Vous êtes sur la page 1sur 22

ARBRE DES

CONSEQUENCES OU
D’EVENEMENTS
– PRESENTATION DE LA METHODE –

Méthode de l’Arbre des Conséquences (MACQ) ou des Événements :


introduite aux USA en 1972 pour évaluer les risques liés aux centrales
nucléaires

MACQ : méthode bien adaptée pour apprécier les risques dans des
installations industrielles contenant de nombreux systèmes de sécurité

MACQ : approche inductive mettant en évidence les facteurs pouvant


influencer les séquences d’événements conduisant à un scénario d’accident

Scénario d’accident = séquence d’événements aboutissant finalement


à un accident
Séquence d’événements : événement initiateur + succession (combinaison)
d’événements intermédiaires + conséquence (accident ou non)

Evénement initiateur = défaillance ou événement indésirable qui initie le


déclenchement d’une séquence d’événements pouvant causer un accident

L’événement initiateur peut entraîner un scénario d’accident s’il y a échec des


opérations de maîtrise des risques liés aux systèmes de sécurité

Evénement intermédiaire = événement se produisant entre l’événement


initiateur et l’événement final de la séquence (accident ou non)

Evénement intermédiaire : fonctionnement ou défaillance des dispositifs


de détection, d’alarme, de prévention, de protection ou d’intervention
Les dispositifs peuvent concerner aussi bien des moyens automatiques
qu’humains (intervention des opérateurs) ou organisationnels (application
de procédures)

Succès de l’événement intermédiaire  non occurrence du scénario


d’accident et conséquence acceptable de la séquence d’événements

Echec de l’événement intermédiaire  occurrence du scénario d’accident


et conséquence non acceptable de la séquence d’événements

Arbre des conséquences ou d’événement = modèle graphique représentant


les différents séquences d’événements pouvant aboutir à des conséquences
inacceptables (scénarios d’accident) ou acceptables
Méthode permettant de comparer l'efficacité de différentes mesures,
de prévention ou de protection, dédiées à la réduction de l'impact
d'un événement initial

Objectif des mesures de prévention : supprimer ou réduire un risque


avéré, soit en supprimant ou modifiant le danger initiateur du risque, soit en
diminuant la probabilité d'occurrence ou la gravité de ses conséquences

Principes régissant toute démarche de prévention : évaluation du risque,


son élimination dans la mesure du possible, sinon la mise en place de parades
collectives et en dernier ressort, la parade individuelle

Intégrer la prévention le plus en amont possible, en passant par des mesures


d'organisation, d'information et de formation

Appellation de la méthode en anglais : Event Tree Method


– CONSTRUCTION DE L’ARBRE D’EVENEMENT –

 Définition de l’événement initiateur 

Les arbres d'événement sont conventionnellement construits horizontalement,


à partir de la gauche, c'est-à-dire à partir de l'événement initial

Le processus commence par l’identification des événements initiateurs qui


perturbent le système en causant un changement de son état de fonctionnement
ou de sa configuration

Identification des événements initiateurs : par évaluation technologique en


prenant en compte

Conception de Etudes de Accidents Expérience


l’installation risque déjà d’exploitation de
précédentes survenus l’installation
Exemple : réacteur chimique dans lequel s’opère une réaction exothermique

- Maintien en température du réacteur : assuré par un système


de réfrigération

- Evénement redouté : emballement de la réaction  risque d’accident


(explosion, incendie, …)

- Evénement initiateur pouvant provoquer l’accident : défaillance du


système de refroidissement

- Cet événement initiateur sera pris comme point de départ pour la


construction d’un arbre d’évènement
 Identification des fonctions et
des systèmes de sécurité 

Fonctions de sécurité : ensemble d’actions empêchant l’accident grave


ou minimisant ses effets

Fonctions de sécurité : assurées par des barrières en réponse à l’événement


initiateur pour qu’il ne soit pas à l’origine d’un accident majeur

Fonctions de détection de Fonction d’atténuation


l’événement initiateur s’attachant à réduire les effets
de l’événement initiateur

Fonctions d’alarme Fonctions de limitation visant en


signifiant l’occurrence de empêcher que l’événement initiateur
l’événement initiateur ne perdure dans le temps
Fonctions de sécurité : réalisées par des dispositifs automatiques ou par des
actions effectuées par des opérateurs conformément à des procédures

Exemple : fonctions de sécurité prévues en réponse à la défaillance du


système de refroidissement du réacteur chimique

Détecter la montée Stopper la


en température réaction chimique
dans le réacteur

Alarmer un opérateur Rétablir le fonctionnement


de la montée en du système de
température refroidissement

Les fonctions de sécurité n’interviennent généralement pas simultanément 


déterminer dans quel ordre elles vont intervenir suite à l’événement initiateur
et donc identifier les seuils commandant leur mise en œuvre
L’ordre chronologique permet de donner des indications relatives au temps
nécessaire pour la mise en place des mesures de sécurité

Elaborer un tableau chronologique des fonctions de sécurité faisant figurer


entre autres les systèmes ou équipements prévus pour assurer ces fonctions

Tableau définissant les fonctions de sécurité pour le réacteur chimique


Fonctions Mesure de la Alarme Rétablissement Arrêt de la
température dans du système de réaction
le réacteur réfrigération par
un opérateur
Dispositifs Sonde de Signaux sonores Opérateur selon Introduction
assurant la température dans et lumineux aux procédure automatique d’un
fonction le réacteur postes de travail inhibiteur de la
réaction
Paramètre ou Permanent T  T1 Alarme T  T2
information
déclenchant la
fonction
Délai Continu 1 mn Si possible, estimé Estimé à 10 mn
à 5 mn (de T1 à T2)
 Construction de l’arbre 

Partir de l’événement initiateur et envisager soit le bon fonctionnement soit


la défaillance de la première fonction de sécurité

L’événement initiateur est représenté schématiquement par un trait horizontal

Le moment où doit survenir la première fonction de sécurité est représenté


par un nœud

La branche supérieure correspond au succès de la fonction de sécurité,


la branche inférieure à la défaillance de cette fonction
Examiner ensuite le développement de chaque branche de manière itérative
en considérant systématiquement le fonctionnement ou la défaillance de la
fonction de sécurité suivante

Cette démarche temporelle permet d’identifier des séquences d’évènements


susceptibles de conduire ou non à un accident potentiel

Règles à respecter durant la construction de l’arbre :

- Si une fonction dépend d’autres fonctions, elle doit être considérée après
ces fonctions

- Si l’échec d’une fonction implique automatiquement l’échec d’autres


fonctions, le succès de ces dernières n’est pas à considérer

Exemple du système de refroidissement d’un réacteur chimique : si la sonde


de température est défaillante, il n’y a pas lieu d’étudier le fonctionnement de
l’alarme ou le déclenchement automatique de l’inhibition de la réaction
- Si le succès d’une fonction agit sur le paramètre déclenchant d’autres
fonctions ultérieures, le succès ou la défaillance de cette fonction ne doivent
pas être envisagés dans le développement de cette branche

Exemple du système de refroidissement d’un réacteur chimique : si l’opérateur


parvient à rétablir le système de refroidissement avant que la température dans le
réacteur ne dépasse T2, il n’y a pas lieu de considérer l’inhibition automatique de la
réaction

- Si la défaillance d’un sous-système entraîne la défaillance commune de


plusieurs systèmes assurant des fonctions de sécurité, ce sous-système
doit être considéré avant ces systèmes

Modes communs de défaillances

Pertes d’utilités (électricité, Agressions externes


air comprimé, ...) majeures
Exemple du système de refroidissement d’un réacteur chimique : si l’alimentation
électrique est commune à tous les systèmes considérés, il convient de considérer juste
après l’événement initiateur une fonction du type «maintien de l’alimentation électrique»

Tous les systèmes sont considérés comme ayant une alimentation distincte

Exemple du système de refroidissement d’un réacteur chimique : la défaillance de la


sonde de température dans le réacteur est supposée entraîner la défaillance commune du
système d’alarme et d’inhibition de réaction  elle a donc été considérée en premier lieu

Le respect des règles précédentes et l’élimination des branches physiquement


impossibles conduisent à l’élaboration d’un arbre d’évènements réduit
Arbre d’événements réduit du système de refroidissement d’un réacteur chimique
 Exploitation de l’arbre 

La réalisation d’un arbre d’évènements permet en définitive de déterminer la


probabilité d’occurrence des différentes conséquences à partir des séquences
identifiées

L’estimation de la probabilité d’occurrence est effectuée à partir d’un arbre


d’évènements préalablement réduit

La réduction de l’arbre concourt entre autres à éliminer les chemins


non physiquement possibles ainsi qu’à identifier les modes communs
de défaillances

La réduction de l’arbre est nécessaire pour assurer l’indépendance des


évènements intermédiaires présentés
Probabilité d’occurrence d’une conséquence suite à une séquence
particulière = produit de la probabilité d’occurrence de l’événement
initiateur et de la probabilité de défaillance ou de fonctionnement selon
le cheminement des évènements intermédiaires

Rappel : un arbre d’évènements ne doit pas être considéré comme un outil


visant à déterminer la probabilité d’un événement avec exactitude mais comme
un outil pour caractériser l’enchaînement des actions et des évènements
pouvant conduire ou non à un accident
Détermination des probabilités pour l’arbre d’évènements
réduit du système de refroidissement d’un réacteur chimique
Détermination des probabilités pour l’arbre
d’évènement d’un tuyau de gaz arraché
Arbre d'Evénement correspondant à un événement
initiateur « porte coupe feu bloquée en position ouverte »
 Intérêts et limites de la méthode 

Méthode de l’arbre d’événement : basée sur une démarche naturelle


très facile à utiliser

Méthode permettant la recherche de tous les enchaînements d'événements


(événements devant être binaires : fonctionnement / panne) conduisant ou
non à l’accident

Qualité des conclusions de la méthode : dépend de la qualité et de


l'exhaustivité de la liste des éléments et comportements potentiels
du système pris en compte

Estimation des probabilités des séquences d’événements : nécessite la


disponibilité et la précision des probabilités des événements élémentaires

Possibilité d'estimer l'influence d'un événement sur la probabilité des


conséquences en faisant varier sa probabilité de réalisation
Possibilité de suivre le déroulement d'un scénario accidentel et d'évaluer
l'influence des barrières mises en œuvre sur la probabilité des conséquences

Arbre d’événement + Arbre de défaillances  Connaissance du nombre


d'événements intermédiaires indispensable pour conduire à l'événement
redouté (coupe(s) minimale(s))

Pas de prise en compte possible des opérations de maintenance (non


chronologique, puisqu'une réparation conduit le système dans un état
antérieur à l'état considéré)

Vous aimerez peut-être aussi