvent
de prévention
être prises en compte lors de l’application de cette démarche.
• Allouer une probabilité de défaillance aux différentes barrières de prévention sachant
que certaines sont des barrières basées sur de l’organisationnel (plan d’inspection basé
sur une approche de criticité des lignes, etc.) ou sur des coefficients de sécurité par rapport
aux standards ou codes de conception (sur épaisseur de corrosion, etc.).

Évaluation du poids de Sélection d’une fréquence


Identification des causes
chacune des causes à l’aide de fuite générique dans
pouvant mener à la fuite
d’une répartition statistique (wi) une banque de données (FBdD)

Identification des barrières


Évaluation de la fréquence
de prévention mises en
de fuite
place
pondérée (Fp)

n
Fp = FBdD × ∑i =1(wi × Pdi )

Identification des barrières Évaluation de l’impact


de prévention spécifiques de ces barrières
au secteur d’activité étudié* de prévention (Pdi)

Figure 4 – Principales étapes de l’approche de pondération no 1

Nota : seules les barrières qui sont supposées ne pas être déjà prises en compte dans
la valeur de fréquence issue de la banque de données peuvent être retenues. À retenir : l’approche décrite dans ce paragraphe ne doit pas
être confondue avec la démarche de quantification d’un arbre
À partir de l’arbre présenté en figure 3, la fréquence de l’événe- des causes ou de défaillances. Dans l’approche faisant l’objet
ment redouté « Rupture guillotine de canalisation » se calcule de ce paragraphe, la fréquence de l’événement redouté F(ER)
comme suit : est évaluée à partir d’une valeur issue d’une banque de don-
nées F(BdD) qui est pondérée à l’aide de la répartition statis-
F(ER) = F′(C1) + F′(C2) + F′(C3) + F′(C4) tique des causes et des probabilités de défaillance allouées aux
F(ER) = F(C1)) × (Pd1) + F(C2) × (Pd2) + F(C3) × (Pd3) + F(C4) × (Pd4)) barrières de prévention.
A contrario, la quantification d’un arbre des causes permet
avec F(Ci) = F(BdD) × wi, d’évaluer la fréquence de l’événement redouté à partir des fré-
quences des événements initiateurs (ou causes) et des probabi-
F(BdD) fréquence de fuite issue de la banque de données,
lités de défaillance des barrières de prévention.
wi poids statistique de la cause no i,
Pdi probabilité de défaillance de la barrière no i. 3.2.2 Principe de l’approche 2
Cette approche, qui paraît relativement simple à mettre en Contrairement à l’approche 1, celle-ci est plus macroscopique.
œuvre, implique de détenir des données difficiles à trouver. Tout En effet, elle ne se base pas sur une pondération de chacune des
d’abord, il est impératif de disposer d’une répartition statistique de causes pouvant mener à l’événement redouté, mais pondère direc-
causes pouvant amener à la réalisation de l’événement redouté, tement la fréquence issue de la banque de données. Cette pondé-
afin de pouvoir évaluer le poids de chacune des causes. Ensuite, il ration repose généralement sur une identification au préalable
faut être en mesure de quantifier l’effet des barrières de préven- d’une liste de paramètres qui sont supposés avoir une influence
tion mises en place sur la fréquence des événements initiateurs. sur la fréquence de fuite. Ces paramètres font généralement
Pour chacune des deux phases de cette démarche « idéale », le intervenir :
tableau 2 liste les difficultés de mise en œuvre.
– la conception des installations (code utilisé, prise en compte de
La figure 4 présente les différentes étapes de cette approche. facteur de sécurité, etc.) ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie


est strictement interdite. – © Editions T.I. SE 5 080 – 7

QPQ
QPR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

Évaluation de la criticité
des équipements
Méthodes d’exploitation des jugements
d’experts
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique,
d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-Ingénieur – Docteur ès sciences
Professeur associé des universités retraité, Université Paris Est Créteil, France

1. Brainstorming SE 4 004 - 3
1.1 Origine et domaines d’applications ........................................................ — 3
1.2 Principes originaux du brainstorming .................................................... — 3
1.3 Adaptation de la méthode du brainstorming pour la recherche
de la criticité des équipements ................................................................ — 3
1.4 Déroulement d’une séance de brainstorming........................................ — 3
1 .5 Avantages et inconvénients de la méthode du brainstorming............. — 4
1.6 Conclusions ............................................................................................... — 4
2. Méthode Delphi ....................................................................... — 4
2.1 Origine et domaines d’applications ........................................................ — 4
2.2 Description de la méthode Delphi initiale............................................... — 5
2.3 Variantes de la méthode Delphi .............................................................. — 7
2.4 Avantages et inconvénients de la méthode Delphi ............................... — 7
2.5 Conclusions ............................................................................................... — 7
3. Méthode de l’Abaque de Régnier® ........................................... — 8
3.1 Origine et domaines d’applications ........................................................ — 8
3.2 Principe original de la méthode............................................................... — 8
3.3 Adaptation de la méthode pour la détermination de la criticité ........... — 8
3.4 Variante de la méthode Delphi : méthode de Delphi Régnier® ............ — 11
3.5 Avantages et inconvénients de l’Abaque de Régnier® .......................... — 12
3.6 Conclusions ............................................................................................... — 12
4. Méthode de notation Pieu ....................................................... — 12
4.1 Origine et domaines d’applications ........................................................ — 12
4.2 Principe de la méthode............................................................................. — 12
4.3 Variantes de la méthode Pieu .................................................................. — 14
4.4 Avantages et inconvénients de la méthode Pieu ................................... — 16
4.5 Conclusions ............................................................................................... — 17
5. Méthodes fondées de la maintenance basée sur la fiabilité (MBF) — 17
5.1 Origine et domaines d’applications ........................................................ — 17
5.2 Principes de la maintenance basée sur la fiabilité ................................. — 17
5.3 Méthodes de détermination de la criticité pour la MBF : RCM ............. — 18
5.4 Avantages et inconvénients des méthodes fondées
sur la maintenance basée sur la fiabilité ................................................ — 22
5.5 Conclusions ............................................................................................... — 22
6. Méthode d’Ishikawa (arbres causes-conséquence-5M) .............. — 22
6.1 Origine et domaines d’applications ........................................................ — 22
6.2 Principe général de la construction du diagramme d’Ishikawa............ — 22
6.3 Avantages et inconvénients du diagramme d’Ishikawa........................ — 25
7. Études comparatives des méthodes d’élaboration
de la criticité par jugements d’experts ........................................... — 26
8. Conclusion .............................................................................................. — 26
p。イオエゥッョ@Z@。カイゥャ@RPQT

Pour en savoir plus ........................................................................................ Doc. SE 4 004

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 004 – 1

QPS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

a criticité de certains équipements d’installations industrielles doit impéra-


L tivement être évaluée ; la défaillance de ces équipements peut avoir des
conséquences graves sur le personnel, l’environnement, le respect de la régle-
mentation, sans parler des conséquences d’arrêts de production.
Cependant, la détermination de la criticité des équipements en cours de
conception, ou déjà en phase d’exploitation, pose de nombreuses difficultés si
l’on ne dispose pas de données réelles de retour d’expérience archivées dans les
banques de données spécialisées. Cette situation se rencontre très fréquemment
dans de nombreuses entreprises où la connaissance est mémorisée par les diffé-
rents experts qui conçoivent, exploitent ou maintiennent ces équipements. On
notera cependant que souvent la qualité d’expert est ambiguë, voire contestée.
Pour pallier cette difficulté, il devient nécessaire de faire appel à des méthodes
qui reposent sur les connaissances d’un panel d’experts en comportement des
équipements. Pour obtenir un consensus d’experts, la majorité de ces techni-
ques repose sur les votes des experts en utilisant des questionnaires où chaque
réponse est codée suivant une échelle prédéfinie ou un codage par couleur.
La première méthode présentée dans cet article, le Brainstorming d’Osborn, est
un outil de créativité libre et ordonné qui permet de rechercher en groupe et en
toute liberté un maximum d’idées sur un sujet donné ou d’inventer des solutions
pour résoudre un problème. Cette méthode s’adapte à la recherche de la criticité
des équipements, en demandant à chacun des membres du panel d’experts de
donner leur avis sur la criticité du même équipement dont ils connaissent parfaite-
ment le fonctionnement en toute liberté et indépendamment des autres experts.
La seconde méthode Delphi a été mise au point dans les années 1950 par
Olaf Helmer à la Rand Corporation. La méthode implique un groupe d’experts
qui, sous la direction d’un animateur, répondent anonymement et de façon
individuelle aux questionnaires et reçoivent ensuite de la part de l’animateur la
synthèse des informations sous la forme d’une représentation statistique de la
réponse collective. Ensuite, l’animateur renvoie une autre série de question-
naires et assure le dépouillement et la synthèse, éventuellement sous forme
statistique, des réponses. Après quoi le processus se répète. L’objectif est de
réduire l’éventail des réponses pour obtenir un consensus. On présente égale-
ment les versions apparues avec Internet.
La troisième méthode correspond à celle de l’Abaque de Régnier®. Le
groupe d’experts se voit proposer une liste de questions (items) à laquelle
chaque expert doit répondre de façon non verbale en utilisant un code de sept
couleurs. Ensuite, en affectant une valeur numérique à chaque avis, on
construit plusieurs tableaux colorés pour définir des entités spécifiques à la
méthode. Leurs interprétations visuelles permettent de déterminer les items
qui font l’objet d’un consensus et d’identifier les experts minoritaires qui
envoient des « signaux faibles » définis par cette méthode.
La quatrième méthode décrit la méthode Pieu (pannes, importance de l’équi-
pement, état de l’équipement, utilisation). Avec cette méthode, la criticité des
équipements peut être définie avec précision par notation. Suivant le domaine et
les avis des experts, il est possible de choisir des grilles d’évaluation avec
différents poids associés à des critères définis de façon interne. La méthode
Méride (méthode d’évaluation des risques industriels) est succinctement décrite.
La cinquième méthode présente succinctement les concepts de la mainte-
nance basée sur la fiabilité (MBF) qui a pour objectifs de définir un programme
de maintenance préventive uniquement sur les équipements critiques. On y
présente les critères recommandés dans les normes internationales sur la RCM
(reliability centered maintenance).
Finalement, la sixième méthode décrite est celle d’Ishikiwa, également
appelée le diagramme de causes-effet. Après une description de la méthode
formelle, on présente le diagramme d’Ishikawa pondérée et une adaptation
pour la détermination de la criticité des équipements.
Pour chacune de ces méthodes, les avantages et inconvénients sont présentés
en insistant sur la robustesse des résultats compte tenu du fait que l’on fait appel
aux jugements d’experts et aux aspects psychologiques qui y sont liés.

SE 4 004 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QPT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

1. Brainstorming
Analyse
Brainstorming
fonctionnelle
1.1 Origine et domaines d’applications
Identification
Pour la détermination de la criticité des équipements d’une des défaillances
installation industrielle et en absence de retour d’expérience, il est des équipements
possible d’adapter la méthode dite du « brainstorming » ou
« remue-méninges », utilisée dans les entreprises pour trouver des
solutions innovantes, en réunissant un groupe d’experts des
équipements, piloté par un animateur, pour obtenir un consensus Identification
sur les différents attributs associés à la criticité des équipements. des conséquences
des défaillances
Pour atteindre cet objectif, il est indispensable de s’inspirer de la des équipements
méthode définie ci-dessous par son concepteur Alex Osborn [1] et
de faire les adaptations nécessaires.
Classification
1.2 Principes originaux du brainstorming de la criticité
des équipements
« On est plus intelligent à plusieurs que seul », tel est le principe
de base du brainstorming. Le brainstorming (association des
termes anglais « brain » [cerveau] et « storm » [tempête]) est une Figure 1 – Étapes d’une session de brainstorming – analyse
technique de créativité en groupe élaborée en 1940 par le publici- fonctionnelle
taire Alex Osborn. Selon lui, la qualité d’une idée ou d’une solution
naît de la quantité des propositions d’un groupe. Le principal
intérêt de la méthode provient du fait que des idées très nombreu- conception, exploitation, maintenance, sécurité et environnement
ses et originales sont produites. Pour cela, les suggestions et d’une personne prenant les notes.
absurdes sont admises durant la phase de production d’idées et de
stimulation mutuelle. En effet, des personnes ayant une certaine 1.4.1 Nomination d’un modérateur expérimenté
réserve peuvent alors être incitées à s’exprimer, par la dynamique
sur le sujet
de la formule et/ou par les effets volontaires (interventions) de
l’animation. Résultat : en dépit de la peur première de formuler La principale tâche de l’animateur est de rendre les séances de
une idée absurde, des idées excellentes peuvent se mettre à brainstorming aussi productives que possible. Son rôle est capital et
surgir. C’est pour amener à l’accouchement de ces bonnes idées il doit en particulier maîtriser le comportement des équipements et
en toute quiétude que l’absence de critique, la suggestion d’idées les effets de leurs défaillances. Il énonce le but recherché lors des
sans aucun fondement réaliste et le rythme, sont des éléments séances de travail, distribue le temps de parole lors d’un tour de table
vitaux pour la réussite du processus. par exemple, et finalement il réalise les documents de synthèse.
Cette tâche est complexe car elle implique de faire respecter
1.3 Adaptation de la méthode strictement les règles de base du brainstorming, de noter les avis
émis et de piloter subtilement le processus de classification de la
du brainstorming pour la recherche criticité des équipements, surtout si les séances de brainstorming
de la criticité des équipements sont des occasions uniques de rassembler les experts en raison de
La méthode du brainstorming a fait l’objet d’une adaptation pour la leur faible disponibilité.
définition de la criticité des équipements en fonction des
conséquences fonctionnelles des défaillances [2]. Cette adaptation a 1.4.2 Constitution de l’équipe de travail
été réalisée dans le domaine de la sécurité aéronautique et combine et planification des réunions et préparation
une approche fonctionnelle et la méthode classique du brainstorming. du brainstorming
Dans la phase fonctionnelle préliminaire de détermination de la
criticité, on procède en trois étapes : Le modérateur sélectionne les experts représentant les différents
– réalisation de l’inventaire des fonctions ; spécialistes des équipements et planifie les réunions.
– identification des défaillances du système (perte ou dégra- Ce sont des acteurs essentiels pour la détermination des équi-
dation des fonctions) et des équipements qui en sont la cause ; pements critiques.
– identification des conséquences potentielles des défaillances L’expérience montre qu’un groupe de quatre à six personnes est
des équipements et de leurs fréquences acceptables d’occurrence. tout à fait adéquat pour le brainstorming.
Comme cette première approche n’est que rarement exhaustive,
Comme en général les participants sont très sollicités par leurs
il devient nécessaire de faire appel à l’étape de brainstorming
responsabilités opérationnelles quotidiennes, le modérateur doit
réunissant un animateur et un panel d’experts spécialistes des
s’assurer auprès de leurs responsables hiérarchiques de leur
différents aspects liés à l’exploitation, à la maintenance, à la
disponibilité, sinon leur absence entraînera obligatoirement des
sécurité et aux aspects réglementaires.
retards. Pour une bonne efficacité des séances, il est indispensable
La figure 1 montre les étapes de la méthode. de procéder en plusieurs étapes :
– sélectionner et organiser les participants, en particulier les
experts opérationnels ;
1.4 Déroulement d’une séance – présenter aux membres du groupe les objectifs ;
de brainstorming – réparer l’approche de la méthode du brainstorming ;
Le brainstorming suppose le respect de certaines règles et un – préparer et préciser le contenu de la méthode de détermi-
déroulement en plusieurs étapes pendant les réunions de travail. nation des défaillances des équipements ;
Un groupe optimal pour obtenir la meilleure efficacité des séances – présenter les aspects pratiques de la détermination de la criti-
de brainstorming est composé d’un modérateur, d’experts en cité des équipements.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 004 – 3

QPU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

1.4.3 Déroulement du brainstorming 1.5.2 Inconvénients


Le rôle de l’animateur est de s’assurer que les règles d’or du Cependant, des expériences de psychologie sociale réalisées en
brainstorming sont respectées. Il veille à ce que le groupe ne soit laboratoire semblent démentir l’efficacité de cette méthode. En
pas dominé par certaines personnes et que le dialogue reste particulier, les travaux réalisés par Thomas A. Timmerman [3]
cordial et constructif. Tous les jugements émis sur la criticité de démontrent à partir de séances de brainstorming qu’un groupe
chaque équipement sont inscrits sur un tableau visible ou sur des d’individus ne conduit pas obligatoirement à un résultat meilleur
feuilles séparées de « paper-board » visible par chaque participant. qu’un individu très expérimenté, d’où sa faible efficacité.
Chacun se doit de respecter certains principes. Au niveau productivité, le « remue-méninges » apparaît en fait
presque comme une perte de temps.
■ Pas de censure Parmi les autres inconvénients, on peut citer les points suivants :
Le brainstorming n’est pas une séance de règlements de compte – nécessité d’une formation préalable de l’animateur à la
entre collègues. Aucun jugement ou aucune critique sur les idées pratique de cet outil ;
ne doit être émis afin de ne pas freiner le processus créatif de – efficacité conditionnée par le respect de règles strictes de
chacun. Cela suppose que chaque participant dépasse le stade de fonctionnement ;
l’inimitié, de la rivalité ou de l’inhibition pour donner libre cours à – risques de manque de réalisme dans les idées émises ;
l’expression de ses idées. – n’est pas efficace si une méthode essais-erreurs est
indispensable ;
■ Un moment d’égalité – beaucoup d’idées sont superficielles ;
Durant cette séance de réflexion collective, les rapports hiérar- – est mieux adapté à la résolution de problèmes simples ou
chiques sont laissés de côté. Ainsi, la présence du chef ne doit pas spécifiques ;
paralyser les participants dans leur réflexion. – limite souvent la reconnaissance des idées.

■ Un moment de liberté C’est la raison pour laquelle la technique du brainstorming est


remplacée de plus en plus par des techniques telles que le vote
Exprimer le plus grand nombre possible d’idées, de suggestions, par la méthode Delphi ou de l’Abaque de Régnier®. Ces méthodes
de propositions, c’est le but de cette réunion de réflexion, qui feront l’objet des paragraphes ultérieurs.
laisse toute sa place à l’originalité. La quantité des propositions
formulées permettra d’augmenter les probabilités de trouver des
idées valables. Chaque participant est donc invité à s’inspirer des 1.6 Conclusions
idées émises, à les développer, les enrichir, les compléter.
Après la phase de production des suggestions, l’animateur Historiquement, le brainstorming est la technique la plus
procède à l’exploitation des idées. Il reformule ou fait préciser les ancienne pour trouver des solutions en utilisant un groupe de
idées floues ou peu claires, il élimine les idées sans lien exploi- personnes à qui l’on demande de se prononcer ou d’émettre des
table avec le sujet traité, il supprime les redondances ou les formu- idées nouvelles pour résoudre un problème donné. Sa mise en
lations différentes ayant le même sens. place semble particulièrement simple, mais elle nécessite tout de
même un minimum de préparation et de définition méthodo-
Il hiérarchise les idées en utilisant éventuellement d’autres outils logique. Pour être efficace pour le problème de la détermination de
pour la sélection et le choix des idées (matrice multicritères, vote la criticité des équipements, un panel d’experts doit être sélec-
pondéré, etc.). tionné avec soins et les règles qui régissent le brainstorming
Après la séance, le modérateur, dans un délai de quelques jours, doivent être strictement suivies sous la responsabilité d’un
distribue les comptes-rendus de la réunion avec la liste numérotée animateur bien rodé aux conduites de réunions. L’expérience
des équipements considérés comme critiques par les participants montre que cette approche porte ses fruits si les thèmes abordés
en leur demandant des corrections et des ajouts. Il doit également sont suffisamment bien identifiés. Dans le cas contraire, elle
décider si une séance supplémentaire est nécessaire. s’avère inefficace et conduit à des pertes de temps.

Pour obtenir un rendement optimal d’une séance de brainstor-


ming, il est très important de prendre en compte les contraintes
principales logistiques suivantes :
2. Méthode Delphi
– utilisation d’une salle de réunion si possible dans un lieu
éloigné du lieu de travail habituel des experts (pour éviter leur
dérangement) ; 2.1 Origine et domaines d’applications
– demander aux membres du groupe de ne pas utiliser leurs La méthode Delphi a été développée par les militaires américains
téléphones portables ou consulter leurs courriels pendant les dans les années 1950 par O. Helmer à la Rand Corporation [4].
séances de travail (challenge très difficile pour le modérateur! ) .
Pour éviter les écueils des facteurs psychologiques liés au travail
de groupe, la technique Delphi a été mise au point pour éviter
l’effet d’opinion de groupe. Les résultats obtenus avec les
1.5 Avantages et inconvénients méthodes traditionnelles de discussion de groupe au cours de
de la méthode du brainstorming réunion en commun sont très souvent faussées par des facteurs
psychologiques tels que la présence d’une personnalité dominante
et persuasive, la tendance de certains experts à camper sur leur
1.5.1 Avantages position pour imposer leur point de vue sans vouloir accepter des
Le brainstorming traditionnel permet d’apporter des solutions à contradicteurs. La technique Delphi a été mise au point pour éviter
un problème donné grâce à un recoupement d’avis effectué par le ces travers en empêchant l’effet d’opinion de groupe et, de ce fait,
groupe de travail. Notamment, une bonne séance de en diminuant les contraintes psychologiques en réunion telle la
brainstorming : persuasion spécieuse (ou fallacieuse ou fausse), le refus de revenir
sur une opinion fausse énoncée en public ou l’effet train en
– produit de nombreux avis ; marche (band wagon effect ) sans esprit critique pour suivre la
– diffère le jugement et ainsi encourage la participation. majorité (effet mouton de panurge). La méthode Delphi évite ces

SE 4 004 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QPV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

COORDINATEUR Rappels statistiques


Panel experts
Soit une série statistique définie dans le tableau suivant :
Valeur x 1 x 2 ........ x p
A B C D E F Effectif n1 n2 ....... np
Fréquences f1 f2 ....... fp
Questionnaires
L’effectif total est donné par : N = n1 + n2 + .... + np et la fré-
ni
Envoi aux experts quence par fi = .
N
• Moyenne : la moyenne de cette série statistique (xk ; nk)
Envoi aux experts après analyses notée x ou µ est telle que :

RÉSULTATS, ANALYSES, DISCUSSIONS


n1 × 1+ n 2 × 2 + ... + n p p
x=
Figure 2 – Principes d’une étude Delphi N

travers observés pendant des discussions directes en réunion par • Variance : on appelle variance de la série statistique
une méthode définie avec beaucoup de soins avec une interro- (xk ; nk ) le nombre :
gation personnelle et anonyme de chaque expert à l’aide de
questionnaires consécutifs et individuels sous la responsabilité
d’un animateur. Entre chaque nouveau questionnaire, de nouvelles n1 (x1 − x ) 2 + n 2 (x 2 − x ) 2 + ... + n p (x p − x ) 2
V=
informations et de nouvelles justifications sont demandées à N
chaque expert jusqu’au moment où l’animateur aura obtenu un
consensus parmi tous les experts. La procédure est représentée • Écart type : l’écart type d’une série statistique est défini
sur la figure 2. Cette procédure appelée « élicitation » d’experts
permet d’obtenir les avis des différents experts qui ne se par : σ = V .
connaissent pas ; le département de la Défense américain définit Elle caractérise la dispersion autour de la moyenne.
l’« élicitation » (intelligence) comme l’acquisition d’information
auprès d’une personne ou d’un groupe avec une procédure qui ne • Médiane : la médiane Me d’une série ordonnée par ordre
dévoile pas l’utilisation des réponses qui seront fournies. croissant partage cette série en deux parties telles que la
moitié au moins prend des valeurs inférieures ou égales à la
L’objectif de ces questionnaires successifs est de diminuer médiane :
l’espace interquartile tout en précisant la médiane (encadré – si le nombre de données est pair, N = 2p : la médiane est
« Rappels statistiques »). la moyenne des pième et (p + 1) ième valeurs ;
La méthode Delphi utilise une interrogation personnelle et – si le nombre de données est impair, N = 2 p + 1 : la
anonyme de chaque expert à l’aide de questionnaires consécutifs médiane est la (p + 1) ième valeur.
et individuels sous la responsabilité d’un animateur. Entre chaque • Les quartiles : les valeurs d’une série d’effectif N sont
nouveau questionnaire, de nouvelles informations et de nouvelles rangées par ordre croissant :
justifications leur sont demandées jusqu’au moment où
l’animateur aura obtenu un consensus de tous les experts. Dans – le premier quartile Q1 de la série est la valeur xi dont
cette procédure d’élicitation d’experts, l’animateur renvoie de N
nouveaux questionnaires pour demander des justifications l’indice i est le plus petit entier supérieur à ;
4
détaillées sur leurs réponses. Il rassemble les différents avis et les – le troisième quartile Q3 de la série est la valeur xj dont
envoie aux autres experts pour commentaires et critiques, et éven-
tuellement pour obtenir un changement d’avis. Ainsi, les experts 3N
l’indice j est le plus petit entier supérieur à .
peuvent réviser leurs jugements initiaux et prendre en compte des 4
faits qu’ils avaient négligés en les considérant comme non impor- • Intervalle interquartile : c’est une mesure de dispersion.
tants ou totalement négligeables.
L’intervalle interquartile est l’intervalle [Q1 ; Q3].
• L’écart interquartile : l’écart interquartile est la différence
2.2 Description de la méthode Delphi Q = Q3 – Q1.
initiale Le schéma ci-dessous permet de visualiser ces caractéris-
tiques statistiques.
Dans un premier temps la démarche d’origine est présentée sachant
que de nombreuses variantes ont été développées par la suite avec
l’émergence des nouvelles technologies (Internet, réseaux sociaux) et 7 5 %
qui feront l’objet de paragraphes spécifiques dans ce chapitre. 2 5 %
■ Phase 1 : formulation du problème
L’élaboration du questionnaire doit se faire selon certaines Min Q1 Médiane Q3 Max
règles : les questions doivent être précises, quantifiables (elles
portent par exemple sur les probabilités de réalisation d’hypo-
Remarques : le couple (médiane ; écart interquartile) est
thèses et/ou d’événements, le plus souvent sur des dates de réali-
robuste par rapport aux valeurs extrêmes, mais sa détermi-
sation d’événements) et indépendantes (la réalisation supposée
nation (les quartiles) n’est pas très pratique. Plus l’écart inter-
d’une des questions à une date donnée n’a pas d’influence sur la
quartile est grand, plus la dispersion est importante.
réalisation d’une autre question).

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 004 – 5

QPW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPT

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

■ Phase 2 : choix des experts explicitement si celle-ci se situe hors de l’intervalle (Q1-Q3). Les
Le manque d’indépendance des experts peut constituer un experts renvoient les réponses, éventuellement les raisons.
inconvénient ; c’est pourquoi, par précaution, les experts sont iso- Il comporte deux parties principales : d’abord, les résultats et les
lés et leurs avis sont recueillis par voie postale ou par courrier réponses du premier questionnaire sont présentés sous forme de
électronique et de façon anonyme : on obtient donc l’opinion de liste ou de tableau ; ensuite, les experts classent les éléments de
chaque expert et non une opinion plus ou moins faussée par un résultats afin d’établir des priorités et sont autorisés à examiner
processus de groupe (pas de leader ). leurs réponses à la lumière de l’avis d’autres experts, à ajouter des
commentaires et à modifier leurs réponses.
■ Phase 3 : déroulement pratique et exploitation des résultats
Une fois le processus de sélection des experts achevé, un L’animateur traite ces informations et prépare le troisième
questionnaire est distribué à chaque membre du panel. Les questionnaire.
membres sont encouragés à tirer parti de leurs expériences et à Le troisième questionnaire et tous les questionnaires suivants
utiliser toutes les données historiques ou d’autres ressources pour contiennent trois grandes parties. D’abord, ils comprennent les
les aider à répondre aux questions posées. Toutefois, les experts réponses à toutes les questions précédentes, avec quelques
du panel ne doivent pas se consulter entre eux pour éviter un biais données statistiques permettant aux experts de voir comment
dans les réponses. leurs réponses sont liées à celles des autres membres du groupe.
Le premier questionnaire se compose généralement d’une ou de
deux questions. Celles-ci sont destinées à être ouvertes sur le Deuxièmement, ils incluent des commentaires et des raison-
domaine concerné. Les experts donnent leur avis et retournent le nements que les experts mettent dans leurs réponses. Troisiè-
questionnaire à l’animateur. mement, ils donnent l’occasion aux experts d’examiner et de réviser
leurs réponses précédentes. Puis le questionnaire est retourné à
Celui-ci examine les réponses et utilise cette information pour l’animateur. Ce troisième questionnaire vise à opposer les réponses
élaborer des questions plus spécifiques qui seront utilisées dans le extrêmes en rapprochant leurs arguments. Il est en outre demandé
deuxième questionnaire. à chaque expert de critiquer les arguments de ceux qui se situent
On notera que selon les versions de la méthode Delphi, on peut en-deçà de Q1 et au-delà de Q3. Comme on le voit, la convergence
utiliser une échelle de cotation comme l’échelle de Likert, est forcée, voire manipulée, puisque seuls les extrêmes sont oppo-
fréquemment utilisée dans les questionnaires de psychologie. Elle sés, alors qu’ensemble, ils représentent autant de réponses qu’il y
a été développée par le spécialiste en psychologie organisation- en a dans l’intervalle (Q1-Q3). En outre, il n’est jamais demandé aux
nelle Rensis Likert [5]. Dans la majorité des cas, une échelle à cinq extrêmes de critiquer les arguments de ceux qui sont dans l’espace
ou sept niveaux est utilisée. interquartile. La procédure Delphi est représentée sur la figure 3.
Ce premier questionnaire a pour objectif de repérer la médiane Ce processus se poursuit jusqu’à ce qu’un consensus définitif
et l’intervalle interquartile (encadré « rappels statistiques »). La soit atteint par le groupe (nombre de tours pouvant aller de 3 à 7).
médiane (deuxième quartile) est l’item au-dessous duquel 50 %
des experts pensent que l’évolution sera négative et au-dessus Un ingrédient clé de ce processus est l’anonymat des membres
duquel 50 % des experts pensent qu’au contraire, elle sera posi- du panel d’experts car il élimine de nombreux problèmes qui
tive. En prenant des seuils de 25 et 75 %, puis 75 et 25 %, on défi- découlent de préjugés et de l’influence de ses pairs.
nit aussi respectivement le premier quartile (Q1) et le troisième
quartile (Q3). L’espace interquartile est constitué par l’intervalle Cette méthode a été utilisée pendant la guerre froide pour
(Q1-Q3). L’animateur réalise une première synthèse pour élaborer connaître par exemple le nombre de bombes soviétiques néces-
le second questionnaire. saires pour détruire des sites industriels aux États-Unis. La
consultation de sept experts après trois questionnaires successifs
Le second questionnaire est élaboré et a pour objectif de réduire a permis de réduire de façon significative les premières
les positions contradictoires (c’est-à-dire l’intervalle Q1-Q3). Ce estimations comme indiqué sur le tableau 1.
questionnaire est envoyé aux experts pour qu’ils révisent leurs
positions et on demande explicitement aux experts ayant des On peut noter que le rapport initial maximum/minimum qui était
jugements extrêmes de se justifier. Cela signifie qu’il est demandé de 100 a été réduit à 360/167 très proche de 2 d’où l’efficacité
à chaque expert de fournir une nouvelle réponse et de se justifier remarquable de la méthode Delphi.

Tour 1 Tour 2 Tour 3 Tour n


Questionnaire 1 Questionnaire 2 Questionnaire 3 Questionnaire n

Coordinateur
Groupe • questionnaires Rapport
d’experts • dépouillements final
• analyse
• synthèse
• statistiques

Figure 3 – Différents votes d’une étude Delphi

SE 4 004 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QPX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

Évaluation de la criticité
des équipements.
Méthodes analytiques

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informatique,
d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès-sciences
Professeur associé des universités retraité
Université Paris-Est-Créteil, France

1. Classification des méthodes analytiques d’évaluation SE 4 005 - 2


et de réduction de la criticité ............................................................
1.1 Évolution des méthodes analytiques et leurs références ...................... — 2
1.2 Typologie des méthodes d’évaluation de la criticité ............................. — 3
2. Méthodes analytiques d’évaluation de la criticité....................... — 4
2.1 Analyse préliminaire des risques (APR) .................................................. — 4
2.2 AMDEC....................................................................................................... — 6
2.3 HAZOP........................................................................................................ — 8
2.4 What-if — 9
2.5 Arbre de défaillances ................................................................................ — 10
2.6 Blocs diagrammes de fiabilité – Arbre des succès ................................. — 12
2.7 Comparaison des méthodes analytiques utilisant
le retour d’expérience............................................................................... — 14
3. Méthodes de réduction de la criticité des conséquences
des défaillances des équipements.................................................... — 14
3.1 Présentation et principes .......................................................................... — 14
3.2 Barrières – mesure de maîtrise des risques............................................ — 15
3.3 Principe de la méthode des arbres d’événements ................................. — 16
3.4 Principe de la méthode du nœud papillon.............................................. — 17
3.5 Principe de la méthode MOSAR .............................................................. — 18
3.6 Principe de la méthode LOPA .................................................................. — 21
3.7 Comparaison des méthodes de réduction de la criticité
des conséquences d’une défaillance ....................................................... — 25
3.8 Recommandations .................................................................................... — 26
4. Conclusion............................................................................................... — 26
Pour en savoir plus ........................................................................................ Doc. SE 4 005

et article présente les principales méthodes d’évaluation de la criticité des


C défaillances des équipements industriels et les outils contribuant à la
réduction des conséquences des défaillances critiques des équipements. En
effet, dans de nombreux secteurs industriels, l’évaluation de criticité des
défaillances des équipements installés sur les installations représentent des
enjeux stratégiques. Le terme « criticité » faisant l’objet de différentes défini-
tions et interprétations, il sera considéré dans cet article comme une mesure
combinée des conséquences et de la fréquence d’occurrence des défaillances
p。イオエゥッョ@Z@ェオゥャャ・エ@RPQT

d’un équipement. Son évaluation permet, en particulier, de déterminer les

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 005 – 1

QPY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

impacts des dysfonctionnements sur la sécurité des personnels, les arrêts de


production, la qualité de service, les contraintes réglementaires pour les instal-
lations classées et le respect de l’environnement. En fonction des résultats
obtenus, il peut s’avérer nécessaire ou obligatoire vis-à-vis des réglementa-
tions d’avoir recours à des dispositifs matériels ou immatériels permettant de
réduire la criticité des conséquences des défaillances. Des outils ont été mis au
point pour répondre à ces besoins et à ces exigences.
Cet article présente les principales méthodes analytiques qui exploitent les
données de fiabilité extraites du retour d’expérience sur le comportement des
équipements. Dans le cas contraire, en absence du retour d’expérience, l’article
[SE 4 004] propose les méthodes utilisables pour l’évaluation de la criticité à
base de jugement d‘experts.
La première partie de l’article sera consacrée à la typologie des méthodes
d’évaluation et de réduction de la criticité. La seconde partie sera dédiée aux
descriptions succinctes des principaux outils analytiques utilisables pour quanti-
fier la criticité des défaillances des équipements. Pour chaque méthode, la trame
d’analyse sera : origine, principe, étapes. Seront ainsi passés en revue l’APR
(analyse préliminaire des risques), l’AMDEC (analyse des modes de défaillance
de leurs effets et de leur criticité), l’HAZOP (HAZard and OPerability study) uti-
lisée pour l’analyse des risques industriels, What-If (Que se passe-t-il si ?), les
arbres de défaillances, les blocs diagrammes de fiabilité-arbres des succès.
Pour guider le lecteur sur le choix le plus adapté à sa problématique, une
grille comparative des principaux attributs des méthodes est ensuite proposée.
Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, la
troisième partie résumera les principes des méthodes les plus utilisées pour
réduire les conséquences des défaillances critiques (barrières de sécurité,
arbres d’événement, nœud papillon, méthode MOSAR, méthode LOPA (Layer
Of Protection Analysis), avec également une comparaison des avantages et
inconvénients de ces méthodes de réduction de la criticité.
La conclusion portera sur l’évolution de ces démarches compte tenu de leurs
mises en œuvre de plus en plus fréquentes dans de nombreux secteurs indus-
triels, grâce notamment à la mise sur le marché de nombreux logiciels
commerciaux dédiés aux études de risques. Elle s’accompagnera également
d’une mise en garde sur des utilisations et interprétations inappropriées des
résultats obtenus en matière de maîtrise des risques.

1. Classification suivant cette norme en fonction de leurs impacts sur


l’accomplissement de la mission et sur la sécurité des
des méthodes analytiques équipements et des personnels. À partir de cette date, de
nouveaux besoins de méthodes liés à l’évaluation et à la préven-
d’évaluation tion des risques ont vu le jour suite aux nombreux accidents ayant
entraîné la mort de milliers de personnes et des impacts irrépara-
et de réduction bles sur l’environnement.

de la criticité Des années 1950 jusqu’à nos jours, plusieurs dizaines de


méthodes analytiques ont été développées dans différents
secteurs industriels et font l’objet de normes internationales de
guides d’applications spécifiques et d’ouvrages spécialisés. Afin de
1.1 Évolution des méthodes analytiques guider le lecteur pour un approfondissement des connaissances de
et leurs références ces outils, les principales références sont proposées en fonction de
leur date de publication :

Le 9 novembre 1949, l’armée américaine a publié la norme – 1988 : Alain Villemeur [2] présente dans son ouvrage neuf
MIL-P-1629 [1] qui a défini l’un des tous premiers outils méthodes d’analyse en sûreté de fonctionnement ;
analytiques de la sûreté de fonctionnement : l’AMDEC (analyse des – 2002 : Jérôme Tixier et al. [3] ont établi un inventaire de 62
modes de défaillances, de leurs effets et de leur criticité). méthodes pour l’analyse des risques pour les installations indus-
Initialement conçu pour les systèmes d’armement, cette norme trielles. Il classe les méthodes en deux groupes : qualitatifs et
avait pour objectifs de déterminer les effets des défaillances des quantitatifs, qui sont à leur tour divisés en trois catégories :
systèmes et des équipements. La criticité des défaillances s’évalue déterministes, probabilistes et mixtes ;

SE 4 005 − 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QQP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

__________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES

– 2006 : l’INERIS [4] dans son document sur les méthodes


d’analyse des risques générés par une installation industrielle,
fournit une typologie pour onze méthodes ;
– 2009 : la norme ISO/CEI 31010 [5] présente une sélection de
vingt-huit outils et techniques d’analyse de risques. Elle propose Événements
Défaillance
également une classification suivant leurs caractéristiques pour pouvant
l’identification, l’évaluation et l’analyse des risques ; conduire
à la défaillance
– 2011 : André Laurent [6] présente, dans son ouvrage dédié à la
sécurité des procédés chimiques, dix méthodes d’analyse de
risques incluant les méthodes de fiabilité humaine. Les définitions
de méthodes qualitatives et/ou quantitatives y sont également Analyse par approche inductive (Bottom Up approach)
fournies ;
– 2012 : Sam Mannan [7] propose une douzaine de méthodes
d’identification et d’évaluation des risques dans la quatrième Figure 1 – Principe d’une démarche inductive
édition de son ouvrage sur la prévention des risques dans les
industries classées dangereuses.

On constate un foisonnement de définitions relatives à la Causes


criticité dans les différentes publications et certaines d’entre possibles Défaillance
elles sont parfois ambiguës. pouvant -
La définition suivante sera retenue dans cet article en se conduire Événements
basant sur sa première définition élaborée en 1949 lors de la à la non désiré
miseau point des AMDEC : « La criticité est une évaluation défaillance
relative des conséquences et de la fréquence d’occurrence des
défaillances d’un équipement ».
Analyse par approche déductive (Top Down approach)
L’inventaire des métriques relatives aux différentes défini-
tions de la criticité est donnée dans cet article. Ici, les termes
employés correspondent aux définitions données dans les Figure 2 – Principe d’une démarche déductive
normes internationales ou bien sont requis dans les clauses
des cahiers des charges d’appels d’offres. Ils feront l’objet du
glossaire définissant les principaux termes les plus Pour les méthodes déductives basées sur la déduction logique
communément admis à la fin de cet article. qui est un procédé par lequel « on va du général au particulier »,
suivant le dictionnaire de l’Académie des Sciences, la démarche
est inversée puisque l’on part de l’événement non désiré, la
défaillance, et l’on recherche ensuite par une approche descen-
1.2 Typologie des méthodes d’évaluation dante toutes les causes possibles. Le système est supposé
de la criticité défaillant et l’analyse porte sur l’identification des causes suscepti-
bles de conduire à cet état. On part alors des défaillances pour
Une analyse approfondie de l’ensemble des méthodes remonter aux causes. Il s’agit à partir de l’événement majeur
d’évaluation de la criticité décrites dans les documents de réfé- d’identifier les combinaisons et enchaînements successifs d’événe-
rence énumérés au paragraphe précédent fait apparaître que les ments pour remonter jusqu’aux événements initiateurs comme le
concepts, les démarches mises en œuvre et les résultats obtenus montre la figure 2.
couvrent un spectre très large. Par conséquent, pour aider le lec-
Dans la terminologie anglo-saxonne, cette méthode est appelée
teur à choisir la méthode la plus appropriée, il est indispensable de
« Top-Down approach ».
mettre en œuvre une typologie pour classer de façon non ambiguë
les méthodes d’évaluation de la criticité.
Cet article ne concernant qu’un nombre réduit de méthodes 1.2.2 Méthodes qualitatives, semi-quantitatives
(AMDEC, HAZOP, What-if, arbres de défaillances, blocs et quantitatives
diagrammes de fiabilité, barrières, arbres d’événement, nœud
papillon, MOSAR, LOPA), une grille comparative de leurs principa- Les méthodes qualitatives d’analyse des risques sont utilisées
les caractéristiques sera présentée. dans la phase préliminaire d’évaluation des risques. Elles
consistent à identifier l’ensemble des situations dangereuses
susceptibles de survenir. Une analyse qualitative a pour objectif de
1.2.1 Méthodes déductives et inductives fournir principalement une appréciation. Une analyse qualitative
s’utilise dans des domaines où les connaissances sont peu
Basée sur l’induction logique définie par le dictionnaire de l’Aca-
formalisées ou difficilement quantifiables.
démie des Sciences comme la « manière de raisonner qui consiste
à inférer du particulier au général », les méthodes inductives sont L’analyse qualitative définit les conséquences, leurs probabilités
basées sur une analyse « montante » où l’on identifie toutes les d’occurrence et les risques en les qualifiant par exemple avec des
combinaisons d’événements élémentaires possibles qui peuvent mots tels que : très faible, faible, moyenne ou forte. Elle peut
entraîner la réalisation d’un événement unique indésirable : la combiner les conséquences et leurs probabilités d’occurrence et
défaillance. À partir des événements initiateurs, on identifie les évaluer le risque à l’aide de critères qualitatifs. Il est possible égale-
combinaisons et enchaînements d’événements pouvant mener ment d’utiliser une matrice de hiérarchisation qualitative de risques.
jusqu’à l’accident.
Les méthodes semi-quantitatives utilisent des échelles de
On dit généralement que l’on part des causes pour identifier les
notation numériques pour les probabilités d’occurrence et leurs
effets. Dans la terminologie anglo-saxonne, cette méthode est
conséquences. Les échelles de notation peuvent être linéaires ou
appelée « Bottom-Up approach ».
logarithmiques. Elles combinent ensuite ces valeurs en utilisant
La figure 1 représente le principe de la démarche inductive. des formules spécifiques au secteur industriel concerné.

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 005 – 3

QQQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

En prenant comme définition du risque : la « combinaison de la


probabilité d’un événement et de ses conséquences » suivant 2. Méthodes analytiques
ISO/CEI 73 [8], ou la « combinaison de la probabilité d’un
dommage et de sa gravité » suivant (ISO/CEI 51) [9], les méthodes
d’évaluation de la criticité
quantitatives permettent de quantifier et d’analyser les
conséquences des défaillances, les fréquences et les risques. Les Pour les systèmes industriels en cours de conception ou en
méthodes quantitatives, pour être fiables et crédibles, doivent faire phase d’exploitation, il est primordial de déterminer la gravité des
appel aux données de retour d’expérience de très bonne qualité. Il conséquences des défaillances des équipements mis en œuvre et
est important de souligner que les valeurs fournies sont des leurs fréquences d’occurrence. En s’appuyant sur les données de
estimations dont la précision dépend des données utilisées et retour d’expérience d’équipements analogues pendant la phase de
qu’elles doivent être considérées comme telles. conception, ou bien sur les données réelles collectées sur les équi-
pements en exploitations, il devient possible d’évaluer la criticité
des défaillances potentielles ou effectives des équipements. Les
1.2.3 Méthodes pour défaillance indépendante méthodes décrites dans les paragraphes suivants sont
ou pour défaillances combinées essentiellement dédiées à ces deux cas de figure.
Les méthodes analytiques peuvent se classer en deux catégories
en fonction du nombre de défaillances considérées ; les méthodes
à défaillance indépendante considèrent uniquement le cas où une
seule défaillance se produit sur l’équipement. Les résultats des 2.1 Analyse préliminaire des risques (APR)
analyses sont fonction des caractéristiques de cette seule
défaillance (taux de défaillance, probabilité d’occurrence, etc.). 2.1.1 Historique et domaines d’applications
Inversement, les méthodes d’analyses qui considèrent les probabi-
lités d’occurrence de défaillances pouvant survenir simultanément La méthode d’analyse préliminaire des dangers (APD) (Prelimi-
sont appelées méthodes pour défaillances combinées. nary Hazard Analysis ) [SE 4 010] [10] a été utilisée au début des
années 1960 aux États-Unis pour l’analyse de sécurité des missiles.
1.2.4 Méthodes déterministes et probabilistes La méthode initiale a pour objet d’identifier les dangers d’une ins-
tallation et ses causes (éléments dangereux) et d’évaluer la gravité
Dans le domaine particulier des installations à risques des conséquences liées aux situations dangereuses et aux acci-
industriels majeurs où l’on souhaite prévenir ou réduire les causes dents potentiels. L’identification des dangers est effectuée grâce à
d’un accident technologique (nucléaire, chimie, etc.). Il existe deux l’expérience et à la connaissance des spécialistes, à l’aide de lis-
grandes approches pour l’évaluation quantitative du risque tes-guides (check-lists ) d’éléments et situations dangereuses qui
industriel : l’approche déterministe et l’approche probabiliste. dépendent du domaine d’application. Par extension, on appelle
analyse préliminaire des risques (APR), la même analyse
Les méthodes déterministes tiennent compte des défaillances
complétée par une estimation de la probabilité d’occurrence des
réelles des équipements et quantifient les conséquences pour
situations dangereuses et accidents potentiels, ainsi que leurs
différentes cibles comme les personnes, les installations.
effets et conséquences.
Les méthodes probabilistes sont basées sur l’évaluation de la
probabilité d’occurrence des situations dangereuses ou de la
survenance d’un accident potentiel en fonction des probabilités 2.1.2 Principes
d’occurrence des défaillances des équipements.
Le principe de l’APR est d’étudier de façon préliminaire la sécu-
Les méthodes déterministes mettent l’accent sur l’évaluation et rité afin de mettre en évidence les dangers potentiels et les mesu-
le contrôle des conséquences d’un accident, tandis que les res ou exigences de sécurité à mettre en œuvre pour obtenir un
méthodes probabilistes se concentrent sur l’estimation de la niveau de sécurité acceptable. Les dangers potentiels concernent
probabilité d’occurrence de cet accident. souvent les substances dangereuses sous forme de matières pre-
L’approche déterministe consiste en effet à vérifier que les mières, d’équipements dangereux ou des opérations dangereuses
conséquences sont maîtrisées, tandis que l’approche probabiliste associées à l’installation industrielle.
se propose de démontrer que la probabilité est maintenue à des Ces méthodes sont utilisées pour la phase d’identification des
valeurs considérées comme acceptables. Ces deux approches sont risques et orientées vers la sécurité prévisionnelle pour des équi-
donc fondamentalement différentes puisqu’elles sont deux inter- pements en cours de conception.
prétations distinctes de la notion de risque. Ces approches sont
cependant complémentaires, et sont entreprises, par exemple, L’identification de ces éléments dangereux est fonction du type
dans le domaine de la sûreté des centrales nucléaires françaises. d’installation étudiée.
Le tableau 2 montre un exemple partiel d’entités dangereuses
1.2.5 Grille des caractéristiques principales en aéronautique.
des méthodes analytiques
Étant donné la richesse de la typologie des méthodes 2.1.3 Déroulement
analytiques, la majorité des publications référencées au
Il n’y a pas de méthodologie unique pour l’APR ni de standard
paragraphe 1.1 proposent des grilles décrivant les attributs des
unique. Deux démarches sont possibles pour ce type de
méthodes analytiques d’analyse de risque. Le lecteur pourra s’y
démarche :
référer pour plus d’informations complémentaires. Cette article
présentant seulement les principes des méthodes APR, AMDEC – démarche déductive : on part du général vers le particulier et
HAZOP, What-If, arbres de défaillances, blocs diagrammes de fiabi- on identifie les accidents potentiels et l’on recherche tout
lité-arbres des succès, barrières de sécurité, arbres d’événement, (élément + situation) ce qui peut conduire à cet accident (démarche
nœud papillon, MOSAR, LOPA, la grille du tableau 1 fournit leurs type recherche des causes) ;
principales caractéristiques. Concernant les caractéristiques de – démarche inductive : on part du particulier vers le général et
méthodes déterministes et probabilistes, et compte tenu de leurs on part des éléments du système ; on recherche comment ils peu-
domaines d’applications très spécifiques, le lecteur se reportera à vent, combinés à une situation dangereuse, conduire à un accident
la grille d’évaluation établie par Tixier [3]. potentiel.

SE 4 005 – 4 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QQR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

__________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES

Tableau 1 – Grille d’évaluation des caractéristiques des méthodes analytiques


Approche quan- Niveau
Approche Domaines Défaillances
Méthodes Objectifs titative/qualita- de
logique d’applications envisagées
tive complexité
Identification des dangers, évaluation
Toutes installa- et classement des risques associés et
APR Inductive Indépendantes Qualitative +
tions simples proposition des mesures de couver-
tures des risques
Systèmes Analyse des modes de défaillances, de
AMDEC Inductive Indépendantes Quantitative +++
techniques leurs effets et de leur criticité
Identification des dysfonctionnements
Procédés
de nature technique et opératoire pou-
HAZOP Inductive thermo Indépendantes Qualitative ++
vant conduire à des événements non
hydrauliques
souhaités
Inventaire des équipements pouvant
Toutes installa- Semi-
What-if Inductive être défaillants et évalution de la pro- Indépendantes +
tions simples quantitative
babilité et la gravité de leurs effets
Arbres
Évaluation de la probabilité
de
Toutes d’occurrence d’un événement redouté
défaillance Déductive Combinées Quantitative +++
installations à partir de l’occurrence des événe-
(quantita-
ments qui peuvent le produire
tifs)
Blocs
diagramme Détermination de la fiabilité globale
Toutes
de fiabilité Inductive d’un système à partir de la fiabilité des Combinées Quantitative +++
installations
(quantita- composants élémentaires
tifs)
Analyse des barrières ayant pour but
la réduction de la probabilité
Inductive Toutes
Barrières d’occurrence et/ou des effets Combinées Quantitative ++++
Déductive installations
et conséquences d’un événement
non souhaité dans un système
Détermination de l’ensemble
des séquences accidentelles
Arbres
Inductive Toutes susceptibles de se réaliser suivant
d’événe- Combinées Quantitative +++
Déductive installations que les barrières de protection
ment
remplissent ou non leur fonction
de sécurité
Visualisation et quantification
des scénarios d’accident qui pour-
Nœud Inductive Toutes raient survenir en partant des causes
Combinées Quantitative ++++
papillon Déductive installations initiales de l’accident jusqu’aux
conséquences sur les éléments
vulnérables environnants
Analyse des risques d’un système
Inductive Toutes à différents niveaux d’analyse et mise
MOSAR Combinées Quantitative ++++
Déductive installations en évidence des moyens de maîtrise
des risques
Évaluation du niveau de maîtrise
Inductive Toutes de risque avec les barrières existantes
LOPA Quantitative Quantitative ++++
Déductive installations sur un système et détermination
éventuelle de nouvelles barrières

L’utilisation d’un tableau d’analyse tabulaire constitue un outil [SE 4 010], il est important de retenir une trame qui contient les
utile pour synthétiser le raisonnement et assurer le raisonnement notions de gravité et d’occurrence des conséquences des défaillan-
intellectuel du groupe de travail chargé de la détermination de la ces des équipements dans le cadre d’une étude sur la criticité des
criticité des équipements. On remarquera qu’il n’y a pas de trame équipements.
unique, mais celle-ci doit au minimum contenir les résultats Dans le cadre de la recherche de la criticité des équipements, il
attendus de l’analyse et éventuellement d’autres colonnes est recommandé de mettre en œuvre des tableaux utilisés pour
(structuration, traçabilité). Cependant, comme indiqué dans ces analyses qui contiennent :

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 005 – 5

QQS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES __________________________________________________________________

Analysis : FMECA), développée aux États-Unis et utilisée depuis


Tableau 2 – Exemple d’événements dangereux septembre 1949 en spatial et en aéronautique, a été depuis géné-
en aéronautique ralisée à de nombreux domaines de l’industrie. Elle permet l’étude
Entités et situations dangereuses en aéronautique systématique des causes et des effets des défaillances (modes de
défaillance et effets) et de définir la gravité, la fréquence d’occur-
Entités dangereuses Situations dangereuses rence, la détectabilité et la criticité des conséquences des modes
de défaillances qui affectent les composants d’un système.
Combustible Accélération
Depuis sa première mise en œuvre en 1949, des adaptations ont
Propergols Contamination été apportées et concernent les AMDEC : produit, procédé, machi-
nes, moyens de production et organisationnelles. De très nom-
Catalyseurs chimiques Corrosion breuses normes internationales, nationales et sectorielles ont vu le
jour depuis plusieurs décennies. Parmi les standards les plus utili-
Charges explosives Réactions chimiques
sés et proposés dans la majorité des logiciels commerciaux
Conteneurs sous pression Explosion d’AMDEC figurent :
– MIL – STD-1629A [11] ;
– IEC – NF EN 60812 [12] ;
– le système ou la fonction étudiée ; – SAE J1739 [13] ;
– la phase de la mission où le danger peut se manifester ;
– l’entité dangereuse ; – SAE ARP 5580 [14] ;
– le (ou les) événement(s) causant une situation dangereuse ; – AIAG FMEA-4 [15].
– la situation dangereuse ; La norme CEI 60812 [16] sert en particulier très souvent de base
– le (ou les) événement(s) transformant la situation dangereuse aux normes nationales ou européennes et dans plusieurs secteurs
en accident potentiel ; industriels (Norme Cnomo dans l’automobile française par exemple).
– l’accident potentiel ;
– les conséquences de l’accident ; La méthode comprend quatre étapes et se caractérise par une
– une classification par gravité ; présentation sous forme de tableaux qui sont très souvent
– une estimation préliminaire de probabilité s’il s’agit d’une spécifiques à un secteur industriel concerné.
étude APR ;
– les mesures préventives éventuelles.
2.2.2 Principes
Le tableau 3 donne un exemple de trame APR.
Le principe de l’AMDEC, décrit dans de multiples ouvrages et
publications dont [SE 4 040] est d’identifier et de hiérarchiser les
2.1.4 Limites et avantages modes potentiels de défaillance susceptibles de se produire sur un
Un avantage principal de l’analyse préliminaire des risques est équipement, d’en rechercher les effets sur les fonctions principales
de permettre un examen rapide des situations dangereuses sur des équipements et d’en identifier les causes. Pour la détermina-
des installations industrielles. Elle possède l’avantage de ne pas tion de la criticité des modes de défaillance, l’AMDEC requiert pour
requérir des analyses très approfondies et est donc économique chaque mode de défaillance la recherche de la gravité de ses
en regard du temps requis. La méthode APR fournit une bonne effets, la fréquence de son apparition et la probabilité de sa détec-
vision d’ensemble sur les dangers et points critiques et une bonne tabilité. Quand toutes ces informations sont disponibles, différen-
vision d’ensemble des principes de mise en sécurité. Une de ses tes méthodes existent pour déduire une valeur de la criticité du
limites est son champ d’application à des installations simples et mode de défaillance. Si la criticité est jugée non acceptable, il est
ne permet pas de prendre en compte de combinaisons alors impératif de définir des actions correctives pour pouvoir cor-
d’événements complexes simultanés. riger la gravité nouvelle du mode de défaillance (si cela est effecti-
vement possible), de modifier sa fréquence d’apparition et
d’améliorer éventuellement sa détectabilité.
2.2 AMDEC
2.2.3 Déroulement
2.2.1 Historique et domaines d’applications
L’objectif de la méthode AMDEC est de compléter les informa-
La méthode AMDEC (analyse des modes de défaillance de leurs tions contenues dans des colonnes que l’on renseigne avec les
effets et de leur criticité (Failure Mode and Effects and Criticality données indispensables.

Tableau 3 – Trame type d’une étude APR

Tableau type de la méthode APR

Mesures
Événement
Sous- Événement de
Entité causant Situation Effets – Occurrence
système ou Phase causant un Accident Gravité prévention
dangereuse une situation dangereuse conséquences (fréquence)
équipement accident ou de
dangereuse
protection

          

          

SE 4 005 – 6 Copyright © – Techniques de l’Ingénieur – Tous droits réservés

QQT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPU

__________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS. MÉTHODES ANALYTIQUES

■ Définition du système, de ses fonctions et de ses composants ■ Établissement de leurs effets et de leur criticité
Dans cette première étape, on identifie les principales fonctions Dans cette étape, on recense les effets ou conséquences que
du système, ses limites fonctionnelles (systèmes et composants) peut avoir chaque mode de défaillance. Il convient de les évaluer
les spécifications relatives au fonctionnement du système, de ses sur le (ou les) niveau(x) supérieur(s), jusqu’au niveau le plus haut
composants ou de l’environnement du système. (effet local, effet au niveau immédiatement supérieur, effet final).
Ensuite, il est impératif de définir le niveau de définition de La criticité est l’expression de l’importance globale d’une
l’AMDEC : niveau procédé, niveau système, niveau composant ou défaillance donnée.
niveau pièce élémentaire.
Elle permet de hiérarchiser les défaillances selon leur influence
■ Établissement des modes de défaillance des composants et globale sur le système, le process, le client, etc. vis-à-vis des
leurs causes objectifs à maîtriser (sécurité, maintenance…).
Cette phase doit être la plus complète possible et demeure le Elle peut être exprimée par un paramètre ou une combinaison
point faible de la méthode. Un mode de défaillance décrit l’altéra- de paramètres tels que :
tion d’une fonction attendue. Les modes de défaillance sont définis
par rapport à un fonctionnement précis du système et sont donc – gravité : classe ou degré sur les effets des défaillances ;
dépendants de celui-ci. Pour aider l’analyse, on utilise des tableaux – probabilité d’occurrence : taux de défaillance, fréquence
comme le tableau 4 donnant quelques modes de défaillance de la d’apparition ;
liste-guide de modes génériques de défaillance (norme – détection : probabilité ou niveau, de détectabilité du mode de
EN 60812 [16] qui remplace la norme AFNOR X 60-510). défaillance ;
Suivant les besoins de l’étude, on recherche les causes attribua- – autres paramètres spécifiques aux particularités de l’étude
bles à chaque mode de défaillance et un mode de défaillance peut (durée de fonctionnement, temps moyen de réparation...).
avoir plusieurs causes. On recherche souvent la cause la plus élé-
mentaire (cause des causes). Pour évaluer la criticité, il existe plusieurs solutions. La première
solution consiste à utiliser un indice numérique de criticité souvent
appelé IPR (indice de priorité de risques) qui est le produit des
valeurs numériques données à la gravité, la probabilité
Remarques sur les notions de causes, modes et effets d’occurrence et la détectabilité du mode de défaillance suivant des
échelles propres à la norme d’AMDEC retenue :
Selon le niveau où l’on situe le problème, la cause devient
le mode ou bien l’effet. Indice de priorité de risque (IPR) = gravité × probabilités × détection
En raison du décalage dans l’arborescence fonctionnelle,
l’effet devient le mode de défaillance au niveau supérieur, et Pour définir si un mode de défaillance est critique, il appartient
le mode devient la cause au niveau supérieur. au groupe de travail de définir un seuil au-delà duquel
l’équipement sera considéré comme critique. Dans de nombreux
cas, on choisit le seuil au quart de la valeur maximale de la
criticité.
Tableau 4 – Exemple de modes génériques
de défaillance ■ Définition des actions correctives et nouveau calcul de la
Modes génériques de défaillance suivant la norme EN 60812 criticité

1 Défaillance structurelle Dans certaines études, si la criticité n’est pas acceptable, il est
demandé de définir des actions correctives telles que reconcep-
2 Blocage physique tion, maintenance préventive, moyens de prévention. Pour juger
9 Fuite externe de l’efficacité de ces actons correctives, il est de nouveau
indispensable de recalculer le nouvel IPR :
13 Fonctionnement intempestif
14 Fonctionnement intermittent IPR = gravité × probabilité × détection

19 Ne s’arrête pas Le tableau 5 donne un exemple de trame d’AMDEC.

Tableau 5 – Exemple de trame d’AMDEC

EXEMPLE DE TRAME d’AMDEC

Effet
au Gra- Fré- Détec- Action Gra- Fré- Détec-
Fonc- Effet Effet IPR ini- IPR
Mode niveau Cause vité quence tion correc- vité quence tion
tion local final tial finale
supé- initiale initiale initiale tives finale finale finale
rieur

Copyright © – Techniques de l’Ingénieur – Tous droits réservés SE 4 005 – 7

QQU
QQV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

Évaluation de la criticité
des équipements
Métriques et indicateurs de performance

par Gilles ZWINGELSTEIN


Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique, d’informati-
que et d’hydraulique
et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur
Docteur ès-sciences
Professeur associé des universités en retraite, Université Paris Est Créteil, France

1. Typologie des impacts des défaillances critiques ....................... SE 4 006 - 3


1.1 Notions de défaillance critique ................................................................ — 3
1.2 Classification des secteurs d’activités ..................................................... — 3
1.3 Classification des défaillances et de leurs conséquences ..................... — 4
1.4 Recommandations .................................................................................... — 7
2. Métriques et indicateurs de performance ...................................... — 8
2.1 Préambule.................................................................................................. — 8
2.2 Métriques pour les indicateurs de performance .................................... — 9
2.3 Données ..................................................................................................... — 10
2.4 Recommandations .................................................................................... — 12
3. Métriques et indicateurs de performance
pour les secteurs d’activités conventionnelles ............................ — 12
3.1 Préambule.................................................................................................. — 12
3.2 Indicateurs et métriques pour la maintenance ....................................... — 12
3.3 Indicateurs et métriques liés à la sûreté de fonctionnement ................ — 13
3.4 Recommandations .................................................................................... — 15
4. Métriques et indicateurs de performance
pour les secteurs d’activités dangereuses ..................................... — 16
4.1 Préambule.................................................................................................. — 16
4.2 Éléments de terminologie pour les dangers et les risques ................... — 16
4.3 Métriques et indicateurs de performance
pour les installations classés ICPE........................................................... — 17
4.4 Métriques et indicateurs de performance
pour les transports aériens et ferroviaires .............................................. — 19
4.5 Métriques et indicateurs de performance pour les industries
pétrolières et chimiques dangereuses .................................................... — 21
4.6 Recommandations .................................................................................... — 24
5. Conclusion............................................................................................... — 24
Pour en savoir plus ........................................................................................ Doc. SE 4 006

et article présente les métriques et indicateurs de performance utilisés


C dans les différents secteurs industriels pour évaluer et/ou contribuer à
p。イオエゥッョ@Z@ッ」エッ「イ・@RPQT

réduire la criticité des conséquences des défaillances des équipements.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 006 – 1

QQW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

Les responsables des entreprises et les organismes chargés d’établir et de


faire appliquer les réglementations doivent impérativement disposer de
tableaux de bord pour contrôler l’efficacité des dispositions mises en place
pour prévenir ou minimiser les conséquences des défaillances des
équipements.
Le terme métrique utilisé dans cet article vient de l’anglicisme du mot
« metrics » et se réfère aux méthodes de mesure par laquelle l’efficacité d’un
processus ou d’un produit peut être évaluée.
La grande majorité de ces moyens de suivi a été définie pour quantifier et
qualifier les impacts des défaillances critiques sur la rentabilité économique
des investissements, la sécurité des biens et des personnes, la disponibilité
opérationnelle, le respect des contraintes réglementaires pour les installations
dangereuses et l’environnement. Compte tenu du foisonnement des métriques
et des indicateurs de performance, un utilisateur non averti a toujours du mal
à sélectionner le jeu d’indicateurs le plus pertinent, et cet article a pour but de
lui servir de guide.
L’analyse approfondie de leurs définitions permet de séparer leurs domaines
d’application en deux catégories : d’une part le domaine des secteurs
d’activités classiques et non dangereuses pour le législateur, et d’autre part le
secteur des activités dangereuses et classées.
Deux familles d’indicateurs de performance ont été définies pour chacune de
ces catégories.
La première famille est conçue pour évaluer les performances calculées à
partir des données collectées sur les installations : elle permet d’avoir des
informations sur les conséquences des décisions du management prises en
amont. Ces indicateurs de performance sont appelés « lagging indicators »
dans la terminologie anglo-saxonne et appelés dans cet article « indicateurs
d’impact ».
La seconde famille concerne des indicateurs liés à des dispositions techni-
ques ou organisationnelles contribuant à terme à réduire la criticité d’une
défaillance. Qualifiés de « leading indicators » dans la terminologie
anglo-saxonne, ils seront appelés par la suite« indicateurs d’activités ».
La notion de criticité d’un équipement a de multiples interprétations, souvent
ambigües ; la première partie en proposera une définition. Les défaillances
n’ayant pas nécessairement les mêmes conséquences en fonction des secteurs
d’activités, une classification des secteurs d’activités conventionnelles et des
secteurs d’activités classées dangereuses sera présentée avec les réglementa-
tions associées pour cette dernière catégorie. Ensuite, une typologie des
défaillances identifiera trois classes de défaillances : organisationnelles,
humaines et techniques. Les défaillances organisationnelles et humaines étant
prépondérantes, le modèle « Swiss cheese » de James Reason sera développé.
Deux méthodes d’amélioration seront brièvement exposées : les méthodes
Tripod et ALARM. Ensuite, l’inventaire des impacts des défaillances sera
détaillé ; il concerne les impacts sur la sécurité des personnes, l’environ-
nement, la disponibilité, les conséquences financières, l’image de marque et
l’intégrité des biens. Enfin, pour les défaillances techniques des équipements,
une analyse des causes est proposée : conception, exploitation, maintenance,
facteurs organisationnels et humains (FOH) et les facteurs externes.
La deuxième partie explique le rôle fondamental des indicateurs de perfor-
mance pour les dirigeants et les différents responsables d’une entreprise. Les
sept étapes de processus d’élaboration d’un indicateur de performance sont
décrites dans la seconde partie. Elles concernent la définition des objectifs
recherchés à l’aide d’un indicateur, la sélection de l’indicateur de performance,
le choix des métriques, la collecte des données brutes, le calcul des valeurs
des indicateurs, la définition des actions correctives suite aux valeurs obtenues
et sa redéfinition s’il s’avère non pertinent. La troisième partie est consacrée
aux applications dans le secteur des activités conventionnelles. Dans la mesure
où des normes internationales ont été rédigées pour la maintenance et pour la

SE 4 006 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QQX
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

sûreté de fonctionnement, les indicateurs de performance associés seront pro-


posés. La quatrième partie sera dédiée aux activités classées dangereuses.
Après un rappel sur les différentes définitions relatives aux dangers et aux ris-
ques, le cas des installations classées ICPE en France sera traité. Le cas de la
réglementation internationale de l’OACI pour les transports aériens fera l’objet
d’un paragraphe particulier, ainsi que le cas des secteurs du transport ferro-
viaire. Pour les industries chimiques et pétrolières, les pays anglo-saxons se
basent sur des recommandations et normes particulières. Les principes de la
norme API 754 – Process Safety Performance Indicators de l’American Petro-
leum Institute seront succinctement décrits. Pour les industries chimiques, les
recommandations de l’American Institute of Chemical Engineers (AIChE) feront
l’objet de développements.
La conclusion énoncera des recommandations pour la mise en place d’indi-
cateurs et de leurs métriques avec également une vue perspective sur les
développements en cours.

1. Typologie des impacts geants et de leurs actionnaires est de fournir un retour sur inves-
tissements optimisé. Cependant, toute activité industrielle
des défaillances critiques implique des équipements et des personnels pour les exploiter.
Les responsables de ces entreprises sont obligatoirement soumis à
des réglementations concernant la santé et la sécurité des
personnels et le respect de l’environnement. Très souvent, une ins-
1.1 Notions de défaillance critique tallation conventionnelle comporte une partie dangereuse soumise
à réglementation.
Le choix des métriques et des indicateurs de performance, et la
collecte des données associées impliquent de définir les notions
de criticité et de défaillance critique. En effet, depuis la naissance 1.2.2 Secteurs d’activités soumises
des premiers concepts de la sûreté de fonctionnement dans les à règlementation
années 1930, de nombreuses définitions ont vu le jour. Dans cet
article, la définition de la criticité sera déduite de la norme Lorsque des atteintes à la santé et la sécurité des personnes ou
américaine sur les AMDEC (analyse des modes de défaillance, de à l’environnement sont susceptibles de se produire dans un sec-
leurs effets et de leur criticité) qui a vu le jour le 10 septembre teur d’activités donné, des réglementations nationales ou interna-
1949 sous le nom de Military Procedure 1629 (MIL-P-1629) et tionales ont été élaborées pour les encadrer. Ainsi, dans le
remise à jour par la Mil-STD 1629A [1] et qui définit la criticité domaine des activités industrielles dangereuses, le ministère de
comme étant une « mesure relative des conséquences d’un mode l’Écologie, du Développement durable et de l’Énergie réglemente
de défaillance et de sa fréquence d’occurrence ». À partir de cette et fait inspecter les installations classées pour la protection de
mesure relative, il est possible de définir un seuil au-delà duquel la l’environnement (ICPE) [2]. Les installations classées ICPE sont
conséquence sera considérée comme critique. La gravité des susceptibles de générer des risques ou des dangers, ou de provo-
conséquences d’un mode de défaillance critique, conformément à quer des pollutions ou nuisances, notamment pour la sécurité et la
cette même norme, prend en considération ses pires santé des riverains et pour l’environnement.
conséquences finales : par exemple, mort de personnes, blessures, Il existe quatre catégories d’installations classées :
atteintes aux biens et aux systèmes. Les paragraphes suivants 1. les installations soumises à déclaration : pour les activités les
décrivent les typologies des causes et des conséquences des moins polluantes et les moins dangereuses ;
défaillances pour deux familles de secteurs d’activités : les
2. les installations soumises à autorisation : pour les installations
secteurs d’activités conventionnelles et les secteurs d’activités sou-
présentant les risques ou pollutions les plus importants ;
mises à règlementation.
3. les installations dites « Seveso seuil bas » : cette catégorie
correspond au seuil bas de la directive européenne Seveso II ;
4. les installations soumises à autorisation avec servitudes
1.2 Classification des secteurs d’activités d’utilité publique (AS) : cette catégorie inclut les installations dites
« Seveso seuil haut » de la directive européenne Seveso II.
Les conséquences des défaillances des équipements varient de
façon très notable suivant leurs potentialités à induire des risques
ou des dangers pour la sécurité et la santé des personnels des
À partir de 2015, la réglementation SEVESO III remplacera
entreprises ou des riverains. Pour ces raisons, il est important de
la réglementation SEVESO II.
différencier le cas des secteurs d’activités conventionnelles de
celui des secteurs d’activités présentant des dangers et des
risques. Dans le domaine des transports ferroviaires, de nombreux
règlements régissent leur sécurité. L’Union européenne [3] a établi
1.2.1 Secteurs d’activités conventionnelles le règlement (UE) no 1078/2012 du 16 novembre 2012 concernant
une méthode de sécurité commune aux fins du contrôle que doi-
Les secteurs d’activités conventionnelles directement liés à vent exercer les entreprises ferroviaires et les gestionnaires
l’industrie représentent environ 80 % de toutes les activités d’infrastructure après l’obtention d’un certificat de sécurité ou d’un
recensées en France. La principale préoccupation de leurs diri- agrément de sécurité, ainsi que les entités chargées de l’entretien.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 006 – 3

QQY
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

Pour les transports aériens, l’Organisation de l’aviation civile


internationale (OACI) est l’organisme qui assure la normalisation
internationale des règles de sécurité. La DGAC (Direction générale Financières
de l’aviation civile) est chargée de sa transcription dans le droit
français [4].
Image de
Pour information, l’Autorité de sûreté nucléaire (ASN), Disponibilité
marque
réglemente et contrôle la sûreté nucléaire et la radioprotection en Défaillances
France. Les références [SE 3 010] et [SE 12] donnent des informa- • organisationnelles
tions complémentaires sur la sécurité et gestion des risques et les • techniques
facteurs organisationnels de la sécurité. • humaines
Intégrité
Environnement
des biens
1.3 Classification des défaillances Sécurité des
et de leurs conséquences personnes

Pour les secteurs d’activités conventionnelles ou classées


Figure 1 – Causes et conséquences des défaillances
dangereuses, les défaillances d’origine différentes sont inévitables
car les objectifs « zéro défaut », « zéro panne » et « zéro accident »
sont irréalisables en pratique. Une étape préalable à la définition majeure et non encore parfaitement résolue concerne les défini-
des métriques et d’indicateurs de performance consiste à établir tions de facteurs humains, d’erreurs humaines et de fiabilité
une classification des défaillances conduisant à des situations humaine. Ce paragraphe donnera des exemples de définitions les
jugées critiques. Elle permettra d’identifier les leviers appropriés plus appropriées pour une étude de criticité en soulignant qu’elles
pour entreprendre des actions de prévention et d’anticipation de ne réunissent pas obligatoirement un consensus au sein des
l’occurrence de défaillances. La figure 1 représente les communautés scientifiques dans cette discipline. Dans les années
conséquences principales des trois catégories principales de 1950 avec l’école des « Human Factors », l’homme était considéré
défaillance : essentiellement comme un élément de défaillance et était fré-
– défaillances organisationnelles ; quemment mis en cause dans l’analyse des catastrophes indus-
– défaillances humaines ; trielles et les accidents du travail [5]. Pendant plusieurs décennies,
– défaillances techniques. cette conception négative de l’intervention humaine reposait sur
Sur la figure 1, les différentes conséquences des défaillances une confiance sans faille dans la technique et sur une méconnais-
sont représentées, ainsi que leurs interrelations. sance des sciences humaines. On attribuait presque toujours les
causes des accidents aux facteurs humains liés aux erreurs et aux
fautes des opérateurs. Grace aux leçons tirées des analyses des
1.3.1 Typologie des défaillances grandes catastrophes industrielles (Bhopal, Three Mile Island,
Tchernobyl, Piper Alpha, etc.), ce point de vue réducteur a changé
Il est important de noter que les défaillances ne font pas l’objet notablement pour prendre en compte les facteurs organisationnels
de définitions uniques et il convient de s’assurer de la bonne dans lequel évolue l’opérateur humain [6]. Cambon [7] dans sa
acceptation de ces concepts au sein d’une étude de criticité thèse présente les quatre « ères » qui replacent ces évolutions
particulière. Les paragraphes suivants proposent les définitions les depuis les années 1930 :
plus communément admises pour les défaillances et leurs
– l’ère technique : fiabilité des systèmes techniques ;
conséquences.
– l’ère de l’erreur humaine : facteur humain ;
– l’ère organisationnelle : facteurs organisationnels ;
1.3.1.1 Défaillances organisationnelles – l’ère interorganisationnelle : culture de sécurité et résilience.
Les défaillances organisationnelles relèvent principalement de La résilience est la capacité d’un système à maintenir ou à réta-
problèmes de management car elles mettent en cause les blir un niveau de fonctionnement acceptable malgré des pertur-
méthodes et les procédures de travail, la communication entre les bations ou des défaillances [8]. Aujourd’hui, les facteurs humains
acteurs, l’organisation des équipes de travail et la fourniture des et organisationnels (FOH) sont pris en considération dans la majo-
moyens humains et logistiques. Elles peuvent contribuer de façon rité des activités industrielles ou de services. Samson [AG 1 520]
indirecte à la défaillance d’un équipement ou à un accident définit ainsi le facteur humain : « L’homme, ses comportements et
majeur. Ainsi les enquêtes menées, suite aux accidents des navet- ses modalités de fonctionnement, les facteurs internes et externes
tes Columbia et Challenger, ont pointé du doigt de nombreuses qui influencent ces comportements. L’incidence de ces comporte-
défaillances organisationnelles. Par exemple, une procédure de ments sur la qualité et la fiabilité » ou : « L’homme et ses interac-
maintenance inadaptée d’un équipement peut conduire à une tions avec les sous-systèmes humains, techniques, sociaux et
défaillance technique. De nombreuses normes et référentiels pro- organisationnels d’un système, le résultat de ces interactions en
posent des systèmes de management pour la qualité, la santé et termes de sécurité et de production ».
sécurité au travail, l’environnement, la communication et les rela-
tions humaines et le management des risques. Dans la suite de cet Les facteurs internes relèvent des caractéristiques individuelles
article, les normes directement liées à la détermination de la de l’opérateur, et les facteurs externes concernent particulièrement
criticité des défaillances feront l’objet de descriptions plus l’organisation du travail et l’environnement des conditions de
détaillées. travail.
L’erreur humaine peut être considérée comme l’incapacité à
1.3.1.2 Défaillances humaines atteindre un objectif donné selon une procédure prévue par suite
d’un comportement involontaire ou délibéré, ou bien l’erreur est
Les défaillances humaines représentent dans beaucoup un écart ou une déviation involontaire entre l’action et l’intention.
d’industries la source prépondérante de défaillances induisant la
majorité des conséquences décrites sur la figure 1. Selon l’Institut La fiabilité humaine est l’aptitude d’une entité (individu ou
de radioprotection et de sûreté nucléaire (IRSN), les défaillances équipe) à effectuer ses tâches de façon sûre, dans les délais et les
humaines et organisationnelles étaient à l’origine de 85 % des évé- exigences attendus.
nements significatifs pour la sûreté nucléaire en 2009. Dans le Depuis les années 1990, de nouveaux concepts et modélisations
domaine de l’étude des défaillances humaines, une difficulté ont été introduits pour comprendre pourquoi et comment les

SE 4 006 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QRP
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

accidents surviennent. Incontestablement, le modèle « Swiss cachées pour les opérateurs, peuvent se propager à l’intérieur du
cheese » ou « gruyère » développé par le Professeur James système de barrière et conduire à des erreurs actives.
Reason de la Manchester University au Royaume-Uni est actuelle-
ment le plus répandu. Ces travaux considèrent que l’erreur La figure 3 représente toute la chaîne causale pouvant conduire
humaine n’est plus la cause d’un accident, mais la conséquence à un accident.
d’un environnement organisationnel défaillant [9]. La figure 2 Le modèle initial de Reason a fait l’objet depuis son premier
représente le modèle de Reason. Il utilise un système de plaques concept de nombreuses modifications pour l’améliorer et le
correspondant à des barrières redondantes qui s’interposent entre compléter. Parmi ces améliorations, on peut citer la méthode
le danger et l’accident. Tripod développée par Cambon et Guarniéri dans le domaine de la
L’occurrence d’un accident se produit si toutes les barrières sécurité du travail et celle de la méthode ALARM dans le domaine
mises en place s’avèrent défaillantes. Les points faibles d’une médical.
barrière sont représentés par « trous » d’où le surnom de la La méthode Tripod [10] repose sur les analyses faites a poste-
méthode « Swiss cheese » ou « gruyère ». L’apparition simultanée riori sur les rapports d’accidents et d’incidents. Les conclusions de
de trous dans chacune des barrières peut alors provoquer ces analyses permettent de classer les défaillances latentes en un
l’accident. Le chemin ainsi défini entre le danger, les trous et nombre limité de onze facteurs types de risques organisationnels.
l’accident est alors appelé la « trajectoire accidentelle ». Les tra-
vaux de Reason se sont penchés sur les conditions d’apparition de La méthode ALARM a été développée dans le domaine de la
ces trous. Les erreurs actives correspondent aux conséquences prévention des risques hospitalier par Charles Vincent et son
d’erreurs commises par les opérateurs de première ligne. Selon équipe et publiée en 1998 [11]. Elle est inspirée directement du
son modèle, ces erreurs actives sont les conséquences de modèle de REASON. Les fondements de la méthode ALARM
mauvaises décisions organisationnelles prises par le management repose sur les constatations et définitions suivantes : Tout opé-
(conception, communication, planification, etc.). Ces dysfonction- rateur fait des erreurs, et il est même impossible d’imaginer un
nements organisationnels sont appelés « conditions latentes » et opérateur qui n’en fasse pas. Ces erreurs sont « patentes »,
sont les sources « d’erreurs latentes ». Ces erreurs latentes, visibles de tous.

Conditions latentes

Barrière
DANGER
n° 3
Barrière
n° 3
Barrière
n° 2

Barrière
n° 1

Erreurs actives

Accident

Figure 2 – Modèle « Swiss cheese » à plaques de Reason

Erreurs Conditions Erreurs Barrières/


latentes de travail actives défenses
Accident
Facteurs : Actes dangeureux :
Décisions du • charge de travail • oublis
management • supervision • report des tâches
• communication • erreurs cognitives
Processus • outillage (pertes mémoire et
organisationnel • connaissances fautes)
• aptitude • violations

Figure 3 – Chaîne causale d’un accident

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 006 – 5

QRQ
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPV

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

Erreurs latentes Erreurs patentes Défenses en profondeur


Pression à l’erreur par défaut Erreurs et violation par Dont certaines sont
d’organisation,de communication les acteurs érodées par la routine
ou de conceptions sûre des le manque de moyens
interfaces
Auto détection
et récupération

Événement
indésirable

Arrêt de progression
par une barrière
Pression à Mauvaise Fatigue
la production organisation stress
interface

Figure 4 – Le modèle ALARM de Vincent

• La sécurité repose sur des « défenses en profondeur » qui sont fréquente de l’occurrence des défaillances techniques. Ainsi, le
des procédures organisées pour récupérer les erreurs des choix d’une mauvaise nuance d’un acier entraînera à terme sa
opérateurs (aucune de ces procédures ou barrières n’est suffisante rupture par fatigue lors de sollicitations mécaniques répétées.
pour procurer une sécurité totale, mais leur empilement bloque
presque toutes les propagations d’erreurs dans le système. Une exploitation de l’équipement ne respectant les spécifica-
tions techniques d’exploitation est une source de défaillance
• L’organisation du travail, sa conception et son management classique. Par exemple, si l’opérateur d’un pont roulant manipule
par la hiérarchie, pèsent sur la fréquence et le type d’erreur des une charge dépassant la valeur limite de conception, cela induira
opérateurs. Mais les dysfonctionnements à ce niveau sont long- sa destruction structurelle. Il est important de noter que dans ce
temps invisibles : on les appelle des « erreurs latentes ». cas, le facteur humain y joue également un rôle important.
La méthode ALARM fournit un guide pour retrouver ces erreurs
latentes de l’organisation et de son management. Une politique de maintenance mal maîtrisée et/ou inefficace est
une source majeure de défaillances. À titre d’exemple, une mau-
La figure 4 illustre les principes et concepts de la méthode vaise périodicité du graissage d’un palier conduit inévitablement à
ALARM. une défaillance.
1.3.1.3 Défaillances techniques Comme largement développé au paragraphe 1.3.1.2 les facteurs
humains opérationnels et humains (FOH) sont des contributeurs
Les défaillances techniques sont définies dans la discipline de la
majeurs à l’apparition de défaillances techniques. Ainsi, un person-
sûreté de fonctionnement comme est la cessation de l’aptitude
nel mal formé ou non habilité pourra endommager un équipement
d’une entité à accomplir une fonction requise (norme NF EN 13306
et conduire à la défaillance, ou bien une procédure de maintenance
Maintenance – Terminologie de la maintenance) [12]. La
non remise à jour peut engendrer à terme une défaillance techni-
défaillance est observée à travers son mode et résulte d’une cause
que. Un inventaire exhaustif de toutes les causes liées aux FOH est
initiale. Elle se caractérise donc par le couple cause-mode. Le
impossible à réaliser en pratique. Chaque secteur d’activités dis-
mode de défaillance est la manière par laquelle la défaillance est
pose de son propre référentiel lié aux FOH. Les facteurs extérieurs
observée et correspond à une perte totale ou partielle de fonctions
qui conduisent à des défaillances techniques correspondent à des
assurées par l’équipement. La cause potentielle de la défaillance
agressions externes non prévues lors de la conception de l’équipe-
représente l’événement initial susceptible de conduire au mode de
ment. Parmi ces facteurs on peut prendre en compte :
défaillance. L’effet est la conséquence du mode de défaillance sur
le bon fonctionnement du moyen de production ou sur l’utilisateur – les environnements d’exploitation en dehors des plages spéci-
final du moyen. La figure 5 représente les facteurs qui contribuent fiées (humidité, pression atmosphérique, température, vibrations,
à l’occurrence des défaillances techniques. champs électriques et magnétiques, poussières, atmosphère
Une mauvaise conception des équipements conjuguée à la corrosive) ;
sélection de matériaux inadaptés ou trop fragiles est une cause – les sabotages ou actes de malveillance ;

Facteurs influants
sur les défaillances
techniques

Facteurs
Conception Exploitation Maintenance organisationnels Facteurs
et humains (FOH) externes

Figure 5 – Causes des défaillances techniques

SE 4 006 – 6 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QRR
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

Évaluation de la criticité
des équipements
Méthodologie globale
par Gilles ZWINGELSTEIN
Ingénieur de l’École nationale supérieure d’électrotechnique,
d’électronique, d’informatique et d’hydraulique et des télécommunications
de Toulouse (ENSEEIHT)
Docteur-Ingénieur
Docteur ès Sciences
Professeur associé des universités en retraite
Université Paris Est Créteil , France

1. Présentation de la méthodologie...................................................... SE 4 007 - 3


1.1 Objectifs ..................................................................................................... — 3
1.2 Étapes de la démarche méthodologique ................................................ — 3
2. Méthodes d’analyse fonctionnelle associées aux outils ............ — 4
2.1 Rôle et objectifs ......................................................................................... — 4
3. Sélection de la caractéristique mesurant la criticité
de l’équipement ..................................................................................... — 7
3.1 Préambule.................................................................................................. — 7
3.2 Caractéristiques qualitatives et quantitatives ......................................... — 9
3.3 Recommandations .................................................................................... — 9
4. Typologies des données de fiabilité pour la détermination
de la criticité........................................................................................... — 10
4.1 Préambule.................................................................................................. — 10
4.2 Données de fiabilité .................................................................................. — 10
4.3 Recommandations .................................................................................... — 11
5. Typologie des banques de données de retour d’expérience ..... — 11
5.1 Préambule et historique ........................................................................... — 11
5.2 Typologie des données contenues dans les banques de données ...... — 11
5.3 Principales banques de données de fiabilité .......................................... — 12
5.4 Recommandations .................................................................................... — 12
6. Différentes méthodes d’évaluation de la criticité ....................... — 12
6.1 Préambule.................................................................................................. — 12
6.2 Méthodes d’évaluation de la criticité par jugements d’experts ........... — 12
6.3 Méthodes analytiques d’évaluation de la criticité .................................. — 17
6.4 Méthodes de réduction de la criticité des conséquences
des défaillances......................................................................................... — 22
7. Conclusion............................................................................................... — 24
Pour en savoir plus ........................................................................................ Doc. SE 4 007

et article présente la méthodologie globale pour évaluer la criticité des


C conséquences des défaillances d’un équipement d’un système complexe
industriel.
Cette évaluation est d’une importance stratégique pour les dirigeants en leur
fournissant une vision instantanée des performances de leurs entreprises pour
p。イオエゥッョ@Z@ェ。ョカゥ・イ@RPQU

mettre en œuvre ensuite des actions de progrès si cela s’avère nécessaire. La


méthodologie préconisée dans cet article repose sur sept étapes principales.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 007 – 1

QRS
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

La première étape insiste sur le besoin de définir les objectifs précis d’une
étude de criticité qui doivent être validés et entérinés par les dirigeants de
l’entreprise. En effet, ces évaluations de la criticité peuvent concerner des
aspects économiques, stratégiques, financiers, réglementaires, techniques,
organisationnels. Elles pourront servir à l’établissement d’indicateurs de per-
formance et/ou à l’élaboration de tableaux de bord.
La deuxième étape propose une organisation du groupe de travail regrou-
pant tous les acteurs indispensables pour mener à bien l’étude de criticité.
En fonction des objectifs définis dans la première étape, la troisième étape cor-
respond à la définition précise du système, de ses équipements et de ses limites.
La quatrième étape décrit les principales méthodes d’analyse fonctionnelle.
Ces méthodes sont indispensables pour réaliser des arborescences fonction-
nelles et/ou matérielles d’un procédé industriel complexe. L’objectif de ces
méthodes est d’aider à comprendre les raisonnements en visualisant le chemi-
nement entre les causes et les différents effets des défaillances et à définir le
niveau approprié du critère. Les méthodes FAST, SADT®, IDEF0 et Apte® feront
l’objet de descriptions succinctes.
La cinquième étape propose une sélection des métriques et indicateurs de
performances les plus appropriés aux objectifs recherchés. Les indicateurs
d’impacts « lagging indicators » et les indicateurs d’activité « leading
indicators » feront l’objet de descriptions spécifiques. Parmi le grand foisonne-
ment de métriques et d’indicateurs de performance « clés », les échelles de
cotation de la gravité et de la fréquence d’occurrence, les ordres de priorité de
risque (RPN) et la courbe de Farmer seront exposés. Il sera fait également réfé-
rence aux principales normes internationales définissant des indicateurs de
criticité organisationnels, économiques et techniques.
La sixième étape fournit une typologie des données de fiabilité nécessaires à
la construction des métriques de mesure de la criticité. Ces données étant par
nature des variables aléatoires, seules des estimations statistiques sont possi-
bles. Les méthodes d’estimation ponctuelles ou par intervalles sont décrites et
les principes des estimations des lois de probabilité par les approches fréquen-
tistes et bayésiennes y sont rappelés.
La septième étape établit un inventaire des banques internationales de
données de fiabilité (MIL-HDBK-217F, OREDA, NSWC, Telcordia Issue 3, RIAC
217Plus, IEC TR 62380, FIDES, CHINA GJB/z 299B, Weibull Database Barringer)
en mentionnant le degré d’obsolescence de certaines d’entre elles. Il y sera
souligné que pratiquement toutes ces banques donnent des taux constants de
défaillance suivant la loi exponentielle. La liste des autres banques sera men-
tionnée par souci d’exhaustivité. Dans la septième étape, les principaux outils
pour évaluer la criticité des défaillances des équipements sont présentés en
suivant pour chaque méthode la trame suivante : origine, principe, avantages
et inconvénients. La première famille d’outils est consacrée aux méthodes qua-
litatives à base des jugements des experts quand les données de fiabilité ne
sont pas disponibles (brainstrorming, Delphi, Abaque de Régnier®, méthodes
PIEU et Méride, Méthode de la MBF (maintenance basée sur la fiabilité et le
diagramme d’Ishikawa). La seconde famille est dédiée aux outils quantitatifs
d’évaluation de la criticité en soulignant les métriques utilisées. Seront passés
en revue : l’APR (analyse préliminaire des risques), l’AMDEC (analyse des
modes de défaillance de leurs effets et de leur criticité), l’HAZOP (HAZard and
OPerability study) utilisé pour l’analyse des risques industriels, What-If (Que se
passe-t-il si ?), les arbres de défaillances, les blocs diagrammes de fiabilité.
Pour guider le lecteur sur le choix le plus adapté à leur problématique, une
grille comparative des méthodes est ensuite proposée.
Dans l’éventualité où la criticité des défaillances s’avérerait inacceptable, on
recense les méthodes les plus utilisées pour réduire leurs conséquences (bar-
rières de sécurité, arbres d’événements, nœud papillon, méthode MOSAR,
méthode LOPA (Layer Of Protection Analysis). En conclusion, des recommanda-
tions seront émises pour s’assurer que les résultats obtenus sont conformes aux
objectifs recherchés et de nouvelles approches seront mises en perspective.

SE 4 007 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QRT
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

1. Présentation 1.2.1 Définitions des objectifs de la détermination


de la criticité
de la méthodologie Les définitions des objectifs recherchés sont primordiales dans
une étude de la détermination de la criticité car elles conditionnent
le contenu et le niveau de détail de toutes les étapes suivantes.
1.1 Objectifs Elles doivent également prendre en compte la structure des systè-
mes étudiés, leurs environnements et leurs interactions avec
d’autres systèmes. La criticité d’un équipement peut être utilisée
Suivant les secteurs d’activités (industriels, aéronautiques, trans- en fonction de la sévérité des conséquences des défaillances,
ports, médicaux, agroalimentaires, pharmaceutiques, nucléaires, comme les impacts sur :
etc.) plusieurs dizaines de méthodes ont été mises au point et
appliquées avec succès. L’objet de cet article est de présenter la – la vie des personnes internes ou externes à l’entreprise ;
méthodologie à mettre en œuvre pour obtenir une évaluation per- – l’intégrité des installations ;
tinente de la criticité. – les pertes de production ou de qualité ;
– la réglementation sur l’environnement ;
Un procédé industriel, représenté sur la figure 1, est un ensem-
ble complexe d’équipements, logiciels, personnels et processus – le respect de la réglementation en matière de risques ;
d’utilisation organisé de manière à satisfaire les besoins et remplir – les coûts de maintenance ;
les services attendus dans un environnement donné [1]. – l’image de marque de l’entreprise.
Parmi toutes les définitions de la criticité disponibles, celle de la Les utilisateurs des résultats d’une étude de la détermination de
norme CEI 60812 [2] sera retenue : La criticité, est la combinaison la criticité peuvent rentrer dans les catégories suivantes :
de la sévérité d’un effet et de la fréquence de son apparition, ou 1) les organismes chargés de faire respecter les réglementations ;
d’autres attributs d’une défaillance, comme une mesure de la 2) les dirigeants des entreprises qui souhaitent disposer d’indi-
nécessité d’un traitement ou d’une atténuation. cateurs de performance ;
3) les concepteurs d’installations industrielles nouvelles ;
4) les responsables de maintenance.
1.2 Étapes de la démarche La criticité servira de métrique pour définir des indicateurs de
méthodologique performance d’activités ou d’impact. Suivant [SE 4 006] les indica-
teurs d’impact (lagging indicator ) permettent de constater et de
Quel que soit l’outil final retenu pour définir la criticité des équi- mesurer les impacts des décisions organisationnelles ou techni-
pements, la démarche méthodologique rassemblant un ensemble ques prises auparavant dans l’entreprise par le management. Ils
de méthodes se décompose en plusieurs étapes : fournissent des « photographies instantanées » des performances
réelles et sont ainsi appelés indicateurs « réactifs », a posteriori.
– définition des objectifs de la détermination de la criticité ; Les indicateurs d’activités (leading indicators ), par opposition, ont
– mise en œuvre du groupe de travail ; été développés pour identifier si les entreprises ont mis en place
des mesures permettant de corriger de façon proactive des indica-
– définitions du système à étudier et de ses limites ; teurs d’impact jugés non satisfaisants.
– analyse fonctionnelle de l’équipement ; Une fois les objectifs définis, il convient de mettre en place un
– sélection de la caractéristique mesurant la criticité de groupe de travail spécifique qui réalisera les études de criticité et qui
l’équipement ; rendra compte de l’avancement des travaux au niveau des dirigeants.
– établissement de la typologie des données de fiabilité ;
– établissement de la typologie des banques de données de 1.2.2 Mise en œuvre du groupe de travail
retour d’expérience ;
Pour être aussi exhaustive que possible, l’analyse de la criticité
– sélection et mise en œuvre de la méthode d’évaluation de la doit être menée au sein d’un groupe de travail réunissant des spé-
criticité. cialistes des installations étudiées.
De manière générale, les outils d’analyse de la criticité sont mis
en œuvre dans le cadre de groupe de travail animé par le respon-
sable du projet.
La composition conseillée du groupe d’experts techniques
contribuant à l’étude sur la criticité peut être, à titre d’exemple, la
suivante :
– responsable du projet ;
– personne chargée de la conception ;
Équipements PROCESSUS – personne chargée de la sécurité des personnes ;
INDUSTRIEL – spécialiste du fonctionnement du procédé ;
– personne chargée de la maintenance ;
Personnels
Techniques – spécialiste du contrôle commande ;
– personne travaillant en production ;
Logiciels – personne chargée de la réglementation du travail ;
– personne chargée de la réglementation sur les risques et
l’environnement.
Pour être efficace, une équipe ne doit pas comporter plus de
Figure 1 – Schéma d’un procédé industriel sept ou huit personnes au total.

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 007 – 3

QRU
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

1.2.3 Définition du système à étudier 1.2.8 Sélection et mise en œuvre


et de ses limites de l’outil d’évaluation de la criticité
Pour éviter toute ambiguïté sur le domaine de validité de l’étude Dans cette étape, il faut sélectionner un ou plusieurs outils pour
de criticité, la définition du système et ses limites physiques doi- mener l’analyse de la criticité. Parmi les dizaines d’outils dévelop-
vent être clairement identifiées. Il est indispensable de fournir : pés depuis plusieurs décennies, il est possible de proposer une
classification basée sur les modes de raisonnement liant les cau-
– une description détaillée sur les composants de l’équipement ses aux conséquences des défaillances : méthodes inductives
avec leurs caractéristiques, leurs rôles et leurs fonctions ; (Bottom-up ) des causes aux conséquences ou déductives
– les entrées fournies par des systèmes « serviteurs » (électricité, (Top-down ) des conséquences aux causes.
air comprimé, etc.) ;
En absence de données de retour d’expérience, les méthodes
– les sorties du système vers des systèmes extérieurs basées sur les jugements des experts peuvent être mises en
« utilisateurs » ; œuvre. Le paragraphe 6 donnera les principes des techniques
– le niveau et la nature des redondances ; suivantes d’élicitation d’experts : brainstrorming, Delphi, Abaque
– les phases de la mission du système (arrêt, marche continue, de Régnier®, méthodes PIEU et Méride, méthode de la MBF (main-
nombre de sollicitations, etc.) ; tenance basée sur la fiabilité et le diagramme d’Ishikawa). En pré-
– la topologie de l’environnement du système. sence de données de retour d’expérience, la majorité des outils
propose des indicateurs quantifiés. Ce chapitre donnera un résumé
très succinct des principes des méthodes analytiques (APR,
1.2.4 Analyse fonctionnelle du système AMDEC, HAZOP, What-if, arbres de défaillances, blocs diagram-
mes de fiabilité) et les principes généraux des méthodes de réduc-
Les objectifs de l’analyse de criticité sont très souvent rattachés tion de la criticité des conséquences (barrières, arbres
à un niveau particulier dans l’architecture d’une installation d’événements, nœud papillon, MOSAR, LOPA).
industrielle : usine, unités de production, systèmes, composants.
Différentes méthodes d’analyse fonctionnelle ont été mises au
point pour aider les experts à visualiser la chaîne causale entre les
causes et les effets des défaillances au niveau retenu. Compte tenu
de l’importance de ces techniques de modélisation fonctionnelles
2. Méthodes d’analyse
et matérielles utilisées dans la majorité des outils quantitatifs ou
qualitatifs, elles feront l’objet du paragraphe 2 de cet article.
fonctionnelle associées
aux outils
1.2.5 Sélection de la caractéristique mesurant
la criticité de l’équipement
2.1 Rôle et objectifs
Les objectifs définis dans la première étape n’indiquent pas
souvent les modalités précises de sélection de la caractéristique Les méthodes d’analyse fonctionnelle, par leurs caractères sys-
permettant de mesurer la criticité de l’équipement. Il convient alors tématiques et exhaustifs, représentent une garantie formelle pour
de rechercher les métriques et les caractéristiques les plus perti- décomposer une installation industrielle en niveaux fonctionnels et
nentes satisfaisant les objectifs recherchés. La grande majorité des matériels nécessaires pour identifier les modes de défaillances et
caractéristiques est élaborée de façon quantitative à partir de don- leurs conséquences sur les objectifs opérationnels retenus pour
nées numériques disponibles dans les banques de données l’installation ou l’équipement concerné.
réalisées à partir de la collecte des données de retour d’expé- L’analyse fonctionnelle consiste à recenser, caractériser, ordon-
rience. De nombreuses normes internationales et guides de ner, hiérarchiser et éventuellement valoriser les fonctions.
recommandation ont vu le jour depuis plusieurs décennies pour
Les méthodes d’analyse fonctionnelle permettent :
sélectionner la caractéristique la plus adaptée. Pour guider le
lecteur dans sa recherche de la caractéristique la plus pertinente le – en cours de conception de décrire le besoin d’un utilisateur en
paragraghe 3 sera consacré à cette problématique. termes de fonctions, en faisant abstraction des solutions pour le
réaliser ;
– pour un équipement existant de décrire sa structure en termes
1.2.6 Typologie des données de fiabilité de fonctions, en prenant en compte les composants utilisés.
Pour chaque fonction, des critères d’appréciation et de perfor-
Dans l’éventualité où la métrique ou l’indicateur de performance
mance sont attribués.
retenu possède un caractère quantitatif, il est indispensable d’avoir
accès aux données sur le comportement des équipements. Les résultats des analyses fonctionnelles sont matérialisés par
Comme ces données sont brutes et correspondent à des grandeurs trois éléments : le cahier des charges fonctionnel (CDCF), le bloc
aléatoires, l’application des méthodes statistiques d’estimation des diagramme fonctionnel (BdF) et le tableau d’analyse fonctionnelle
paramètres ou des lois de fiabilité devient incontournable. Le (TAF). Le lecteur trouvera les détails dans la norme
paragraphe 4 présentera les bases des techniques d’estimation fré- NF-EN1325-avril 2014 [3].
quentiste ou bayésienne.
2.1.1 Arbres fonctionnels et matériels
1.2.7 Typologie des banques de données Certains outils et logiciels utilisés pour la détermination de la cri-
de fiabilité et retour d’expérience ticité se basent sur des arborescences fonctionnelles ou maté-
rielles qui se déduisent directement de la structure du système. À
Cette étape vise à sélectionner et à caractériser les banques de
titre d’exemple, la figure 2 représente le schéma d’un système de
données de retour d’expérience disponibles au niveau internatio-
production et de distribution d’air comprimé qui a pour fonction
nal et qui seront les plus pertinentes pour les études de criticité.
principale de fournir de l’air comprimé à 50 bar avec un débit de
Le paragraphe 5 fournira les caractéristiques des principales 30 m3/h. Les contraintes sur la qualité de l’air comprimé
banques de données de fiabilité et une description de leur concernent : la quantité d’eau par kilogramme d’air inférieure à
contenu. 1,5 g, la concentration de gaz hydrocarbonés inférieure à 50 ppm

SE 4 007 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés

QRV
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

_________________________________________________________________________________________ ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS

et des tailles des particules inférieures à 5 µ. À partir des fonctions


des composants représentés sur le schéma, il est possible de réali-
ser des arborescences fonctionnelles et matérielles avec une
Entrée d'air
approche intuitive comme indiqué sur les figures 3 et 4.
Chapeau pare-pluie
L’inconvénient de cette approche est de ne pas être totalement
Filtre entrée d'air exhaustive contrairement aux méthodes FAST, SADT®, IDEF0 et
APTE®.
Capteur Groupe moto compresseur
P1
de pression 2.1.2 Méthode FAST
C La méthode FAST (Function Analysis System Technique ) [4] est
Soupape de sécurité couramment employée en matière d’analyse de la valeur. Elle
permet :
AP – d’ordonner les fonctions identifiées ;
Vannes – de vérifier la logique fonctionnelle ;
Automate V1 V3 – d’avoir une bonne connaissance du produit ou du système
programmable étudié ;
– de prendre conscience de l’importance relative des éléments
Sécheur 1 S1 S2 Sécheur 2
ou des structures vis-à-vis des fonctions qu’ils assurent ;
– de mettre en évidence des synchronisations entre les fonctions
indépendantes.
V2 V4 Le diagramme FAST se construit de gauche à droite en plaçant à
Vannes gauche la fonction principale réalisée par l’équipement et ensuite
Alarme en se déplaçant vers la droite ou vers le bas. Les liaisons entre
AH humidité blocs fonctionnels sont établies en répondant à trois questions :
Réseau de distribution – pourquoi ou dans quel but la fonction existe-t-elle ?
P2 Capteur – comment la fonction d’ordre supérieur est-elle réalisée avec
de pression des fonctions d’ordre inférieur ?
– quand est-il nécessaire de disposer simultanément de plu-
R Réservoir sieurs fonctions ?

RV
Le système est représenté à l’aide d’un diagramme comportant
trois régions délimitées par des traits pointillés verticaux :
Regard de 1) la partie centrale correspond au domaine fonctionnel propre
visite au système ;
2) dans la partie gauche, on trouve les fonctions principales du
Vanne de purge V5
système ;
3) dans la partie droite, on trouve les ressources extérieures
au système, ressources qui, si elles n’existaient pas, ne modi-
Figure 2 – Schéma d’une installation de production d’air comprimé fieraient pas la capacité du système à satisfaire les fonctions.

Chapeau pare-pluie
Filtre Sous-système
Capteur pression P1 entrée d’air/filtration
Tuyauterie
Système
de compression
Moto compresseur
Automate programmable Sous-système
Soupape de sécurité Ensemble compressueur
Tuyauterie

Sécheur n° 1
Sécheur n° 1 Système
Système
Vannes 1, 2, 3, 4 de production
de séchage
Tuyauterie air comprimé
Capteur d'alarme humidité

Réservoir d’air
Vanne de purge V5 Système
Capteur presssion P2 de stockage
Regard de visite distribution
Tuyauterie

Figure 3 – Arbre matériel du système de production d’air comprimé

Copyright © –Techniques de l’Ingénieur –Tous droits réservés SE 4 007 – 5

QRW
r←ヲ←イ・ョ」・@iョエ・イョ・エ
seTPPW

ÉVALUATION DE LA CRITICITÉ DES ÉQUIPEMENTS ________________________________________________________________________________________

Fournir de l’air Admettre l’air extérieur


comprimé Comprimer l’air à 50 bars
à 50 bars Contenir l’air
Distribuer l’air

Fournir et
distribuer de l’air Enlever l’humidité dans
comprimé les sécheurs
Enlever l’humidité dans
Enlever l’humidité
le réservoir d’air
de l'air
Enlever l’humidité dans
Enlever les pots de condensation
l’humidité de
l’air et les
polluants
Enlever les
polluants de l’air

Figure 4 – Arbre fonctionnel du système de production d’air comprimé

Intérieur du système

Comment ? Pourquoi ?

Fonction 2 Fonction 5

Fonction principale Fonction


Fonction 1 CHEMIN CRITIQUE
supports
à satisfaire par l’équipement
externes

Fonction 3 Fonction 6
Quand ?

Fonction 4

Figure 5 – Diagramme fonctionnel d’un FAST

Les fonctions sont ordonnées et représentées dans des – les datagrammes, où les données sont générées par des fonc-
« boîtes » rectangulaires. tions de génération, utilisées par des fonctions d’utilisation, sous
Le graphe se construit progressivement sur une ligne baptisée la surveillance des activités de contrôle.
« chemin critique ». Au-dessus ou en dessous d’une fonction, on
placera les fonctions qui se produisent dans le temps, ou en même SADT® définit une décomposition fonctionnelle hiérarchisée
temps (on se pose la question « Quand ? ») comme l’indique la entre les différents niveaux de détail, la décomposition à un niveau
figure 5. donné doit faire apparaître des fonctions ou des données qui sont
à leur tour décomposées (approche descendante top-down ). Pour
la validation, on doit s’assurer que les entrées d’une fonction d’un
2.1.3 Méthode SADT® niveau donné doivent impérativement se retrouver dans sa
décomposition, et celle-ci ne doit produire q