Se4057

Réf.
: SE4057 V1
Principes d'évaluation de la
Date de publication :
10 juillet 2009
probabilité de défaillance des
Mesures de Maîtrise des Risques
(MMR)
Cet article est issu de : Environnement - Sécurité | Sécurité et gestion des risques
par Olivier IDDIR
Résumé L’Administration demande aujourd’hui aux industriels français de présenter des

études de dangers dites probabilistes. Les enjeux liés à la réalisation des plans de
prévention des risques technologiques mettent en lumière la nécessité de disposer de
méthodologies transparentes pour évaluer les probabilités des accidents industriels. Au fil
du temps, différent textes réglementaires sont venus préciser les demandes de
l’Administration quant au degré de détail attendu pour justifier des probabilités
d’accidents. L’évaluation de la Probabilité des Défaillances (PFD) des barrières de
sécurité ou Mesures de Maîtrise des Risques (MMR) y prend une part considérable. La «
fiabilité » est l’un des critères qui permet de préjuger de la performance d’une MMR. Ce
critère est caractérisé dans les analyses de risques par la PFD. […]
Abstract The French administration currently requires that French industrialists conduct
probabilistic risk studies. The challenges linked to the implementation of risk prevention
plans highlight the necessity to dispose of transparent methodologies in order to assess
the probability of industrial accidents. Over time, several regulatory documents have
defined the administrative requirements regarding the level of detail expected in order to
justify the probability of accidents. The assessment of the probability of failure (APF) in
security barriers or in Risk Control Measures (RCM) is of major importance. “Fiability” is
one of the criteria which allows for a pre-assessment of the performances of an RCM.
This article presents the various types of RCM (safety features, organisational measures
etc.) and explains the assessment methods for their APF. […]
Pour toute question :

Service Relation clientèle
Techniques de l’Ingénieur
Immeuble Pleyad 1 Document téléchargé le : 16/10/2021
39, boulevard Ornano
93288 Saint-Denis Cedex Pour le compte : 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Principes d’évaluation de la probabilité

de défaillance des Mesures de Maîtrise
des Risques (MMR)
par Olivier IDDIR
Ingénieur analyse de risques industriels

TECHNIP FRANCE
Parution : juillet 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
Service expertise & modélisation – Division procédés et technologie
Évaluation de la probabilité de défaillance des MMR SE 4 057 - 2

et traçabilité ..............................................................................................
2. Différents types de Mesures de Maîtrise des Risques (MMR) ..... — 4
2.1 Différentes couches de protection .............................................................. — 4
2.2 MMR et réduction du risque ....................................................................... — 5
2.3 Différentes types de Mesure de Maîtrise des Risques .............................. — 7
3. Méthodes d’évaluation de la probabilité de défaillance
d’une MMR ................................................................................................. — 10
3.1 Allocation de l’objectif de probabilité de défaillance ................................ — 10
des dispositifs de sécurité ..................................................................... — 14
des Mesures de Maîtrise des Risques faisant intervenir
l’homme ...................................................................................................... — 15
5.1 Origine de l’intérêt porté à l’erreur humaine ............................................. — 15
5.2 Définition de l’erreur humaine .................................................................... — 15
5.3 Deux types d’erreur humaine ..................................................................... — 15
5.4 Quantification de l’erreur humaine ............................................................ — 15
6. Conclusion.................................................................................................. — 18
Pour en savoir plus ........................................................................................... Doc. SE 4 057
a maîtrise du risque industriel impose aux industriels de mener des ana-

L lyses de risques dans le but d’identifier les scénarios d’accidents
susceptibles de survenir sur leurs installations. Quelle que soit la méthodo-
logie d’analyse retenue (nœud papillon ou autre), ces analyses ont pour
vocation première de s’assurer que les Mesures de Maîtrise des Risques
(MMR) mises en place permettent d’amener le niveau de sécurité de l’installa-
tion à l’objectif recherché par l’exploitant. Cet objectif peut être fixé par :
– l’acceptabilité sociale (riverains, autorités locales, etc.) ;
– la conformité réglementaire (étude de dangers, Plan de Prévention des
Risques Technologiques) ;
– la politique interne de sécurité d’un groupe.
L’approche probabiliste utilisée aujourd’hui dans de nombreuses analyses de
risques met en lumière que l’incertitude sur les probabilités allouées aux phé-
nomènes dangereux reste relativement importante. Dès lors, il apparaît délicat
de se prononcer sur l’acceptabilité des risques en se référant uniquement à des
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. SE 4 057 – 1
tiwekacontentpdf_se4057 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.13
PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR) ___________________________________
« valeurs seuils » de probabilité. Afin de mener une approche transparente, les

analyses de risques doivent justifier de la performance de l’ensemble des
MMR susceptibles de réduire l’occurrence et/ou la gravité des effets des phé-
nomènes dangereux pouvant impacter les cibles environnantes.
La « fiabilité » est l’un des critères qui permet de juger de la performance
d’une MMR ; ce critère est souvent retranscrit au travers de la probabilité de
défaillance. Justifier des probabilités de défaillances allouées aux MMR peut
être plus ou moins complexe. En effet, en fonction du type de MMR (dispositif
de sécurité, Système Instrumenté de Sécurité, etc.), les méthodes d’évaluation
de la probabilité de défaillance sont différentes.
Cet article propose dans un premier temps d’expliciter comment il est possible
de définir un objectif sur la probabilité de défaillance d’une MMR. Dans un
second temps, il sera abordé les méthodes permettant d’évaluer les probabilités
de défaillances des dispositifs de sécurité actifs et passifs (soupape, cuvette de
rétention, etc.). Les principales méthodologies permettant d’évaluer les probabi-
lités des MMR faisant intervenir l’homme (mesure organisationnelle et système
à action manuelle de sécurité) seront aussi présentées. Pour ces différents types
de MMR, des ordres de grandeur de probabilité de défaillance seront donnés.

Le Système Instrumenté de Sécurité (SIS) fait quant à lui l’objet de
l’article [SE 4 058]. Dans cet article, sont présentées les principales notions
relatives au SIL (Safety Integrity Level) et des formules de calculs permettant
d’évaluer la probabilité de défaillance à la sollicitation.
Terminologie Définition
APR Analyse préliminaire des risques
CCPs Center for Chemical Process safety.

Centre créé en 1985 par l’American Institute of Chemical Engineers (AIChE). Le CCPs a
pour objectif de promouvoir l’amélioration de la sécurité.
CEI 61508 – Functional safety of Electrical/ Norme internationale qui porte sur les systèmes E/E/P électriques/électroniques/
Electronic/Programmable Electronic (E/E/PE) électroniques programmables de sécurité).
safety related systems, International La norme propose une approche ayant pour objectif la mise en place d’un système de
Electrotechnical commission (IEC), 1998 sécurité E/E/PE, en intégrant les exigences de sécurité ainsi que toutes les étapes du
cycle de vie du système E/E/PE.
Événement Initiateur Événement, courant ou anormal, interne ou externe au système, situé en amont de
l’Événement Redouté dans l’enchaînement causal et qui constitue une cause directe
dans les cas simples ou une combinaison d’événements à l’origine de cette cause
directe. Dans la représentation en « nœud papillon » (ou arbre des causes), cet
événement est situé à l’extrêmité gauche (d’après la circulaire du 7 octobre 2005,
Circulaire n° DPPR/SEI2/MM-05-0316).
Événement Redouté Événement conventionnellement défini, dans le cadre d’une analyse de risque, au
centre de l’enchaînement accidentel. Généralement, il s’agit d’une perte de confinement
pour les fluides et d’une perte d’intégrité physique pour les solides. Les événements
situés en amont sont conventionnellement appelés « phase pré-accidentelle » et les
événements situés en aval « phase pré-accidentelle » (d’après la circulaire du 7 octobre
2005, Circulaire n° DPPR/SEI2/MM-05-0316).
Flash fire Combustion d’un mélange gazeux inflammable sans effet de pression.
Fonction de sécurité Fonction ayant pour but la réduction de la probabilité d’occurrence et/oudes effets et
conséquences d’un événement non souhaité dans un système (d’après la circulaire du
7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316).
HAZOP Hazard Operability.

SE 4 057 − 2 est strictement interdite. − © Editions T.I.
___________________________________ PRINCIPES D’ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE DES MESURES DE MAÎTRISE DES RISQUES (MMR)
Terminologie Définition
Méthode LOPA Layer of Protection Analysis.

Méthode développée à la fin des années 1990 par le CCPs. La méthode permet de
prendre en compte l’effet des différentes couches de protection (barrières) sur le
déroulement d’un scénario d’accident.
Mesure de prévention Mesures visant à prévenir un risque en réduisant la probabilité d’occurrence d’un
phénomène dangereux (d’après la circulaire du 7 octobre 2005, Circulaire
n° DPPR/SEI2/MM-05-0316).
Mesure de protection Mesures visant à limiter l’étendue ou/et la gravité des conséquences d’un accident sur
les éléments vulnérables (d’après la circulaire du 7 octobre 2005, Circulaire
MMR Mesure de Maîtrise des Risques.

Ensemble d’éléments techniques et/ou organisationnels nécessaires et suffisants pour
assurer une fonction de sécurité (d’après la circulaire du 7 octobre 2005, Circulaire
Performance des MMR L’évaluation de la performance se fait au travers de leur efficacité, de leur temps de
réponse et de leur niveau de confiance au regard de leur architecture (en référence à la
norme EN NF 61 508, des pratiques de maintenance,des pratiques des tests) (d’après la
circulaire du 7 octobre 2005, Circulaire n° DPPR/SEI2/MM-05-0316.
Phénomène dangereux Libération d’énergie ou de substance produisant des effets, au sens de l’arrêté du
29 septembre 2005, susceptibles d’infliger un dommage à des cibles (ou éléments
vulnérables) vivantes ou matérielles, sans préjuger l’existence de ces dernières. C’est
une « Source potentielle de dommages » (ISO/CEI51).
PFD (t) Probability Failure on Demand.

Probabilité sur l’intervalle [0, t] qu’un système ne puisse pas exécuter sa fonction au
moment où il est sollicité.
PFDavg Average of Probability Failure on Demand.

Valeur moyenne de la PFD (t) sur l’intervalle de temps séparant deux tests de
fonctionnement.
Probabilité d’occurrence Au sens de l’article L. 512-1 du code de l’environnement, la probabilité d’occurrence

d’un accident est assimilée à sa fréquence d’occurrence future estimée sur l’installation
considérée. Elle est en général différentede la fréquence historique et peut s’écarter
pour une installation donnée, de la probabilité moyenne évaluée sur un ensemble
d’installations similaires.
Risque « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73).

« Combinaison de la probabilité d’un dommage et de sa gravité » (ISO/CEI 51).
SIL Safety Integrity Level.

La norme CEI 61508 introduit 4 niveaux discrets dont la fonction estde spécifier les
prescriptions (qualitatives et quantitatives) concernantl’intégrité de sécurité des
fonctions de sécurité. À chaque niveau de SILcorrespond un facteur de réduction du
risque.
SIS Système Instrumenté de Sécurité.

Un système instrumenté de sécurité est un système visant à mettre le procédé en
position de replis de sécurité (c’est-à-dire un état stable ne présentant pas de risque
pour l’environnement et les personnes), lorsque le procédé s’engage dans une voie
comportant un risque réel pour le personnel et l’environnement (explosion, feu).
THERP Technique for Human Error Rate Prediction.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.
TESEO Tecnica Empirica Stima Errori Operatori.

Méthode d’évaluation de la fiabilité humaine qui prend en compte des facteurs
d’influences sur le comportement humain.

1. Évaluation
de la probabilité Plans d’intervention (8)
de défaillance des MMR Plans d’urgence site (7)
et traçabilité Protections post-décharge

(cuvette de rétention) (6)
Sécurités physiques
Bien que les analyses de risques telles que les APR, HAZOP, etc., (organe de décharge) (5)
soient utilisées depuis les années 1980 dans l’industrie chimique et
pétrolière, il était rare que ces études soient quantifiées au niveau Systèmes instrumentés
de sécurité (4)
des probabilités d’incident ou accident ; lorsqu’elles l’étaient, les
évaluations étaient presque toujours basées sur des avis d’expert. Alarmes et interventions
humaines (3)
L’évolution de la réglementation française, marquée entre autre
par l’arrêté du 29 septembre 2005 a généré de lourdes Conduite du procédé (2)
conséquences au niveau des études de dangers et de leurs Conception
analyses des risques, puisque l’Administration française attend du procédé (1)
aujourd’hui une forte traçabilité concernant le processus
d’évaluation des probabilités d’occurrence des accidents indus-
Figure 1 – Différentes couches de protection suivant LOPA [1]
triels. Cette évolution impose :

– de mettre en œuvre des méthodologies d’analyse qui
permettent d’évaluer de manière quantifiée la probabilité d’occur- première couche s’appuie, entre autre, sur le respect de codes et
rence des accidents (nœud papillon par exemple) ; de standards de conception. La conduite du procédé apparaît aussi
– de justifier de probabilités retenues pour les Événements comme une manière de limiter les risques en permettant de détec-
Redoutés (ER) identifiés lors des analyses de risques (perte de ter l’apparition de dérives (augmentation de température, etc.) et
confinement de réacteur, rupture de canalisation, etc.) ; en y associant des actions permettant de contrer cette dérive
– d’évaluer les performances des Mesures de Maîtrise des (régulation du débit de refroidissement, etc.).
Risques (MMR) aussi appelées « barrières de sécurité ». Un des
paramètres de performance porte sur la « fiabilité » des MMR au En revanche, les systèmes de supervision des procédés se
travers de l’allocation de probabilité de défaillance. révèlent souvent insuffisants pour garantir d’un facteur de réduc-
tion du risque suffisant pour faire face à des événements qui
Au travers de cet article, nous verrons que l’évaluation de la pro- sortent du cadre du fonctionnement normal ou des dérives
babilité de défaillance des MMR est un sujet complexe du fait que : « prévisibles » du procédé. Ainsi, pour faire face à des situations
– certaines MMR nécessitent des actions humaines, la « fiabilité où le procédé passe dans une zone incontrôlable ou lorsqu’un Évé-
humaine » étant un sujet difficile qui le devient encore plus nement Redouté est susceptible de se produire sans signe précur-
lorsqu’il s’agit d’étudier le comportement d’opérateurs en situation seur d’apparition (c'est-à-dire sans dérive de paramètre au
de stress (suite à un accident par exemple) ; préalable), il est alors nécessaire de prévoir des MMR dont l’objec-
– les MMR techniques (soupapes de sécurité, vanne d’isolement, tif est de « s’opposer » à des séquences d’événements non souhai-
détecteur de niveau haut, etc.) sont composées par des équipe- tées. Ce principe revient en fait à dissocier la conduite du procédé
ments qui ne servent que très rarement puisque les incidents ou des actions de sécurité.
pré-accident sont heureusement rares. Les industriels disposent À titre d’exemple, le suivi du niveau d’exploitation d’un bac de
alors d’un retour d’expérience sur certains équipements qui n’est stockage par l’intermédiaire d’un système de supervision est du
pas suffisant pour permettre de caractériser la « fiabilité » de leurs domaine de la conduite du procédé.
équipements.
Au contraire, l’arrêt du remplissage (fermeture d’une vanne
Cet article ne prétend pas résoudre toutes les difficultés liées à automatique sur le piquage d’alimentation) sur atteinte d’un
la détermination des probabilités de défaillance des MMR, mais niveau haut constitue une action de sécurité souvent traitée par
apporte des éléments d’information afin que le lecteur puisse évi- une chaîne de sécurité indépendante de la conduite du procédé.
ter des erreurs de méthodologie s’il est amené à conduire une ana-
lyse sur le sujet. Les plans d’urgence site et plans d’intervention mentionnées sur
la figure 1 correspondent respectivement au POI (Plan d’Opération
Interne) et au PPI (Plan Particulier d’Intervention) mis en place par
les industriels français.
2. Différents types La réglementation française introduit une notion similaire à celle
de Mesures de Maîtrise des couches de protection présentées dans la méthodologie LOPA.
En effet, la circulaire no DPPR/SEI2/MM-05-0316 du 7 octobre 2005
des Risques (MMR) introduit la notion de lignes de défense comme « Ensemble des
dispositions adoptées en matière de conception, construction et
modalités d'exploitation incluant les mesures d'urgence internes et
2.1 Différentes couches de protection externes, afin de prévenir l'occurrence et limiter les effets d'un
phénomène dangereux et conséquences d'un accident potentiel
Afin de garantir de la bonne maîtrise des risques, les industriels associé ».
disposent de différentes « couches de protection » qui contribuent La matérialisation de ces différentes lignes de défense est
à la réduction des risques. La figure 1 présente les différentes identique à celle présentée sur la figure 1. Le tableau 1 définit les
couches retenues dans l’ouvrage LOPA [1]. huit lignes de défense retenues dans la circulaire du 7 octobre
Le concept des couches de protection repose sur le principe que 2005. Il faut cependant noter que depuis 2005, les courants de
les moyens disponibles pour réduire les risques sont nombreux. pensée et le retour d’expérience sur les études réglementaires
En premier lieu, la conception de procédés « sûrs » et la françaises (étude de dangers et Plan de Prévention des Risques
conception des équipements constituent des éléments qui Technologiques) ont amené l’Administration française à ne pas
contribuent à réduire de manière significative les risques. Cette mettre toutes ces lignes de défense sur le même « pied d’égalité ».

SE 4 057 – 4 est strictement interdite. – © Editions T.I.
À titre d’exemple, l’arborescence de la figure 3 met en évidence

Tableau 1 – Définition des huit lignes de défense les différents scénarios pouvant mener à la rupture mécanique
d’après la circulaire no DPPR/SEI2/MM-05-0316 d’un équipement sous pression renfermant un gaz inflammable.
du 7 octobre 2005
Ligne Mesures à prendre en considération Il est à noter que l’arbre des causes n’est pas exhaustif et
qu’il est donné uniquement à titre d’illustration.
Conception, construction, formation,
1
maintenance, inspection, entraînement opérationnel La figure 4, illustre la réduction du risque qu’il est possible
2 Systèmes de conduite, supervision des opérateurs d’atteindre à l’aide des différentes couches de protection.
Comme il est possible de le constater sur la figure 4, réduire un
3 Alarme de sécurité, intervention des opérateurs risque nécessite souvent d’avoir recours à plusieurs types de
4 Automatismes de mise en sécurité mesures. Ces mesures constituent différentes couches de protec-
tion qui s’opposent au déroulement du scénario d’accident. Ainsi,
5 Sécurités ultimes il est possible de parler de « progressivité » dans la mise en œuvre
des Mesures de Maîtrise des Risques. La figure 5 vient illustrer
6 Plan d’Opération Interne (POI) cette notion.
7 Maîtrise de l’urbanisation, information du public
8 Plan Particulier d’Intervention 2.2 MMR et réduction du risque
Comme nous l’avons précédemment indiqué, les MMR ont pour

À ce titre, l’ensemble des mesures appartenant aux lignes de objectif d’atteindre un niveau de maîtrise des risques qui permet
défense 1 et 2 ne sont pas considérées comme des MMR valori- de considérer que les risques générés par une activité ne sont pas
sables dans le cadre d’analyse quantifiée. Il est néanmoins admis « inacceptables ». Les MMR permettent de réduire la criticité des
que ces mesures permettent de réduire la probabilité d’occurrence risques en réduisant la probabilité d’occurrence et la gravité des
de certains événements initiateurs. phénomènes dangereux.
La figure 6, présente de manière symbolique le rôle des MMR,
Les concepts de couches de protection ou de lignes de défense en les assimilant à des barrières qui viennent « s’opposer » au
mettent en évidence que la maîtrise des risques repose sur : déroulement d’un scénario d’accident.
– des mesures dites de prévention dont le rôle est de diminuer Vu sous l’angle probabiliste, les MMR ont pour effet de réduire
la probabilité d’occurrence des Événements Redoutés pouvant être la probabilité du phénomène dangereux susceptible de survenir en
à l’origine de phénomènes dangereux dommageables pour des cas de défaillance de ces mesures. En effet, le phénomène dange-
cibles ; reux le plus dommageable ne peut se produire que si l’ensemble
des MMR n’a pas rempli ses fonctions de sécurité. Chaque MMR
– des mesures dites de mitigation dont le rôle est de limiter les étant caractérisée par une probabilité de défaillance, la probabilité
effets consécutifs à l’apparition des Événements Redoutés ; du phénomène dangereux diminue à chaque fois que le
« franchissement » de l’une des MMR est envisagé (ce qui est
– des mesures dites de protection dont le rôle est de protéger des
matérialisé par la diminution de l’épaisseur des flèches sur le
cibles vis-à-vis d’effets de type flux thermique, surpression ou pro-
schéma de la figure 6 ainsi que par l’arbre d’événements).
jectile, qui sont associés à la libération des phénomènes dangereux.
En effet, le franchissement d’une MMR implique sa défaillance,
La figure 2 illustre sur un nœud papillon simplifié les différents qui se traduit par une décote de la fréquence de l’Événement Initia-
types de mesures de sécurité, et leurs positionnements vis-à-vis de teur d’un facteur de réduction égal à l’inverse de la probabilité de
l’Événement Redouté. Le tableau 2 définit l’ensemble des termes défaillance.
(ER, ERS, etc.) mentionnés sur la figure 2. Pour plus d’informations Sur la figure 6 certaines sorties de l’arbre d’événements font
sur la méthodologie du nœud papillon, le lecteur pourra se référer intervenir le terme de « phénomène résiduel » lorsqu’au moins
à l’article [SE 4 055]. une des MMR remplit sa fonction de sécurité.
Mesure de protection
Mesure de prévention Mesure de mitigation

DM1
EB1 ERS 1
EI1
DM2
EB2 ERS 2
ER
ERS 3
EI2
ERS 4
Arbre de défaillances Arbre d’événements Arbre des conséquences

(identification des effets
et dommages)
Figure 2 – Les différents types de Mesures de Maîtrise des Risques

Tableau 2 – Définition des événements de la figure 2

Identification Signification Définition Exemples
Dérive ou défaillance sortant du cadre
des conditions d’exploitation usuelles définies
Événement dont la réalisation seule ou (montée en température, sur remplissage, etc.)
Événement
EB combinée est susceptible d’aboutir à la
de Base Événement courant survenant de façon
réalisation d’un Événement Intermédiaire (EI)
récurrente dans la vie d’une installation
(vibration, maintenance, etc.)
Événement dont la réalisation seule
Événement Montée en température non détectée, corrosion
EI ou combinée est susceptible d’aboutir
Intermédiaire non détectée lors de test d’inspection, etc.
à la réalisation de l’Événement Redouté (ER)
Événement résultant de dérives de paramètres
Événement de fonctionnement ou de défaillances Rupture de capacité, brèche sur canalisation,
ER
Redouté d’éléments pouvant avoir des conséquences décomposition de substance, etc.
dommageables sur l’environnement
Événement
Formation d’une nappe d’hydrocarbure,
ERS Redouté Conséquence directe de l’Événement Redouté

fuite de gaz toxique sur une durée t, etc.
Secondaire
Dommages occasionnés
au niveau de l’environnement : dommages Effets létaux ou irréversibles sur la population,
DM Dommages aux individus, dégâts aux structures, dommage matériel, épandage de produit
aux matériels, pollution de l’environnement polluant dans le milieu naturel, etc.
par les effets d’un phénomène dangereux
6
Inflammation
immédiate
Libération du gaz Effets

à l’atmosphère thermiques
Perte des propriétés
mécaniques non Dérive Inflammation
détectées du gaz retardée
4 Effet de surpression 5 6
Rupture
lié à l’éclatement
d’un équipement
pneumatique
Montée
en pression
Émission de projectile
1 2 3 (fragmentation
de l’enveloppe)
1 : Système de régulation de pression

2 : Système instrumenté permettant de limiter la pression dans l’équipement
3 : Soupape de sécurité
4 : Contrôle périodique de l’intégrité de l’enveloppe de l’équipement, mesure d’épaisseur
5 : Rideau d’eau déclenché sur détection gaz
6 : Mesures de prévention vis-à-vis des sources d’inflammation (matériel ATEX, permis feu, etc.)
Figure 3 – Matérialisation de l’effet des Mesures de Maîtrise des Risques sur un nœud papillon
Exemple Dans le cas où les MMR ne remplissent pas leurs fonctions de

sécurité, un scénario d’accident peut alors se produire. Sur la
Si un SIS dont la fonction de sécurité est d’isoler une canalisation figure 7, les cercles matérialisent les « défaillances » possibles des
par l’intermédiaire d’une vanne automatique dont le temps de ferme- MMR et la flèche le déroulement du scénario d’accident.
ture est de 30 secondes, alors le scénario résiduel correspond à une
Le modèle SCM permet de mettre en évidence que, quelle que
fuite sur une durée d’au moins t = 30 secondes (le temps de détec- soit la nature des MMR mises en place et malgré des niveaux de
tion doit aussi être pris en compte). Il est important de conserver à performances pouvant être élevés, il existe toujours des scénarios
l’esprit que même dans le cas où une MMR remplit sa fonction de d’accidents. En d’autres termes, malgré toutes les mesures de pré-
sécurité, il existe toujours un scénario résiduel, qui dans certains cas vention et de protection qu’il est possible de prendre, le « risque
peut avoir des conséquences non négligeables sur les cibles. zéro » n’existe pas.

Risque Risque Risque

résiduel tolérable procédé
Risque croissant
Réduction du risque nécessaire
Réduction du risque effective
Couverture partielle Couverture partielle

Couverture partielle
par d'autres couches par d’autres couches
du risque par les SIS
de prévention-mitigation de protection
Réduction du risque « globale » obtenue à l’aide de l’ensemble

des couches de protection
Figure 4 – Réduction du risque : concept général d’après la norme CEI 61508, Chapitre 5
Exemple
Un phénomène dangereux qui serait positionné en zone ALARP (As
Sans dispositif Low As Reasonably Practicable) et pour lequel seule une modification
Paramètre du procédé pour éviter lourde des installations (mise sous talus d’un réservoir, double enve-
(température, pression...) les dommages loppe d’un réservoir, etc.) pourrait entraîner une réduction des risques
répond à la notion de risque ALARP. Cette notion est présentée sur la
figure 8.
Rupture mécanique
Soupape de sécurité
Sécurité SIS* À retenir : les Mesures de Maîtrise des Risques (MMR) ont
pour fonction de réduire le niveau de criticité des phénomènes
Alarme + Asservissement dangereux liés à une activité. Les MMR remplissent des fonc-
Préalarme avec sécurités tions de sécurité (isolement d’une capacité par exemple), avec
un objectif de sécurité à atteindre. Cet objectif est imposé par le
niveau d’acceptation du risque « acceptable » qui peut varier
suivant l’objectif recherché : réglementation, politique interne
d’un groupe industriel, acceptabilité sociale, etc.
t1 t2 t3 t4 Temps
2.3 Différents types de Mesure
de Maîtrise des Risques
*Système Instrumenté de Sécurité
Il y a encore quelques années, la sémantique permettant de
caractériser les MMR était relativement « pauvre » et pouvait prê-
Figure 5 – Progressivité dans la mise en œuvre des Mesures ter à confusion. Ainsi, la seule distinction faite était celle entre les
de Maîtrise des Risques [2] mesures de prévention et les mesures de protection parmi
lesquelles pouvaient coexister :
– des mesures dites actives ;
Les MMR n’ont donc pas pour vocation de supprimer les risques,
mais uniquement d’en réduire la criticité. Cette notion de réduction – des mesures dites passives ;
des risques est définie dans la circulaire no DPPR/SEI2/MM-05-0316 – des mesures dites organisationnelles.
du 7 octobre 2005 comme « Actions entreprises en vue de diminuer Dans son rapport OMEGA 20 [4], l’INERIS propose de retenir la
la probabilité, les conséquences négatives (ou dommages), asso- répartition présentée en figure 9 dans le but de caractériser les
ciés à un risque, ou les deux [FD ISO/CEI Guide 73]. Cela peut être MMR.
fait par le biais de chacune des trois composantes du risque, la pro- Il est intéressant de noter que dans le rapport OMEGA 20 datant
babilité, l'intensité et la vulnérabilité ». de décembre 2006, la terminologie utilisée est le terme de
Bien que la réduction des risques soit inscrite dans une « barrière ». En effet, depuis l’arrêté du 29 septembre 2005, la
démarche continue, elle nécessite parfois d’envisager la mise en notion de Mesure de Maîtrise des Risques (MMR) tend à remplacer
place de mesure dont le coût est disproportionné par rapport à la progressivement le terme barrière de sécurité. La notion de bar-
réduction du risque attendu. rière de sécurité avait pour intérêt premier de bien préciser de par

Événement Phénomène
Initiateur Dangereux
MMR 1 MMR 2
1-Pd(MMR1) Phénomène résiduel lié au succès de la

La MMR remplit sa MMR 1 → P = F(EI) x (1-Pd(MMR1))
fonction de sécurité
Événement Initiateur
F(EI)
1-Pd(MMR2) Phénomène résiduel lié à la défaillance de
MMR 1 et au succès de la MMR 2
La MMR ne remplit pas Pd(MMR1) → P = F(EI) x Pd(MMR1) x (1-Pd(MMR2))
sa fonction de sécurité
Phénomène dangereux lié à la

défaillance de la MMR 1 et de la MMR 2
Pd(MMR2) → P = F(EI) x Pd(MMR1) x Pd(MMR2)
F(EI) : fréquence d’occurence de l’Événement Initiateur

Pd(MMR1) : probabilité de défaillance de la Mesure de Maîtrise des Risques 1
Pd(MMR2) : probabilité de défaillance de la Mesure de Maîtrise des Risques 2
Figure 6 – « Matérialisation » de l’effet des MMR adapté d’après LOPA [1]
pas de risque pour les personnes et l’environnement) d’un système

lorsque des seuils prédéfinis sont atteints. D’une manière générale,
une majorité des SIS rencontrés dans l’industrie chimique et pétro-
Phénomène lière sont composés des trois blocs fonctionnels suivants :
dangereux – un bloc « détection » chargé d’identifier la dérive d’un para-
mètre (pression, température, etc.) vers un état dangereux, cet état
dangereux étant souvent définit par une valeur seuil ;
– un bloc « traitement logique » chargé de recevoir le signal pro-
venant des dispositifs de détection et de le traiter afin de
commander un actionneur par l’intermédiaire d’un signal de
sortie ;
MMR 3 – un bloc « élément final » chargé de mettre le système dans
une position de sécurité.
La figure 10 présente un exemple de structure de SIS. Son
MMR 2
M
architecture est donnée uniquement à titre d’illustration. Dans cet
exemple, chaque actionneur permet de commander deux éléments
MMR 1 finaux ; cette configuration ne constitue en rien un standard.
Initiateurs
En revanche, il est important de rappeler qu’il existe une multi-
tude d’architectures de SIS possibles, qui dépendent de la probabi-
Figure 7 – « Matérialisation » de la défaillance des MMR adaptée lité de défaillance requise pour le SIS.
du modèle SCM (Swiss Cheese Model ) [3]
Pour qu’un SIS remplisse sa fonction de sécurité, chaque élé-
ment qui entre dans sa composition doit remplir sa fonction.
son nom son rôle. En effet, si un scénario d’accident peut être Les capteurs et détecteurs permettent de convertir une grandeur
schématisé par une droite menant d’un événement initiateur à un physique (concentration d’un gaz, pression, température, etc.) en
phénomène dangereux, les MMR mises en place par les industriels une grandeur interprétable par l’unité de traitement (tension, cou-
constituent des barrières qui doivent être « franchies » pour que le rant, etc.).
scénario puisse se produire.
Les unités de traitement permettent de traiter les informations
transmises par les dispositifs de détection. Elles peuvent être
2.3.1 Terminologie relative aux barrières classées en fonction de leurs technologies parmi :
techniques – les technologies câblées type relais ;
– les technologies programmées qui regroupent entre autre les
2.3.1.1 Systèmes Instrumentés de Sécurité (SIS) Automates Programmes Industriels (API), les Systèmes Numéri-
Un SIS définit un ensemble d’éléments permettant d’assurer la ques de Contrôle Commande (SNCC) ainsi que les Automates Pro-
mise dans un état sûr (c’est-à-dire dans un état stable ne présentant grammables de Sécurité (APS).

Le risque ne peut être justifié

sauf dans des circonstances
extraordinaires.
Zone intolérable
Zone tolérable ou Tolérable seulement si une réduction de

ALARP risque supplémentaire est irréalisable ou
si son coût est disproportionné par rap-
(Risque pris seulement port à l’amélioration obtenue.
si un bénéfice est désiré)
Comme le risque est réduit, il est d’autant

moins nécessaire de dépenser pour le
réduire encore afin de satisfaire à ALARP.
Le concept de diminution proportionnelle
est symbolisé par ce triangle.
Zone généralement Il est nécessaire de maintenir

acceptée l’assurance que le risque reste
à ce niveau.
(Une démonstration
d’ALARP est inutile)
Risque négligeable
Figure 8 – Définition de la notion ALARP d’après annexe B de la norme CEI 61508-5
Barrières
de sécurité
Barrières Barrières
humaines techniques
Systèmes à action
manuelle de sécurité
Actions humaines non
relayées par des éléments
techniques de sécurité
Dispositif Systèmes
de sécurité instrumentés
de sécurité
Passif Actif
Figure 9 – Caractérisation des Mesures de Maîtrise des Risques d’après l’INERIS [4]
Élément final 1
Actionneur 1
Détecteur 1 Élément final 2
Unité de
traitement
Détecteur 2 logique Élément final 3
Actionneur 2
Élément final 4
Les flèches matérialisent la transmission des informations

(câbles, réseau d’air comprimé, etc).
Figure 10 – Schéma simplifié de l’architecture d’un SIS

Les actionneurs permettent de commander une action sur un présente généralement une cinétique de mise en œuvre plus
élément final (fermeture d’un clapet par exemple). En fonction de importante. En effet, un SAMS introduit une étape de diagnostic
la nature de la force motrice, les actionneurs sont dits pneumati- de l’opérateur qui doit juger des actions à mettre en œuvre en
ques, hydrauliques ou électriques. Une électrovanne pneumatique fonction des informations et/ou alarmes qui lui sont rapportées.
est un exemple d’actionneur.
Les éléments finaux regroupent l’ensemble des dispositifs qui
permettent d’isoler une fuite (vanne, clapet), de transférer des flux
(machine tournante type pompe et compresseur) ainsi que les dis- 3. Méthodes d’évaluation
positifs d’alarme des opérateurs (sirène et gyrophare).
de la probabilité
2.3.1.2 Dispositifs de sécurité de défaillance d’une MMR
Ces dispositifs peuvent être classés parmi les deux catégories
suivantes :
– les dispositifs passifs : ils ne mettent en jeu aucun système 3.1 Allocation de l’objectif de probabilité
mécanique pour remplir leurs fonctions ; la cuvette de rétention et de défaillance
le mur coupe-feu appartiennent à cette catégorie ;
– les dispositifs actifs : ils mettent en jeu un dispositif méca- Comme nous l’avons précédemment vu, les MMR ont pour but
nique (ressort, levier) pour remplir leurs fonctions ; la soupape de de réduire la criticité des phénomènes dangereux pouvant survenir
décharge et le clapet anti-retour appartiennent à cette catégorie. sur une installation. Pour qu’une MMR puisse ramener un risque à
Une définition plus large implique le besoin ou non d’une un niveau acceptable, il est nécessaire que l’industriel fixe un
source d’énergie pour qu’un dispositif de sécurité puisse remplir objectif sur sa probabilité de défaillance. En effet, une MMR qui
sa fonction. Ainsi, un dispositif de sécurité est dit actif s’il néces- aurait une probabilité de défaillance à la sollicitation (PFD) de 10–1
site une source d’énergie ou une sollicitation (action automatique peut être acceptable dans le cas où la gravité du phénomène dan-
ou manuelle) pour remplir sa fonction. Au contraire, un dispositif gereux pouvant apparaître en cas de défaillance de celle-ci est
de sécurité passif n’a pas besoin de source d’énergie ou de sollici- limitée. En revanche, dans le cas où la gravité serait importante,
tation pour remplir sa fonction. alors il pourrait être nécessaire d’augmenter l’objectif de sécurité
en préconisant, par exemple, une PFD de 10–3/sollicitation.
2.3.2 Terminologie relative aux « barrières

humaines » À retenir : la PFD d’une MMR doit être déterminée en
considérant la criticité du phénomène dangereux susceptible
Une « barrière humaine » est constituée par une action ou une de générer des dommages sur les cibles (personnes et environ-
succession d’actions menées par un ou plusieurs opérateur(s). nement) dans le cas où elle viendrait à défaillir.
L’opérateur peut avoir une fonction de prévention ou de mitigation.
En effet, lorsqu’un opérateur vérifie le montage adéquat d’un flexi-
ble ou qu’il contrôle la position d’une vanne, l’opérateur intervient Lors de ce type de raisonnement, il est important de conserver à
en prévention d’un Événement Redouté. En revanche, lorsqu’un l’esprit que la PFD déterminée pour les SIS correspond à une pro-
opérateur intervient de manière consécutive à une alarme et qu’il babilité moyenne de défaillance à la sollicitation notée PFDavg
doit réaliser des actions permettant de rétablir un système ou un (average of the probability failure on demand). Cette PFDavg ne
procédé dans un état sûr, il intervient alors en mitigation. doit pas être confondue avec la probabilité de défaillance à la solli-
Il est indispensable de bien distinguer ces deux types de mesures citation notée PFD (t). Ces deux notions sont définies ci-après.
car la probabilité qu’un opérateur ne remplisse pas bien sa mission • Probabilité de défaillance à la sollicitation PFD (t) : probabilité
(et donc que la « barrière » soit franchie) dépend grandement de la sur l’intervalle [0, t ] qu’un système ne remplisse la fonction
nature de la tâche réalisée. On parle à ce titre d’erreur pré-acciden- pour laquelle il est conçu à l’instant t où il est sollicité. Cette
telle (lorsque l’opérateur intervient en prévention) et d’erreur probabilité s’exprime comme suit :
post-accidentelle (lorsque l’opérateur intervient en mitigation).
PFD (t ) = 1− R (t ) avec R (t ) : fiabilité du sy
ystème
2.3.3 Terminologie relative aux Systèmes • Probabilité de défaillance moyenne à la sollicitation PFDavg :
à Action Manuelle de Sécurité (SAMS) valeur moyenne de la probabilité de défaillance à la sollicita-
tion PFD (t ) par rapport à la période de temps séparant deux
Un SAMS comporte une composante humaine et une tests notée TI. Cette probabilité s’exprime comme suit :
composante technique. Pour ce type de MMR, il y a donc inter-
action entre l’homme et des éléments techniques de sécurité qui TI
entrent généralement dans la composition de SIS. 1
TI ∫0
PFDavg = PFD (t ) dt
Ce type de MMR est relativement fréquent lorsqu’il n’est pas
possible ou souhaitable d’asservir l’activation automatique d’élé-
ments finaux à une détection. Par exemple, la fonction de sécurité Les schémas en figure 11 permettent d’illustrer les notions de
visant à sectionner l’alimentation d’une canalisation sur une détec- PFD (t ) et PFDavg .
tion de chute de pression par l’intermédiaire d’un opérateur en Comme le mettent en évidence les schémas de la figure 11,
salle de contrôle constitue un SAMS. l’hypothèse faite est la suivante : suite à un test de bon fonction-
Avoir recours à ce type de MMR peut se révéler être un choix nement, la probabilité de défaillance à la sollicitation retrouve sa
judicieux afin de se prémunir des déclenchements intempestifs valeur initiale (remise à zéro).
d’organes de sécurité. En effet, dans le cas où la fermeture d’une
vanne d’isolement d’une capacité serait asservie sur atteinte du 3.1.1 Allocation par l’analyse de risques
seuil haut d’un seul détecteur de gaz, alors il est probable d’obser-
ver des déclenchements intempestifs (consécutivement à une La première méthode qui permet de déterminer la PFDavg maxi-
dérive ou défaillance du détecteur par exemple). En revanche, un male admissible pour une MMR est de mener une analyse des
SAMS remplissant la même fonction de sécurité qu’un SIS risques en identifiant l’ensemble des Événements Redoutés pour

PFD(t) PFD(t)
1 10–x
10–x
PFDavg
0 0
Temps Temps
TI
Évolution de la probabilité de défaillance PFD(t) Évolution de la probabilité de défaillance PFD(t)
d’un système non testé périodiquement d’un système soumis à une période de test TI
Figure 11 – Distinction entre PFD (t ) et PFDavg
lesquels la MMR est susceptible d’en prévenir l’apparition. Il faut

ensuite sélectionner l’un de ces Événements Redoutés afin de
déterminer les phénomènes dangereux qui y sont liés. Identification des ER pour lesquels
la MMR réduit l’occurence
Ces phénomènes dangereux font ensuite l’objet d’une modélisa-
tion des effets dans le but d’évaluer leurs gravités. Ces modélisa-
tions doivent être réalisées en retenant l’hypothèse que la MMR ne
Évaluation de la probabilité des ER à l’aide
remplit pas sa fonction de sécurité.
de banques de données, d’analyse
quantitative ou d’avis d’expert
Connaissant la gravité des effets des phénomènes dangereux et
la probabilité de l’Événement Redouté, il est alors possible de
déduire la PFDavg maximale admissible pour que les phénomènes
dangereux soient positionnés dans une zone de risque acceptable. Sélection de l’un des ER au regard
Généralement, le phénomène dangereux retenu correspond au de sa probabilité P(ER)
plus dommageable.
Ce phénomène est donc celui pour lequel l’exigence sur la pro-

babilité de la MMR sera la plus forte. En d’autres termes, le Facteur Définition des phénomènes dangereux
de Réduction de la Probabilité (FRP) nécessaire pour que la proba- liés à cet ER
bilité de ce phénomène soit acceptable sera le plus grand. Cette
approche qui consiste à retenir de manière implicite un « scénario
enveloppe » renvoie vers une approche déterministe des risques
malgré l’aspect probabiliste de la méthode. Modélisation de ces phénomènes dangereux
en considérant la MMR « inopérante »
L’organigramme de la figure 12 résume l’ensemble des étapes
permettant de définir un objectif « de sécurité » pour une MMR. Il
apparaît dès lors que le choix du scénario pour lequel la PFD maxi-
male admissible est déterminée influe fortement sur les résultats. Évaluation de la gravité de ces phénomènes
dangereux au regard des cibles environnantes
Exemple
Afin d’illustrer la méthodologie présentée en figure 12, considérons
qu’un industriel envisage de mettre en place comme MMR un SIS Sélection du phénomène dangereux
le plus dommageable Gmax
composé par un clapet interne au niveau du piquage de soutirage,
dont la fonction de sécurité est de se fermer sur détection gaz, dans
le but de réduire la probabilité d’occurrence de l’Événement Redouté
« Fuite sur piquage de soutirage d’une capacité sous pression ».
Quelle est alors la probabilité de défaillance maximale qu’il est possi- Positionnement du couple P(ER)/ )/Gmax
dans une matrice de criticité
ble d’accepter pour ce SIS ?
Pour cet exemple, le référentiel d’acceptabilité des risques choisi

est celui fixé par la matrice de criticité présentée dans la circulaire Détermination du Facteur de Réduction de la Probabilité (FRP)
du 29 septembre 2005 relatif aux critères d’appréciation de la permettant de positionner le couple en zone de risque acceptable
démarche de maîtrise des risques d’accidents susceptibles de sur-
venir dans les établissements dits « SEVESO », visés par l’arrêté
du 10 mai 2000 modifié, MEDD, BO no 5/21 du 15/11/2005. Cette
Déduction de la PFD maximale pour
matrice est présentée en figure 13. De manière simplifiée, cette
la MMR : PFDmax = 1 / FRP
matrice comprend trois zones de risques :
– une zone de risque considéré comme acceptable, zone dans

laquelle l’industriel n’a pas besoin de mettre en place des MMR Figure 12 – Méthodologie permettant de définir un objectif de PFD
complémentaires (cases vertes de la matrice) ; pour une MMR

Probabilité (sens croissant de E vers A)
Gravité des conséquences

E D C B A
sur les personnes
P < 10–5 10–5 ⭐ P < 10–4 10–4 ⭐ P < 10–3 10–3 ⭐ P < 10–2 P ⭓ 10–2
exposées au risque
MMR rang 2
Désastreux (5) NON rang 1 NON rang 2 NON rang 3 NON rang 4
(non partiel)
MMR rang 1 MMR rang 2 NON rang 1

Catastrophique (4) NON rang 2 NON rang 3
C B A
Important (3) MMR rang 1 MMR rang 1 MMR rang 2 NON rang 1 NON rang 2
Sérieux (2) MMR rang 1 MMR rang 2 NON rang 1

Modéré (1) MMR rang 1
Figure 13 – Influence de la probabilité de défaillance à la sollicitation (PFD) d’une MMR sur la criticité d’un phénomène dangereux
– une zone de risque considérée comme ALARP (As Low As – d’outils de modélisation permettant d’évaluer les distances
Reasonably Practicable), zone dans laquelle l’industriel doit d’effets relatives aux différents phénomènes dangereux liés à
démontrer que le niveau de criticité des phénomènes dangereux l’Événement Redouté ;
qui figurent dans cette zone ne peut être réduit avec un coût éco- – de données précises concernant le recensement des cibles
nomique raisonnable (cases jaunes de la matrice) ; inclues dans les zones impactées par les distances d’effets.
– une zone de risque considérée comme non acceptable, zone
dans laquelle l’industriel doit prévoir la mise en place de MMR
complémentaire afin de ramener la criticité des phénomènes dan- À retenir : l’utilisation de cette méthodologie nécessite de
gereux qui figurent dans cette zone à un niveau ALARP ou accep- mettre en place des outils et méthodes d’analyses de risques
table (cases oranges de la matrice). détaillées qui peuvent être couteux en termes de temps d’ana-
lyse. Cette méthode est réservée aux phénomènes les plus cri-
À l’aide d’une banque de données, la probabilité de l’Événement
tiques. Pour les autres, il est possible d’utiliser des
Redouté « Fuite sur piquage de soutirage d’une capacité sous
méthodologies semi-quantitatives (graphe de risque ou LOPA),
pression » a été évalué à 2 · 10–4/an (classe de probabilité C).
dont la mise en œuvre est plus simple.
En cas de fuite sur le piquage de soutirage suivie d’une inflam-
mation, un phénomène de flash fire a été identifié comme phéno-
mène fixant le niveau de gravité. À ce titre, l’industriel a réalisé la 3.1.2 Allocation par la méthode LOPA
modélisation du flash fire consécutif à l’inflammation du rejet en (Layer Of Protection Analysis)
considérant une durée de fuite égale à 30 minutes (temps néces-
saire à la vidange). Au regard des cibles environnantes, le phéno- Cette méthode intègre les couches de protection de l’entreprise,
mène de flash fire est caractérisé par un niveau de gravité de 4, tant organisationnelles que techniques. La méthode LOPA évalue
c’est-à-dire catastrophique. Ce couple P/G est matérialisé dans la la réduction du risque en analysant la contribution des différentes
matrice de la figure 13 à l’aide du point A. couches (des caractéristiques intrinsèques du procédé jusqu’aux
mesures de secours) en cas d’accident. Elle peut être utilisée dans
Au regard de la matrice de la figure 13, il n’est pas possible de le but de déterminer la probabilité de défaillance maximale admis-
ramener le phénomène de flash fire consécutif à une fuite sur une sible pour chaque MMR dont la mise en place est envisagée dans
durée de 30 minutes en zone de risque « acceptable ». En effet, la le but de ramener le risque à un niveau acceptable.
gravité du phénomène dangereux étant fixée à 4, l’industriel a
alors le choix : La méthode a pour vocation d’évaluer la fréquence annuelle
résiduelle d’accident. Pour se faire, il est alors nécessaire de pou-
– soit de définir un objectif de 10–1/sollicitation pour la PFD du voir quantifier les fréquences d’occurrence des événements initia-
SIS, dans ce cas de figure, le scénario de flash fire consécutif à une teurs et les probabilités de défaillance associées à chaque couche
fuite 30 minutes serait MMR rang 2 (point B dans la matrice de la de protection.
figure 13) ;
– soit de définir un objectif de 10–2/sollicitation pour la PFD du Les principales étapes de la méthode LOPA sont :
SIS, dans ce cas de figure, le scénario de flash fire consécutif à une 1. L’évaluation de la gravité dans le cas où l’Événement
fuite 30 minutes serait MMR rang 1 (point C dans la matrice de la Redouté se produirait.
figure 13). 2. L’identification de l’ensemble des événements initiateurs
Le passage de A en B ou de A en C correspond à un Facteur de dont la réalisation est susceptible de mener à celle de l’Évé-
Réduction du Risque respectivement égal à 10 et 100. nement Redouté.
L’intérêt de cette méthodologie est de définir de manière précise 3. L’identification de l’ensemble des mesures (ou couches de
la PFD d’une MMR par rapport à un scénario donné. En revanche, protection) qui permettent de prévenir du déroulement du
elle nécessite de disposer : scénario menant à l’Événement Redouté.
– de données permettant d’évaluer la probabilité ou la fréquence 4. L’évaluation de la fréquence des événements initiateurs, à
de l’Événement Redouté ; l’aide de valeurs d’occurrence déduites du retour d’expé-

rience du site, du retour d’expérience d’un secteur d’activité – possibilité d’éviter l’événement dangereux (P) ;
ou encore d’avis d’expert. – probabilité de l’occurrence non souhaitée (W).
5. L’évaluation des probabilités de défaillances à la sollicitation La norme CEI 61508-5 précise : « les paramètres de risque défi-
allouées aux différentes mesures. nis ci-dessus sont considérés comme suffisamment génériques
6. L’évaluation de la probabilité d’occurrence de l’Événement pour concerner la plupart des applications. Toutefois, certaines de
Redouté en prenant en compte le facteur de réduction lié aux ces applications peuvent nécessiter le recours à des paramètres de
mesures mises en place (probabilité résiduelle). risque supplémentaires ».
Pour chacun de ces paramètres, plusieurs critères d’appréciation
Les différentes étapes de cette méthodologie sont proches de
sont proposés. À titre d’exemple, le tableau 3 présente différents
celles présentées au paragraphe 3.1.1. En revanche, la définition
critères d’appréciation retenus pour les quatre paramètres (C, F, P
du risque acceptable n’est pas imposée par des valeurs de couples
et W). Ces critères sont fortement inspirés de ceux présentés dans
probabilité-gravité.
la norme CEI 61508-5.
En combinant les paramètres de risque décrits ci-dessus, il est
À retenir : la méthodologie LOPA constitue une approche possible de développer une arborescence des risques comparable
probabiliste « implicite » qui présente comme principal intérêt à celle qui est présentée en figure 14.
de prendre en considération l’ensemble des différentes L’exploitation du graphe de risque est relativement simple ; en
couches de protection, tant techniques qu’organisationnelles. fonction des critères choisis pour chacun des paramètres (C, F, P et
W), il suffit de suivre l’arborescence pour définir le niveau de sécu-
rité à allouer au SIS. Par exemple, supposons que les critères C3,
3.1.3 Allocation par la méthode du graphe F1, P2 et W3 aient été retenus, alors il apparaît que le niveau de
de risque sécurité requis pour le SIS soit SIL 3.
Le graphe de risque est une méthode dédiée aux SIS, qui per- La robustesse de cette méthodologie repose grandement sur la
met de définir le niveau de SIL (Safety Integrity Level) requis en définition des paramètres qui permettent de construire le graphe
fonction de paramètre prédéfinis. La notion de SIL est largement de risque. En effet, la définition de ces paramètres et les choix de
développée dans les normes CEI 61508 et CEI 615011. Le lecteur l’analyste ont un poids important sur la représentativité du résul-
pourra se reporter à l’article [SE 4 058] qui rappelle les principales tat. Cette méthode, comme toutes les méthodes qualitatives,
notions relatives au SIL. À titre de rappel, il existe quatre niveaux nécessite donc que l’analyste soit doté d’un niveau d’expertise suf-
de SIL, un système de sécurité possédant un niveau de SIL « n », a fisant afin de pouvoir « calibrer » les différents paramètres dans le
une probabilité de défaillance à la sollicitation comprise entre but de les adapter à l’installation étudiée. Un bon calibrage impli-
« 10–n » et « 10–(n+1) » et permet donc de réduire la probabilité de que de définir une échelle qui ne soit pas trop large afin de garan-
l’événement d’un facteur compris entre 10n et 10n+1. tir une précision suffisante dans les choix parmi les critères
hiérarchisés (C1, C2, etc.). En d’autres termes, les choix de l’ana-
Cette méthode repose sur un raisonnement qui permet de défi- lyste peuvent rapidement modifier la conclusion de l’analyse en
nir la nature de la situation dangereuse lorsque les systèmes rela- faisant passer le niveau d’intégrité d’une classe de probabilité (ou
tifs à la sécurité sont défaillants ou non disponibles. Pour ce faire, niveau de SIL) à une autre.
un certain nombre de paramètres qui permettent de graduer et
d’apprécier les risques sont utilisés. Cette méthodologie est À retenir : la méthodologie du graphe de risque constitue une
détaillée de manière précise au chapitre 5 de la norme CEI 61508 alternative à la réalisation d’une analyse détaillée des risques dans
(CEI 61508-5). le but de définir la PFDavg « maximale » admissible pour un SIS. En
Les quatre paramètres de risque habituellement utilisés sont les revanche, les critères d’évaluation permettant de définir les critè-
suivants : res C, F, P et W peuvent être difficiles à définir. Entre autres, il peut
– conséquence de l’événement dangereux (C) ; s’avérer délicat de juger des « conséquences de l’événement
– fréquence et durée d’exposition au danger (F) ; dangereux » sans avoir recours à la modélisation des effets.
Tableau 3 – Définition des paramètres du graphe de risque

Paramètre Hiérarchisation Critère d’évaluation
C1 Incident mineur
Conséquence C2 Blessures graves sur plusieurs personnes avec décès possible de l’une d’entre elles
C de l’événement
dangereux C3 Mort de deux personnes
C4 Nombre de morts supérieur à deux
Fréquence et durée F1 Faible fréquence d’exposition (exposition rare à fréquente dans une zone dangereuse)
F d’exposition
au danger F2 Forte fréquence d’exposition (exposition fréquente à permanente dans une zone dangereuse)
Possibilité d’éviter P1 Possible dans certaines conditions

P l’événement
dangereux P2 Impossible
W1 Faible probabilité
Probabilité
W d’occurrence W2 Probabilité moyenne
de l’événement
W3 Forte probabilité

Pour cette dernière catégorie, les méthodes d’évaluation des

W3 W2 W1 probabilités de défaillances restent aujourd’hui encore grandement
C1 basées sur des avis d’expert. En effet, s’il est possible pour des
a --- ---
équipements tels que des soupapes de trouver dans la littérature
des probabilités de défaillance à la sollicitation (exemple : probabi-
SIL 1 a --- lité de refus d’ouverture d’une soupape), il est beaucoup plus diffi-
P1
cile de trouver des données relatives à des mesures passives telles
F1 que des murs de protection ou des cuvettes de rétention.
C2 P2
SIL 2 SIL 1 a
F2 P1 En effet, pour ce type de MMR, il n’est pas aisé de comprendre à
quoi pourrait correspondre la « défaillance ». En effet, les mesures
F1 P2 passives de protection sont toujours dimensionnées pour protéger
C3
SIL 3 SIL 2 SIL 1 des cibles par rapport à une agression donnée. En d’autres termes,
F2 P1 ces mesures sont dimensionnées pour une intensité et une durée
d’agression au-delà desquelles l’efficacité de la mesure diminue.
P2
C4 F1
SIL 4 SIL 3 SIL 2 Par conséquent, dans le cas où la mesure de protection passive
P1 serait soumise à une agression plus « intense » susceptible
F2
d’aboutir à sa perte d’intégrité, on ne peut parler au stricto sensu
P2
SIL b SIL 4 SIL 3 de défaillance puisque le dispositif n’était pas initialement dimen-
sionné pour une telle agression. Néanmoins, il est tout de même
--- : Aucune prescription sécurité n’est nécessaire nécessaire de pouvoir faire correspondre à ce type de MMR un fac-
teur de réduction du risque. Ainsi, la notion de probabilité de
a : Pas de prescription sécurité particulière
défaillance à la sollicitation est souvent extrapolée à ce type de
b : Un SIS n'est pas suffisant pour garantir de la maîtrise des risques mesure. Pour évaluer la probabilité de défaillance de tels disposi-
tifs, il est possible de procéder :
Figure 14 – Exemple de graphe de risque
– par cotation dite directe en ayant recours à des banques de
données ;
4. Méthodes d’évaluation – par avis d’expert ;

– par une évaluation à l’aide de méthodologie type arbre de
de la probabilité défaillances ou AMDEC.
de défaillance L’approche par arbre de défaillances a pour avantage d’identifier

l’ensemble des combinaisons de causes pouvant être à l’origine
des dispositifs de sécurité d’un « disfonctionnement » du dispositif.
Le tableau 4 présente quelques valeurs de probabilité de
Comme nous l’avons précédemment vu, la maîtrise des risques défaillance de dispositifs de sécurité passifs extraites de LOPA [1].
repose sur des MMR qui peuvent être des SIS, des SAMS ou
Le tableau 5 présente quelques valeurs de probabilité de
encore des dispositifs de sécurité. Il convient de préciser qu’un dis-
défaillance pour des dispositifs de sécurité actifs extraites de
positif de sécurité, qu’il soit actif ou passif, est susceptible de
LOPA [1] et du Guidelines for Process Equipment Reliability Data [5].
défaillir. À titre d’exemple :
• Un mur de protection contre le feu remplira correctement sa Le tableau 5 permet de constater que les valeurs rapportées
fonction de sécurité uniquement s’il a été correctement dans les banques de données sont relativement dispersées et qu’il
dimensionné, et si son intégrité est maintenue et contrôlé paraît alors délicat d’évaluer une probabilité de défaillance par
dans le temps. cotation directe sans réaliser une analyse spécifique.
• Une soupape de sécurité sur un équipement sous pression En revanche, les autres méthodes (avis d’expert ou approche
remplira correctement sa fonction de sécurité uniquement si quantitative) ne permettent pas non plus de s’affranchir d’une incer-
elle a été correctement dimensionnée, et si sa maintenance per- titude importante sur les résultats. Afin de renforcer la cotation
met de prévenir des causes de défaillances, telles que la forma- directe, le retour d’expérience de l’exploitant ou d’un secteur indus-
tion de dépôts ou le bouchage, qui pourraient influer sur la triel peut aussi être pris en compte afin d’affiner la probabilité de
pression de tarage (augmentation de la pression d’ouverture). défaillance allouée aux dispositifs de sécurité (passifs et actifs).
Tableau 4 – Quelques valeurs de PFD pour des dispositifs passifs de sécurité issues de LOPA [1]
Dispositif de sécurité passif PFD issue de la littérature PFD retenue dans LOPA
Cuvette de rétention 10–3 à 10–2/sollicitation 10–2/sollicitation
Système de drainage 10–3 à 10–2/sollicitation 10–2/sollicitation
Évent 10–3 à 10–2/sollicitation 10–2/sollicitation
Ignifuge 10–3 à 10–2/sollicitation 10–2/sollicitation
Mur résistant à la surpression/bunker 10–3 à 10–2/sollicitation 10–2/sollicitation
Arrête flamme 10–2 à 10–1/sollicitation 10–2/sollicitation

Tableau 5 – Quelques valeurs de PFD pour des dispositifs actifs de sécurité issues de LOPA [1]
et du Guidelines for Process Equipment Reliability Data [5]
Dispositif de sécurité actif PFD issue de LOPA PFD issue du CCPs
2,85 · 10–4 à 6,73 · 10–3
Clapet anti-retour Pas de valeur rapportée
(moyenne 2,2 · 10–3)
7,9 · 10–6 à 7,98 · 10–4
Soupape non pilotée
10–5 à 10–1/sollicitation (moyenne 2,12 · 10–4)
(10–2/sollicitation préconisée) 9,32 · 10–6 à 1,82 · 10–2
Soupape pilotée
(moyenne 4,15 · 10–3)
10–5 à 10–1/sollicitation
Disque de rupture Pas de valeur rapportée
(10–2/sollicitation préconisée)
5. Méthodes d’évaluation échec. La figure 15 détaille les différentes phases nécessaires à

l’exécution d’une action humaine.
de la probabilité
Comme il est possible de le constater sur la figure 15, depuis

l’apparition de l’événement initiateur, le succès de la mission que
de défaillance des Mesures doit remplir l’opérateur nécessite le succès des trois phases
suivantes :
de Maîtrise des Risques – phase de détection de l’événement initiateur ;
faisant intervenir l’homme – phase de diagnostic ;
– phase d’action.
L’arbre d’événement présent sur la figure 16 met en évidence les
5.1 Origines de l’intérêt porté à l’erreur séquences aboutissant soit au succès soit à l’échec de l’opérateur.
humaine D’après l’arbre présenté sur la figure 16, il est possible de
conclure que trois séquences sur quatre aboutissent à un échec.
À partir des années 1970, un intérêt croissant est porté aux ana-
lyses visant à caractériser la « fiabilité humaine ». Diverses raisons
peuvent expliquer cette préoccupation. Tout d’abord, les systèmes
5.3 Deux types d’erreur humaine
deviennent de plus en plus complexes et sont susceptibles Il est nécessaire de distinguer deux types d’erreur humaine :
d’observer des défaillances dont les conséquences peuvent être
catastrophiques. Dans les années 1980 à 1990, l’analyse d’acci- • les erreurs « pré-accidentelles » : ces erreurs peuvent être à
dents tels que Bhopal ou Tchernobyl met en avant le poids de l’origine d’un Événement Redouté (exemple : le non respect
l’erreur humaine dans le déroulement de ces accidents. d’une procédure de montage d’un flexible).
La nécessité de prendre en considération le facteur humain dans • les erreurs « post-accidentelles » : ces erreurs apparaissent
la conception des systèmes a eu comme effet l’émergence de consécutivement à la réalisation de l’Événement Redouté
méthodologies permettant d’évaluer et de « quantifier » par des lorsque l’opérateur constitue l’un des éléments d’une fonc-
approches rigoureuses le comportement humain. Ces méthodolo- tion de sécurité (exemple : échec lors de la fermeture d’une
gies dites « d’analyse de la fiabilité humaine » sont encore vanne manuelle de sectionnement).
aujourd’hui utilisées dans de nombreux secteurs d’activité (indus- La nécessité de pouvoir évaluer l’occurrence d’erreurs
trie, aéronautique, etc.). « pré-accidentelles » se retrouve lors de l’évaluation de la probabi-
lité d’occurrence d’un Événement Redouté à l’aide de la quantifica-
tion d’un arbre de défaillances par exemple. Ces erreurs sont pour
5.2 Définition de l’erreur humaine certaines indétectables en l’absence de l’apparition de l’Événement
Redouté, elles sont donc parfois qualifiées de latentes.
De nombreuses opérations dans l’industrie se font sous le La nécessité de pouvoir évaluer l’occurrence d’erreurs « post
contrôle ou la présence d’un opérateur ; citons par exemple la accidentelles » se retrouve lors de l’estimation des probabilités des
connexion d’un bras de dépotage sur la citerne d’un camion, ou Événements Redoutés Secondaires lorsque l’opérateur intervient
encore la supervision du déroulement d’une réaction chimique dans une fonction de sécurité. En d’autres termes, c’est lors de la
depuis une salle de contrôle. Dans ces deux cas, qu’il s’agisse d’un quantification des arbres d’événements qu’il est nécessaire de
incident ou d’un accident, l’opérateur sera amené à réaliser des pouvoir évaluer ces valeurs. Ces erreurs sont détectables
actions destinées à rétablir la situation : immédiatement, c’est-à-dire que l’erreur entraîne immédiatement
– l’opérateur présent lors du dépotage d’un camion citerne peut un effet, elles sont donc parfois qualifiées de dynamiques.
être amené à déclencher l’arrêt d’urgence en cas de désaccouple-
ment d’un bras ;
– l’opérateur en salle de contrôle peut être amené à mener des 5.4 Quantification de l’erreur humaine
actions permettant de pallier à la dérive des paramètres de
conduite. 5.4.1 Comportement humain : variable difficile
à quantifier
Tout comme une barrière technique peut défaillir (chaîne de
sécurité, etc.), l’opérateur peut « échouer » lors de son action. La La probabilité de succès d’une mission réalisée par un opéra-
spécificité de l’homme fait qu’entre le moment de la détection d’un teur, dépend de multiples facteurs qu’il n’est pas aisé d’estimer et
incident nécessitant son intervention et la réalisation de l’action de de prendre en considération afin de pondérer une valeur moyenne
mise en sécurité, son jugement est susceptible d’aboutir à un de probabilité d’échec.

Phase
Succès ou
échec de l’action
humaine
Phase d’action
Phase
de diagnostic
Phase
de détection
Événement
initiateur (incident
ou accident)
Temps
Figure 15 – Du diagnostic à l’action d’après [6]
Détection Diagnostic Action Conséquence

Probabilité
d’échec 1
Succès
du diagnostic
Borne supérieure
Échec (1) 10–1
Psuccès Échec
Événement 10–2
initiateur
Péchec 10–3
Échec Médiane
10–4
(1) Échec : action non en adéquation avec l’événement
initiateur ou action intervenant trop tardivement 10–5 Borne inférieure
Figure 16 – De la détection à l’action 10–6
10–7
Les principales méthodes d’évaluation font mention de facteurs 1 10 100 1 000
ayant un poids plus ou moins grand sur la probabilité d’erreur t (min)
humaine. Les principaux à retenir sont les suivants :
– le niveau de formation initiale, l’expérience et l’entraînement Figure 17 – Évolution de la probabilité d’échec en fonction
face à la réalisation d’un Événement Redouté ; du temps [7]
– la complexité de la tâche à réaliser (routinière ou non ; nombre
de tâches concomitantes, dépendance ou non entre les tâches
d’une même séquence) ;
– le temps de réponse disponible, lorsque l’opérateur est face à
une situation complexe ; Tableau 6 – Évolution de la probabilité d’erreur
– le niveau de stress de l’opérateur qui peut être lié : à la percep- en fonction du temps
tion de la gravité de l’Événement Redouté, au temps disponible
pour réaliser la tâche, etc. Temps Probabilité d’erreur
(min) (/action)
Afin de prendre en compte l’influence du temps de réaction,
Swain propose un modèle retranscrit au travers de la figure 17 qui 1 1
permet de prendre en compte l’évolution de la probabilité d’échec
en fonction du temps. Il est à noter que ce modèle repose essen- 5 2 · 10–1
tiellement sur un consensus d’expert en « fiabilité humaine » du
secteur d’activité du nucléaire. 10 1 · 10–1
À partir du graphique de la figure 17, il est possible d’en déduire
les ordres de grandeurs de probabilité d’échec (ou erreur) d’un 20 1 · 10–2
opérateur en fonction du temps qui sont présentées dans le
tableau 6. 30 1 · 10–3
Au regard de l’évolution de la probabilité d’erreur en fonction du
60 1 · 10–4
temps, il semble que l’homme ne puisse pas être jugé très

« fiable » pour des actions qu’il est nécessaire de mettre en œuvre

en moins de 5 minutes. Tableau 7 – Les facteurs de la méthode TESEO
En revanche, il est important de rappeler que la formation, Facteurs de probabilité
l’entraînement et l’expérience d’un opérateur sont des paramètres d’erreur Ci
qui peuvent permettre d’obtenir des comportements humains sus-
ceptibles de faire face à des situations accidentelles dans des Type d’activité C1
temps inférieurs à 5 minutes, avec des probabilités d’erreur pou-
Simple, routine 0,001
vant être inférieures à 1 · 10–1.
Routine, nécessitant de l’attention 0,01
Exemple
Opération non routinière 0,1
Dans de nombreux secteurs d’activité, le personnel d’exploitation
peut mettre les installations en sécurité sur simple enclenchement Facteurs de stress C2
d’un bouton d’arrêt d’urgence. Pour ce type d’action qui ne nécessite
pas de phase de diagnostic complexe, alors, les probabilités d’erreur Pour des opérations de routine
allouées à l’opérateur (dans le cadre d’analyse quantifiée des risques)
peuvent être inférieures à 1·10–1. Temps disponible : 2 secondes 10
Temps disponible : 10 secondes 1
À retenir : plusieurs facteurs propres au comportement Temps disponible : 20 secondes 0,5
humain (stress, fatigue, niveau de formation, etc.) peuvent
influer sur la « fiabilité » humaine. Pour des opérations qui ne sont pas de routine
5.4.2 Principales méthodologies d’évaluation
Il existe de nombreuses méthodes relatives à l’évaluation des
probabilités d’erreur humaine. Parmi elles, on peut relever la Temps disponible : 45 secondes 0,3
méthode THERP [8] (Technique for Human Error Rate Prediction)
ou encore la modèle TESEO [9] (Tecnica Empirica Stima Errori Temps disponible : 60 secondes 0,1
operatori ). À titre de complément, on peut citer : Compétence/formation
– la méthode HCR (Human Cognitive Reliability Correlation) [10] ; de l’opérateur C3
– la méthode HEART (Human Error Assessment And Reduction
Technique). Bien formé, expert 0,5
Il est à noter le rapport OMEGA 20 de l’INERIS [4] qui propose Formation et connaissance moyennes 1
une méthodologie d’évaluation de la probabilité de défaillance des
« barrières humaines ». La méthode proposée postule que le Faible niveau de formation et
niveau de confiance optimal pouvant être alloué à un opérateur est d’entraînement 3
de 2 soit une probabilité de défaillance comprise entre 10–3 et 10–2.
Cette valeur est ensuite corrigée (surcotée) ou non en fonction de Anxiété C4
différents paramètres (complexité de l’action, niveau de Situation d’urgence réelle 3
compétence de l’opérateur, etc.).
Situation d’urgence potentielle 2
5.4.2.1 Principe de la méthode THERP
Situation normale 1
Cette méthode a été développée par Swain en 1961 et appliquée
pour la première fois en 1972 à un système industriel dans le cadre Ergonomie (interface avec l’usine) C5
de l’étude de sécurité portant sur les réacteurs nucléaires intitulée
WASH-1400. Cette méthode a par la suite été améliorée en asso- Excellente 0,7
ciation avec Guttman en 1983 dans l’ouvrage « Handbook of Bonne 1
human reliability analysis with emphasis on nuclear power plant
application ». Moyenne 3à7
Dans cette méthode, la probabilité d’erreur s’exprime comme Faible 10
par le produit de trois termes :
– une probabilité de base (suivant opération et interface
homme-machine) ; La « probabilité de défaillance » pour une mission donnée cor-
– un coefficient correctif (stress) ; respond au produit de ces différents coefficients. Les coefficients
– une probabilité de non-récupération de l’erreur. proposés dans la méthode TESEO sont présentés dans le
Cette méthode n’est pas plus développée dans cet article, du fait tableau 7.
de sa complexité qui la rend difficilement applicable dans des ana-
L’ouvrage intitulé « L’état de l’art dans le domaine de la fiabilité
lyses de risques telles que celles menées dans le cadre d’études de
humaine » [11] liste les principales limites de la méthode TESEO :
dangers réglementaires.
– les facteurs de pondération ne sont pas basés sur des justifica-
5.4.2.2 Principe du modèle TESEO tions robustes mais sur des avis d’expert ;
Cette méthode prend en compte cinq facteurs qui sont : – le modèle TESEO n’est que peu validé par des données
expérimentales ;
– la nature de la tâche ;
– le modèle n’est pas adapté à la quantification de diagnostics
– le temps disponible pour la réaliser ;
complexes.
– la formation de l’opérateur ;
– le stress généré (gravité de l’accident) ; En revanche, sa simplicité permet une application rapide, ce qui
– les facteurs d’ergonomie. constitue un réel atout.

5.4.3 Quelques probabilités d’erreurs humaines Tableau 9 – Quelques valeurs de probabilité

Les valeurs rapportées dans la littérature sont très diffuses et ce d’erreur humaine issues du CPR 12 E [13]
pour deux raisons : Probabilité
Description de la tâche
• Les probabilités d’erreur humaine dépendent de nombreux d’erreur
facteurs liés à l’opérateur (formation, stress, etc.) et à la
Programmer des tâches telles que des tests et
nature de l’action (complexité, temps de réalisation, etc.). 0,01
maintenances périodiques
• Les probabilités d’erreur humaine peuvent être estimées à
l’aide de modèle (THERP, etc.), à partir de retour d’expé- Démarrer une inspection programmée 0,001
rience, de simulations ou encore par avis d’expert. Utiliser une procédure opératoire écrite, sous
0,005
Ainsi, dans la littérature, les probabilités d’erreur humaine peu- conditions opératoires normales
vent varier entre 10–5 et 1.
Utiliser une procédure opératoire écrite, sous
Les données rapportées dans le tableau 8 issues de l’E&P 0,01
conditions opératoires anormales
Forum [12] mettent en évidence cette disparité des valeurs en
fonction de divers facteurs qui influent sur la probabilité d’erreur. Utiliser une liste de changement ou de restaura-
0,01
tion
Le tableau 9 présente quelques valeurs issues de la méthode
THERP pour différentes tâches. Utiliser une procédure écrite de test ou d’étalon-
0,05
Dans son ouvrage intitulé « Sûreté de fonctionnement des sys- nage
tèmes industriels » [7] A. Villemeur, rapporte les données propo-
Utiliser des procédures écrites de

sées par Hannaman. En fonction de la nature de l’action réalisée, 0,3
maintenance
les probabilités d’erreur humaine sont les suivantes :– actions
« machinales » : 5 · 10–5 à 5 · 10–3/opération ; Utiliser correctement une check-list 0,5
– actions « procédurales » : 5 · 10–4 à 5 · 10–2/opération ;
– actions « cognitives » : 5 · 10–3 à 5 · 10–1/opération.
Ces écarts importants en fonction de la nature de l’action à réali-
ser expliquent entre autre pourquoi l’homme peut se révéler très 6. Conclusion
« fiable » pour certaines missions ou tâches simples réalisées quo-
tidiennement mais que face à des situations accidentelles peu fré-
quentes nécessitant un diagnostic dans un faible laps de temps L’évaluation des probabilités de défaillances des MMR prend
alors celui-ci peut devenir beaucoup moins « fiable ». une part de plus en plus importante dans les analyses de risques
du fait des enjeux humains et économiques liés à l’évaluation des
Exemple probabilités d’occurrence des phénomènes dangereux. En effet,
dans le cadre des études PPRT (Plan de Prévention des Risques
Appuyer sur la pédale de frein de sa voiture est une action qui Technologiques), en fonction de sa probabilité, du nombre, du
entre dans la catégorie machinale telle que définie par Hannaman. type et de la probabilité de défaillance des MMR, un phénomène
Cela explique donc pourquoi malgré un grand nombre de freinages dangereux sera ou non retenu dans le cadre de la maîtrise de
réalisés par un conducteur, la probabilité d’erreur ou d’échec est suf- l’urbanisation. Dès lors, il apparaît nécessaire de disposer de
fisamment faible pour que la fréquence d’accident liée à ce type méthodes ayant une traçabilité dans le temps afin d’évaluer avec
d’erreur soit faible. transparence les probabilités de défaillances des mesures qui per-
mettent de garantir la bonne maîtrise des risques.
D’une manière plus générale, l’évaluation des probabilités de

défaillances des MMR dans le cadre de la réalisation d’analyse
Tableau 8 – Quelques probabilités d’erreur quantifiée des risques constitue une étape importante dans la jus-
humaine issues de l’E&P Forum [12] tification de la bonne maîtrise des risques. Ainsi, dans le cadre de
Probabilité grands projets d’ingénierie, cette étape constitue un passage
Type d’erreur humaine obligé afin de garantir au client :
d’erreur
Erreur « extraordinaire » qu’il est difficile de – que la conception des installations est sûre ;
concevoir comment elle pourrait 10–5
– que les installations génèrent des risques « acceptables » au
apparaître (sans stress)
regard de critères d’acceptabilité sociaux et/ou réglementaire.
Erreur lors de la réalisation d’une tâche de rou-
10–4 En revanche, il est nécessaire de rappeler que l’évaluation de la
tine avec peu de stress
probabilité de défaillance des MMR n’est que l’un des critères qui
Erreur lors de la sélection d’un bouton avec peu doit être étudié afin de caractériser leurs performances. En effet,
10–3
de temps disponible les critères d’efficacité et de temps de réponse constituent deux
Erreur lors de la réalisation d’une tâche peu autres critères qui permettent de juger de la performance et de
10–2 conclure sur l’adéquation d’une MMR vis-à-vis d’un phénomène
familière avec peu de feed back
dangereux.
Erreur lors de la réalisation d’une tâche extrême-
10–1 La caractérisation des performances des MMR qui jusque là était
ment complexe avec peu de temps disponible
réservée aux MMR remplissant une fonction de mitigation ou de
Erreur lors de la réalisation d’une tâche extrême- protection tend à s’étendre aux MMR de prévention. Il est à ce titre
ment complexe et peu familière avec un faible 10–1 à 1 intéressant de rappeler que de nombreuses MMR de prévention
temps disponible et un stress important sont constituées par des mesures dites organisationnelles pour
Ces données sont issues de Hunns and Daniels, B.K., The Method of Pai- lesquelles l’homme joue un rôle prépondérant. Or, si prévoir le
red Comparisons, Proceedings 6th Symposium on Advances in Reliability comportement de systèmes n’est pas aisé, il se révèle encore plus
Technology, Report NCSR R23 and R24, UK Atomic Energy Autority, délicat de prévoir le comportement de l’homme qui contrairement
1980. à une machine ne revêt pas un caractère déterministe.

P
O
U
Principes d’évaluation de la probabilité R
de défaillance des Mesures de Maîtrise
E
des Risques (MMR) N
par Olivier IDDIR

S
Ingénieur analyse de risques industriels
TECHNIP FRANCE A
Service expertise & modélisation
Division procédés et technologie V
O
I
À lire également dans nos bases
R
MORTUREUX (Y.). – Arbre de défaillances, des cau- IDDIR (O.). – Le Nœud Papillon : une méthode de IDDIR (O.). – Évaluation de la probabilité de dé-
ses et d’événement. [SE 4 050] Sécurité et ges- quantification du risque majeur. [SE 4 055] Sé- faillances d’un Système Instrumenté de Sécu-
tion des risques (2002). curité et gestion des risques (2008). rité (SIS). [SE 4 058] Sécurité et gestion des ris-
ques (2009).
MORTUREUX (Y.) et AMDE (C.). – [SE 4 040] Sécu-
rité et gestion des risques (2005). P
Sources bibliographiques L
[1] CCPS. – LOPA – Layer Of Protection Analy-
sis, simplified process risk assessment
[6] DINO (G.), DIMATTIA1, FAISAL (I.), KHAN2 et
AMYOTTE (P.-R.). – Determination of Human
[9] BELLO et COLOMBARI. – The human opera-
tor failures in petrochemical facilities : an his-
U
[2]
(2001).
DAVIDIAN (B.) et TOURNIAIRE (C.). – L’IEC

error probabilities for offshore platform
musters. Journal of loss prevention in the
process industries, vol. 18, no 4-6, p. 488-501
torical investigation and a tentative simula-
tion model TESEO. 6th Advances in
Reliability Technology Symposium, UKAEA-
S
61508, un bon guide pour la sécurité. Mesu- (2005). NCSR-R23 (1980).
res 746, Air Liquide, SPC Consultants, juin
[10] HANNAMAN, SPURGIN et LUKIC. – A model
2002. [7] VILLEMEUR (A.). – Sûreté de fonctionnement for assessing human cognitive reliability in
des systèmes industriels : fiabilité, facteurs PRA studies. Third IEEE conference on Hu-
[3] REASON (J.). – Human Error. Cambridge Ui-
humains et informatisation. Volume Collec- man Reliability, monterey, USA (1985).
versity Press, New York, USA (1990).
tion de la Direction des Recherches et Études
[11] OCTARES. – L’état de l’art dans le domaine
[4] MICHE (E.), PRATS (F.) et CHAUMETTE (S.). d’Électricité de France, Éditions Eyrolles, Pa-
de la fiabilité humaine. Institut de sureté de
– Omega 20 : Démarche d’évaluation des ris, France (1998).
fonctionnement, 1er janv. 1994.
Barrières Humaines. Rapport INERIS, déc.
[8] SWAIN (A.-D.) et GUTTMANN (H.-E.). – Han- [12] E&P Forum Report no 11.8/250 (1996).
2006.
dbook of Human Reliability Analysis with [13] CPR 12 E. – Methods for determining and
[5] CCPs. – Guidelines for Process Equipment Emphasis on Nuclear Power Plant Applica- processing probabilities. Committee for the
Reliability Data with data tables (1989). tion. US-NRC-NUREG/CR-1278, août 1983. Prevention Disasters, Second edition (1997).
Sites Internet
Institut national de l’environnement industriel et des risques (INERIS) Institut pour la maîtrise des risques (IMdR)
http://www.ineris.fr http://www.imdr-sdf.asso.fr
http://www.ineris.fr/badoris Institut pour une culture du risque industrielle.
http://www.icsi-eu.org/

est strictement interdite. – © Editions T.I. Doc. SE 4 057 – 1
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Se4057

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Se4057

Transféré par

Droits d'auteur :

Formats disponibles

Réf.

par Olivier IDDIR

Résumé L’Administration demande aujourd’hui aux industriels français de présenter des

Pour toute question :

Principes d’évaluation de la probabilité

Ingénieur analyse de risques industriels

Service expertise & modélisation – Division procédés et technologie

Évaluation de la probabilité de défaillance des MMR SE 4 057 - 2

a maîtrise du risque industriel impose aux industriels de mener des ana-

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

« valeurs seuils » de probabilité. Afin de mener une approche transparente, les

de MMR, des ordres de grandeur de probabilité de défaillance seront donnés.

APR Analyse préliminaire des risques

CCPs Center for Chemical Process safety.

HAZOP Hazard Operability.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Méthode LOPA Layer of Protection Analysis.

MMR Mesure de Maîtrise des Risques.

PFD (t) Probability Failure on Demand.

PFDavg Average of Probability Failure on Demand.

Probabilité d’occurrence Au sens de l’article L. 512-1 du code de l’environnement, la probabilité d’occurrence

Risque « Combinaison de la probabilité d’un événement et de ses conséquences » (ISO/CEI 73).

SIL Safety Integrity Level.

SIS Système Instrumenté de Sécurité.

THERP Technique for Human Error Rate Prediction.

TESEO Tecnica Empirica Stima Errori Operatori.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

de défaillance des MMR Plans d’urgence site (7)

et traçabilité Protections post-décharge

triels. Cette évolution impose :

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

À titre d’exemple, l’arborescence de la figure 3 met en évidence

Comme nous l’avons précédemment indiqué, les MMR ont pour

Mesure de prévention Mesure de mitigation

Arbre de défaillances Arbre d’événements Arbre des conséquences

Figure 2 – Les différents types de Mesures de Maîtrise des Risques

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Tableau 2 – Définition des événements de la figure 2

ERS Redouté Conséquence directe de l’Événement Redouté

Libération du gaz Effets

1 : Système de régulation de pression

Exemple Dans le cas où les MMR ne remplissent pas leurs fonctions de

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Risque Risque Risque

Réduction du risque effective

Couverture partielle Couverture partielle

Réduction du risque « globale » obtenue à l’aide de l’ensemble

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

1-Pd(MMR1) Phénomène résiduel lié au succès de la

Phénomène dangereux lié à la

F(EI) : fréquence d’occurence de l’Événement Initiateur

Figure 6 – « Matérialisation » de l’effet des MMR adapté d’après LOPA [1]

pas de risque pour les personnes et l’environnement) d’un système

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

Le risque ne peut être justifié

Zone tolérable ou Tolérable seulement si une réduction de

Comme le risque est réduit, il est d’autant

Zone généralement Il est nécessaire de maintenir

Figure 8 – Définition de la notion ALARP d’après annexe B de la norme CEI 61508-5

Les flèches matérialisent la transmission des informations

Figure 10 – Schéma simplifié de l’architecture d’un SIS

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

2.3.2 Terminologie relative aux « barrières