Ch3 

Introduction :
La gestion des risques professionnels consiste à la fois à se doter d’une stratégie de
gestion des risques, d’une politique de prévention, de méthodes pour identifier les
risques, les évaluer et les hiérarchiser, de choix de moyens de maîtrise et de
contrôle, d’allocations des ressources budgétaires et humaines correspondantes aux
plans d’action à mettre en œuvre, mais aussi de formation, d’information et de
sensibilisation aux risques de la structure managériale et de tout le personnel .

Notion de risque selon la norme ISO :

La norme ISO/IEC Guide 73 définit le risque comme la combinaison de la probabilité
d’un événement et des conséquences de celui-ci.
Le simple fait d'entreprendre ouvre la possibilité d'évènements dont les
conséquences sont potentiellement bénéfiques (aléa positif) ou préjudiciables (aléa
négatif).
On s'accorde de plus en plus à reconnaître que la gestion du risque s’intéresse à
celui-ci sous les deux aspects de l'aléa positif et de l'aléa négatif. C'est pourquoi le
présent document adopte les deux perspectives.
Dans le domaine de l’hygiène et la sécurité ou de la sûreté, les conséquences sont
en général uniquement négatives et donc la gestion de ce type de risque est centrée
sur leur prévention et leur atténuation.
Le risque peut être défini par la probabilité de survenue d’un incident, d’une situation
souhaitée ou non ayant des conséquences négatives résultant de la survenue d’un
ou plusieurs évènements dont l’occurrence est incertaine.
Un risque est donc un évènement redouté qui réduit l’espérance de gain et/ou
d’efficacité dans une activité humaine. Le risque peut aussi être défini par les deux
dimensions qui le composent :
- la probabilité de cet évènement pouvant être déterminée par la fréquence de
survenue.
- la gravité, l’impact estimé de l’événement en termes de dommage
Le risque est présent dans toute activité et, en santé, la prise de risque à court terme
est souvent nécessaire pour un bénéfice à long terme. Le cas de la prescription
d’une chimiothérapie en est un exemple typique ; le risque d’effet indésirable à court
terme est élevé mais il est indispensable de prendre ce risque pour espérer obtenir
les effets attendus des médicaments utilisés. Il faut différencier la prise de risque
volontaire (décision d’utiliser un protocole de chimiothérapie plus efficace mais avec
plus d’effets indésirables) et involontaire ou subi car non connus ou prévus (erreur de
volume de médicament prélevé lors de la préparation).
La démarche de gestion des risques consiste à évaluer la prise de risque versus la
maîtrise des dangers.

Qu’est-ce-que la gestion des risques ?

Les risques sont des événements incertains, et tous les risques ne sont pas égaux.
Certains risques sont relativement faciles à gérer, tandis que d’autres peuvent avoir
des conséquences catastrophiques pour l’organisation. La gestion des risques
permet de déterminer comment évaluer les différents types de risques et comment
gérer les risques les plus importants.

Il est impossible de prédire si ces événements se produiront ou, le cas échéant,

quand ils se produiront. Toutefois, grâce à leur expérience et en faisant preuve
d’esprit critique, la direction et le personnel peuvent envisager le type d’événements
pouvant se produire dans l’avenir et évaluer l’incidence qu’ils pourraient avoir s’ils se
produisaient. C’est donc dire que le processus de gestion des risques permet de
détecter les événements possibles et d’évaluer la probabilité qu’ils se produisent
ainsi que leur incidence sur votre organisation. Plus précisément, la gestion des
risques est le processus et l’ensemble d’activités permettant de détecter et d’évaluer
les risques, de planifier en conséquence et d’en faire la surveillance dans un cadre
structuré. La gestion des risques est plus efficace lorsqu’elle est faite dans tous les
secteurs de l’organisation et lorsqu’elle est alignée sur la vision, les priorités
stratégiques et les programmes des secteurs d’activité de la Première Nation. Le
cadre de gestion des risques comporte les politiques, les procédures et les pratiques
associées à une bonne gestion des risques. On désigne la gestion des risques au
sein d’une entreprise comme la « gestion du risque d’entreprise ».
Les méthodes de gestion des risques :
 L’arbre de défaillance
 APR analyse préliminaire des risques L’arbre des conséquences
 AMDE et AMDEC
 HAZOP (Hazard and Opérabilité study)
L’importance de la gestion des risques :
Il est important de gérer les risques, car la Première Nation a entamé un dialogue sur
ses priorités stratégiques, sur l’effet qu’elles produiront et sur les conséquences de
ne pas les concrétiser. La gestion des risques permet également de faire
comprendre au sein de l’organisation les priorités auxquelles les ressources sont
affectées, dans le cadre des programmes de travail des secteurs d’activité, de
manière à atteindre les objectifs fixés.
La valeur de la gestion des risques est différente à chaque échelon de l’organisation.
La gestion des risques permet au chef et au conseil de Première Nation de se
concentrer sur les risques importants auxquels l’organisation fait face. Une fois la
priorité des risques établie, le chef et le conseil de Première Nation peuvent
déterminer comment les gérer et comment affecter les ressources appropriées. Un
processus structuré de gestion des risques est un guide pour le gestionnaire
principal et pour l’organisation, car il permet de mettre en œuvre les priorités
stratégiques de la Première Nation en tenant compte des événements pouvant nuire
à leur réalisation.

Les avantages de la gestion des risques :

 Détecter des risques que ne sont pas apparents. 
 Présenter divers points de vue au Conseil d’administration et soutenir
celui-ci
 Obtenir de la reconnaissance lorsqu’on coopère. 
 Établir une meilleure défense contre les recours collectifs. 
 Réduire la responsabilité de l’entreprise. 
 Encadrement des problèmes d’ordre réglementaire. (Les programmes de
gestion préventive des risques permettent de mieux comprendre les
problèmes liés aux protections d’assurance, à l’indemnisation et à la
responsabilité, et ils habilitent aussi l’entreprise à mieux orienter et à mieux
organiser ses enquêtes.)

Les étapes de la gestion des risques :

Le processus de gestion des risques comporte les quatre étapes illustrées ci-
dessous.

Nous avons conçu ce processus de manière à ce qu’il

soit simple, et nous avons créé une boîte à outils pour
vous aider à chacune des étapes du processus. Nous
recommandons d’exécuter les étapes 1, 2 et 3 au
moins une fois par année pour s’assurer d’analyser
l’environnement actuel et de porter un regard neuf sur
les risques déjà détectés. Il est important d’ajouter les
risques perçus lorsque de tels risques sont détectés,
peu importe où l’on se trouve dans le cycle de gestion
des risques. L’étape 4, le plan de gestion des risques,
consiste en une gestion continue des risques
prioritaires.
Étape 1 — ÉNONCÉS DE RISQUES
Déterminer les événements négatifs et leur incidence possible. C’est ce qu’on
appelle les « énoncés de risques ». Cette étape requiert habituellement la
participation des dirigeants de la Première Nation, soit le chef et le conseil de
Première Nation, les gestionnaires et les responsables des secteurs d’activité, etc.
Le tableau 1 ci-après fournit 5 exemples d’énoncés de risques

Exemple d’énoncés de risques

Étape 2 — REGISTRE DES RISQUES

Énumération de tous les énoncés de risques (créés à partir d’événements et de leur

incidence possible) dans un tableau que nous appelons le registre des risques, qui
se trouve dans la boîte à outil de gestion des risques.
Le registre des risques est un tableau dans lequel sont énumérés tous les risques de
façon structurée, comme ci-dessous.

Exemple de registre des risques

Évaluer les risques détectés en attribuant une cote à deux facteurs de risques : 1. Le degré de
probabilité qu’un risque se concrétise ; 2. La gravité de l’incidence de chaque risque (par rapport à
 celle des autres risques). Pour chacun de ces facteurs, le pointage est défini aux tableaux 3 et 4 ci-
dessous.

Degré de probabilité

Rare : 1 Très peu probable, mais peut se produire dans de rares circonstances.
Peu probable : 2 Ne devrait pas se produire, mais on peut voir des indices d’une
possible occurrence de l’événement.
Possible : 3 Pourrait se produire étant donné que l’événement s’est déjà produit à
quelques reprises dans le passé ou parce que l’on peut voir des indices d’une
possible occurrence de l’événement. Probable : 4 Grande possibilité que l’événement
se produise puisqu’il s’est déjà produit à plusieurs reprises dans le passé ou parce
que l’on peut voir des indices d’une occurrence probable de l’événement.
Presque certaine : 5 Très grande probabilité que l’événement se produise ; très peu
probable qu’il ne se produise pas.

Gravité de l’incidence

Négligeable : 1 Presque sans incidence.

Mineure : 2 L’événement a une incidence limitée sur la Première Nation (et serait
habituellement géré par le personnel de première ligne ou des secteurs d’activité).
Moyenne : 3 L’événement a une incidence moyenne sur la Première Nation (et
nécessite habituellement l’intervention d’un responsable de secteur d’activité ou d’un
membre de la haute direction).
Majeure : 4 L’événement a une grande incidence sur la Première Nation (et nécessite
habituellement que la haute direction se rencontre et trouve des solutions et que la
collectivité se mobilise).
Catastrophique : 5 L’événement a une incidence de longue durée et irréversible sur
la Première Nation (et nécessite habituellement l’intervention de la haute direction et
des gestionnaires ainsi qu’une mobilisation soutenue de la collectivité).
Il est plus difficile d’attribuer un pointage à la gravité d’une incidence, car diverses
incidences peuvent avoir des coûts différents (p. ex. il peut s’agir d’un coût non
financier comme la détérioration de l’environnement, de la réputation, de la santé ou
de la culture) Lors des discussions sur la gravité de l’incidence, il faut évaluer divers
risques selon différents contextes et déterminer où se situe chaque risque, par rapport
aux autres risques, sur l’échelle de 1 à 5.
Étape 3 — TABLEAU DE BORD DES RISQUES
Compilation dans le tableau de bord des risques. Une fois le registre des risques
rempli, il permet de créer un tableau Excel généré automatiquement dans la boîte à
outils de gestion des risques qui montre les pointages des risques dans un format
rappelant les feux de circulation pour donner un aperçu rapide de ces risques. Nous
appelons ce tableau, montré ci-après, tableau de bord des risques .

Les couleurs du tableau de bord des risques représentent le degré de probabilité et la

gravité de l’incidence, et les chiffres dans chacune des boîtes représentent le nombre
de risques se situant à chaque niveau. Le tableau de bord des risques devrait être
utilisé à divers échelons de l’organisation pour gérer les risques les plus probables
dont l’incidence est la plus élevée. En principe, le chef et le conseil de Première
Nation se chargent de surveiller les risques en rouge, et le personnel administratif fait
le suivi des risques en rouge et en orange, selon le nombre de risques déterminés.
Certaines organisations choisissent de surveiller aussi les risques en vert, mais il peut
être difficile de faire le suivi de tous les risques étant donné les ressources limitées au
sein des organisations. Dans l’exemple précédent, le chef et le conseil de Première
Nation seraient chargés de surveiller 6 risques, tandis que le personnel administratif
se chargerait de surveiller 14 risques (soit le total des risques en orange et en rouge).
Étape 4 — PLAN DE GESTION DES RISQUE :
Le chef et le conseil de Première Nation doivent attribuer la responsabilité de la
gestion de chaque risque et mettre en place un mécanisme de surveillance régulière
des risques prioritaires en déterminant, entre autres, la fréquence de surveillance.
Nous suggérons aux organisations de faire un rapport trimestriel sur tous les risques
prioritaires et sur la progression des stratégies de gestion de ces risques.
À cette étape, il convient d’élaborer un plan de gestion des risques prioritaires, c’est-à-
dire les risques se retrouvant dans les cases orange et rouges du tableau de bord des
risques. Pour veiller à ce que ces risques soient gérés activement et conformément
aux directives du chef et du conseil de Première Nation, il faut établir une stratégie de
gestion pour chacun de ces risques et déterminer une ou plusieurs activités de gestion
du risque conforme à la stratégie. Ainsi, le plan de gestion des risques comprend les
actions, les activités, les projets et les programmes visant à réduire l’exposition aux
risques importants pour l’organisation et à minimiser leur incidence.
Stratégies de gestion du risque
1. Évitement (apporter des changements pour éviter une partie ou la totalité du
risque), par exemple :
Mettre fin à l’activité ou éviter l’événement
Confier l’activité ou l’événement à un tiers.
2. Atténuation ou diminution du risque (mettre en œuvre de nouvelles activités
pour diminuer la probabilité que l’événement se produise), par exemple :
Nouvelles politiques ou procédures et nouveaux contrôles ;
Audit des activités ;
Nouveau plan d’action
3. Transfert ou partage du risque (quelqu’un d’autre assume le risque), par
exemple :
Assurance ;
Partenariats et coentreprises ;
Autres contrats avec des tiers.
4. Acceptation du risque (aucune mesure n’est nécessaire, mais ce fait a été validé
par la haute direction).
La gestion des éléments du processus de gestion des risques se fait à divers
échelons de l’organisation :
 Rôles et responsabilités en matière de gestion des risques

Les principaux outils d’analyse des risques  :

Les analyses peuvent être globales, générales ou très détaillées. Il est également
possible de les classer en fonction de la précision des critères d’analyse de
probabilité d’occurrence et de gravité des conséquences :
Les analyses de risques qualitatives : les notions de probabilité d’occurrence et de
gravité des conséquences sont appréciées de façon qualitative ; les analyses de
risques semi-quantitatives : les notions de probabilité d’occurrence et de gravité des
conséquences sont appréciées en fonction d’échelles prédéfinies ; les analyses de
risques quantitatives : ici, la probabilité d’occurrence et la gravité des conséquences
sont calculées.
Quelle que soit la méthode d’analyse des risques employée, l’objectif reste le même :
comprendre le système, envisager la façon dont les risques peuvent apparaître,
vérifier les mesures de prévention ou de protection en place et les améliorer si
nécessaire. Les analyses de risques industriels globales Comme évoqué
précédemment, il existe plusieurs façons de procéder à l’analyse des risques
industriels. Ici, il est question des analyses globales, donc celles qui peuvent
s’appliquer de façon générale à toute une installation. Avec les analyses de risques
industriels globales, l’objectif est de faire ressortir les risques principaux.
Parmi les méthodes d’analyses de risques industriels globales les plus utilisées :
Analyse préliminaire des risques/dangers (APR) :
Historique et domaine d’application  :
Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995), l’analyse préliminaire des
risques (APR) « est une technique d’identification et d’analyse de la fréquence du
danger qui peut être utilisée lors des phases amont de la conception pour identifier les
dangers et évaluer leur criticité ».
L'APR a été développée aux États-Unis au début des années 1960 dans les
domaines aéronautique et militaire.
Des développements méthodologiques récents[évasif] ont abouti, sur la base de
l'APR, à l'Analyse Globale des Risques (AGR) et l'Analyse Globale des Risques
Probabilisés (AGRQ), pour généraliser l'APR à tout type de système (activité, mission,
processus, organisation, matériel, logiciel…) et pendant toute sa durée de vie depuis
la phase de conception.
L'analyse préliminaire des risques (APR) est une méthode d'identification et
d'évaluation des risques au stade initial de la conception d'un système. À partir de
l'ensemble des dangers auxquels le système est susceptible d'être exposé tout au
long de sa mission, l'APR a pour objectif : l'identification, l'évaluation, la
hiérarchisation et la maîtrise des risques qui en résultent. Elle peut être aussi
utilisée avec profit pendant toute la durée de vie de ce système.
L’APR d’un système couvre l’identification :

 Des incertitudes sur sa mission ;

  Des dangers auxquels il peut être confronté ;
 Des situations dangereuses dans lesquelles il peut se retrouver volontairement
ou à son insu ;
 Des scénarios conduisant à des événements redoutés ;
 Des conséquences sur le système et son environnement ;
 Des traitements de maîtrise des risques.
Les domaines d'applications sont nombreux, et l'APR peut être réalisée sur toute
activité industrielle, militaire, financière, sanitaire, environnementale, à quelque
niveau que ce soit (mission, système, composants Modèle).
Les objectifs de l’utilisation de cette méthode sont : - identifier les événements
redoutés par processus de référence 34 - évaluer les événements indésirables selon
les deux composantes du risque et hiérarchiser les évènements redoutés en fonction
de leur criticité - déterminer les actions prioritaires à mettre en place - permettre de
mettre en évidence des systèmes nécessitant une analyse des risques plus fine par
AMDEC ou HACCP En plus de sa polyvalence d’utilisation, le principal avantage de
l’APR est de permettre un examen rapide des situations dangereuses
comparativement à l’AMDEC ou l’HACCP. En revanche, l’APR ne permet pas de
caractériser finement l’enchaînement des évènements susceptibles de conduire à un
accident majeur pour des systèmes complexes. Il s’agit dans ces cas-là, comme son
nom l’indique, d’une méthode préliminaire d’analyse permettant d’identifier les points
critiques devant faire l’objet d’une étude plus détaillée
PRESENTATION DE LA DEMARCHE L’APR :
Est une méthode couramment utilisée dans le domaine de l’analyse des risques. Il
s’agit d’une méthode inductive, systématique et assez simple à mettre en œuvre.
Concrètement, l’application de cette méthode réside dans le renseignement d’un
tableau en groupe de travail pluridisciplinaire. Le tableau utilisé est présenté ci-
après :

Tableau d’APR

La première ligne permet de situer la partie de l’installation étudiée. Les modes de

fonctionnement normal, transitoire et dégradé sont étudiés dans l’analyse des risques.
Seules celles retenues apparaissent dans l’étude.
La colonne n°1 désigne les numéros des scénarios étudiés.
La colonne n°2 désigne le produit ou l’équipement étudié en rapport avec la partie de
l’installation désignée à la première ligne.
La colonne n°3 désigne l’Evènement Redouté Central (situation de danger). Par
exemple, la mise en suspension de poussières, la fuite de gaz ou l’inflammation de
matières combustibles
La colonne n°4 désigne l’Evènement Initiateur (cause de la situation de danger). Un
Evènement Redouté Central peut avoir plusieurs Evènements Initiateurs, aussi bien
internes (défaillance mécanique, erreur humaine, points chauds, …) qu’externes
(effets dominos, ...).
La colonne n°5 désigne les Phénomènes dangereux susceptibles de découler de
l’Evènement Redouté Central (ex : explosion, incendie, pollution des eaux
superficielles, etc.)
La colonne n°6 recense les Cibles potentielles (homme, structures, …) pouvant être
atteintes par le Phénomène dangereux considéré et l’Intensité du phénomène : Sur
site et/ou Hors du site. Cette information permet la cotation de la gravité G. Si, au
cours de l’analyse des risques, le groupe de travail a des difficultés pour estimer les
effets du Phénomène dangereux, notamment pour déterminer si ces effets sont
susceptibles de sortir des limites d’exploitation, une modélisation peut être réalisée
dès ce stade afin de lever cette incertitude. Analyse Préliminaire des Risques
GLAGEON - BOCAHUT KALIÈS
La colonne n°7 présente la cotation en Gravité (G) des conséquences potentielles
prévisibles sur les personnes, qui résultent de l’intensité des effets du phénomène
dangereux et de la vulnérabilité des personnes potentiellement exposées. A noter que
la cotation en gravité des phénomènes dangereux est réalisée sans tenir compte des
Mesures de Maîtrise des Risques assujetties actives.
La colonne n°8 présente, pour les scénarios identifiés, les principales barrières de
sécurité indépendantes. La distinction entre les barrières de protection et de
prévention est réalisée sous la forme de 2 sous-colonnes.
La colonne n°9 comprend les éventuelles observations ou remarques relatives au
scénario considéré. Sont à consigner dans cette colonne, l’argumentaire relatif à la
définition du phénomène dangereux, à la prise en compte ou non de certaines cibles,
ou à la cotation en gravité. Seuls les évènements plausibles, compte tenu des
conditions de mises en œuvre des produits ou des installations, ont été retenus. Les
enchainements d’évènement considérés comme physiquement impossible ne sont
pas repris dans les tableaux. Seuls les scénarios susceptibles d’avoir des effets à
l’extérieur de l’établissement sont considérés comme accidents majeurs potentiels et
sont retenus dans la suite de l’Etude des Dangers.
 Démarche Générale
AMDE ET AMDEC :
Définition :
Selon la définition AFNOR, AMDEC (l’Analyse des Modes de Défaillance, de leurs
Effets et de leur Criticité) est une méthode d’analyse de la fiabilité qui permet de
recenser les défaillances dont les conséquences affectent le fonctionnement du
système dans le cadre d’une application donnée (de Sûreté de Fonctionnement (Sdf)
et de gestion de la qualité). L’Analyse des Modes de Défaillance, de leurs Effets et
de leur Criticité (AMDEC) est avant tout une méthode d'analyse de systèmes
s'appuyant sur un raisonnement inductif (causes conséquences), pour l'étude
organisée des causes, des effets des défaillances et de leur criticité.
Historique :
L'armée américaine à développer l'AMDEC. La référence Militaire MIL-P-1629,
intitulé "Procédures pour l'Analyse des Modes de Défaillance, de leurs Effets leurs
Criticités, est datée du 9 Novembre 1949. Cette méthode était employée comme une
technique d'évaluation des défaillances afin de déterminer la fiabilité d'un
équipement et d'un système. Les défaillances étaient classées selon leurs impacts
sur le personnel et la réussite des missions pour la sécurité de l'équipement. Le
concept personnel et équipement interchangeables ne s'applique pas dans le monde
moderne de fabrication des biens de consommation. Les fabricants de produits de
consommation ont établi de nouvelles valeurs telles que la sécurité et la satisfaction
client. Ensuite, les outils d'évaluation du risque sont devenus partiellement démodés.
Ils n'ont pas été suffisamment mis à jour. En 1988, L'ISO émettait les normes de la
série ISO 9000. Le QS 9000 est l'équivalent de l'ISO 9000 pour l'automobile. Un
groupe de travail représentant entre autres Chrysler a développé le QS 9000 pour
standardiser les systèmes qualité des fournisseurs. Conformément au QS 9000, les
fournisseurs automobiles doivent utiliser la planification qualité du procédé (APQP),
incluant l'outil AMDEC et développant les plans de contrôle.
La planification qualité du procédé est une méthode structurée pour définir et établir
les étapes nécessaires à assurer qu'un produit satisfait aux exigences du client. Les
plans de contrôle aident le fabriquant à produire des produits de qualité selon les
exigences du client. Un accent est mis sur la minimisation de la variation du produit
et du procédé. Les fournisseurs doivent utiliser l'AMDEC dans la planification qualité
du procédé et dans le développement de leurs plans de contrôle. L'AIAG
(Automotive Industrie Action Group) et l'ASQC (American Society for Quality Control)
émettent les normes AMDEC en février 1993. Les normes sont présentées dans un
manuel de l'AMDEC approuvé et soutenu par trois constructeurs automobiles. Ce
manuel fournit les principes généraux pour préparer une AMDEC. Ces pages sont
destinées à comprendre l'utilisation de l'AMDEC dans l'industrie automobile
américaine. Une AMDEC est défini comme "un procédé systématique pour identifier
les modes potentiels et traiter les défaillances avant qu'elles ne surviennent, avec
l'intention de les éliminer ou de minimiser les risques associés.
Domaines d’application :
La méthode a fait sa preuve dans l’industrie suivante : spatiale, armement,
mécanique, électronique, électrotechnique, automobile, nucléaire, aéronautique,
chimie, informatique et plus récemment, on commence à s’y intéresser dans les
services.
Dans le domaine de l’informatique la méthode d’analyse des Effets des Erreurs
Logiciel (AEEL) a été développée. Cette approche consiste en une transcription de
l’AMDEC dans un environnement de logiciels, Aujourd’hui dans un contexte plus
large que la qualité totale, la prévention n’est pas limitée à la fabrication. Il est
maintenant possible d’anticiper les problèmes dans tous les systèmes du processus
d’affaires et de rechercher à priori des solutions préventives. C’est pourquoi
l’application de l’AMDEC dans les différents systèmes du processus d’affaires est
très utile, souvent même indispensable. Cette méthode est donc considérée comme
un outil de la qualité totale. Il est important de souligner que l’utilisation de la
méthode se fait avec d’autres outils de la qualité et cette combinaison augmente
considérablement la capacité et l’efficacité de la méthode.
La démarche :

HAZOP :
Définition et historique :
« analyse de risques et de sécurité de fonctionnement ») est une méthode d'analyse
des risques industriels créée et développée au sein de la société britannique Imperial
Chemical Industries dans les années 1960 et 1970.
Son intérêt est l'identification et l'évaluation des situations pouvant représenter un
risque pour le personnel ou les équipements, et le déploiement des moyens
(procédés, équipements) de prévention adéquats.
La méthode HAZOP a été initialement développée pour analyser des systèmes de
procédés chimiques. Elle fut ensuite étendue à d'autres types de systèmes
industriels. Elle a aussi été transposée dans le cadre d'opérations complexes et de
systèmes logiciels.
Le terme HAZOP fut employé pour la première fois dans une publication officielle
en 19831.
Présentation de la méthode
La gestion des risques est une exigence incontournable dans nos sociétés
industrielles modernes pour lesquelles l’accident majeur est devenu inacceptable. En
entreprise, l’importance de la sécurité n’est plus à démontrer. Le moyen le mieux
adapté pour maîtriser les risques d’accident est la sûreté de fonctionnement (SdF),
laquelle est un ensemble de méthodes et de concepts. La méthode HAZOP (Hazard
and operability studies) s’inscrit dans la SdF en proposant une démarche
d’amélioration de la sécurité et des procédés d’un système (installation industrielle
en projet ou existante). Elle est traduite en français dans la norme CEI 61882. C’est
un examen structuré, en profondeur, rigoureux, systématique, participatif, de type
inductif, d’identification des dangers et des dysfonctionnements d’un système, mais
qui ne propose pas de solution. Pour ce faire, le système « siège du danger » est
modélisé et analysé pour définir comment son fonctionnement peut conduire à des
dérives par rapport à l’intention de son concepteur.  La méthode est
particulièrement adaptée aux systèmes complexes de type thermohydrauliques,
rencontrés sur des sites industriels mettant en jeu des produits ou/et des procédés
dangereux, et entraînant des conséquences immédiates graves pour le personnel, la
population, les biens et l’environnement. Son domaine d’application comprend les
procédés et les processus dans des secteurs aussi divers que la chimie, la
pétrochimie (son application originelle), le pétrole, l’hydraulique, le nucléaire,
l’industrie alimentaire et les transports.  Sa mise en œuvre nécessite la constitution
d’un groupe de travail rassemblant autour d’un animateur, garant de la méthode, une
équipe pluridisciplinaire ayant une connaissance approfondie de l’installation décrite
sur des plans détaillés. La méthode consiste à décomposer le système considéré en
sous-ensembles, appelés « nœuds », puis à l’aide de mots–clés, ou mots guides,
spécifiques à la méthode, faire varier les paramètres du système par rapport à ses
points de consignes, appelées « intentions du procédé ».  On obtient ainsi une
déviation dont l’équipe examinera les causes possibles et en déduira leurs
conséquences potentielles pour l’ensemble du système, d’où l’emploi fréquent d’«
analyse des déviations » pour caractériser la méthode HAZOP. L’équipe se
concentre alors sur les déviations conduisant à des risques potentiels pour la
sécurité des personnes, des biens et de l’environnement. Elle examine et définit
ensuite les actions recommandées pour éliminer, en priorité, la cause et/ou éliminer
ou atténuer les conséquences.
 L’analyse des déviations fait l’objet d’un enregistrement sous forme de tableaux
des déviations, base indispensable pour la mise en place ultérieure des actions
recommandées par le groupe de travail.  Dans le cas de risques majeurs, la
réglementation des sites industriels classés SEVESO impose une évaluation du
risque. La méthode HAZOP conventionnelle, telle que décrite plus haut, comporte
alors une estimation a priori de la probabilité d’apparition des déviations et de la
gravité de leurs conséquences. On obtient une estimation semiquantitative du risque,
se poursuivant par une évaluation permettant de définir l’acceptabilité ou non du
risque. On qualifie alors la méthode HAZOP de « probabiliste » par rapport à
l’approche originelle qualifiée de « déterministe ».
Définition, objectifs et caractéristiques de la méthode HAZOP
1. Définition
 La société Chemetics International Ltd, dans son guide à l’introduction de la méthode
HAZOP retient la définition suivante : Méthode HAZOP : « application d’un examen critique
formel et systématique aux intentions du procédé et de l’ingénierie d’une installation neuve
ou existante afin d’évaluer le potentiel de danger lié à la mauvaise utilisation, ou au mauvais
fonctionnement, d’éléments d’équipement et leurs effets sur l’installation dans son
ensemble... ».
Objectif de la méthode
L’objectif de la méthode HAZOP est, à l’origine, d’identifier les dysfonctionnements de
nature technique et opératoire dont l’enchaînement peut conduire à des événements non
souhaités. Il s’agit donc de déterminer, pour chaque sous-ensemble ou élément d’un système
bien défini, les conséquences d’un fonctionnement hors du domaine d’utilisation pour lequel
ce système a été conçu.  La norme CEI 6 1882 (voir [Doc. SE 4 033]) définit les objectifs
de la méthode HAZOP originelle, à savoir :  « ...identification des dangers potentiels dans le
système. Le danger peut se limiter à la proximité immédiate du système ou étendre ses effets
bien au-delà, comme dans le cas des dangers environnementaux... » ;  .identification des
problèmes potentiels d’exploitabilité posés par le système et, en particulier, l’identification
des causes, des perturbations du fonctionnement et des déviations dans la production
susceptibles d’entraîner la fabrication de produits non conformes... »  Avec l’apparition de
la Directive SEVESO II et des nouvelles exigences du ministère de l’Écologie et du
développement durable (MEDD) en matière de prévention des risques industriels, la méthode
HAZOP originelle s’avère insuffisante pour l’analyse des risques majeurs. Il faut lui
adjoindre une phase d’évaluation du risque. C’est ainsi que, de purement qualitative, la
méthode HAZOP devient semi-quantitative, contribuant ainsi à améliorer la connaissance du
risque et, de ce fait, la sécurité des installations.  Les raisons qui vont conduire à engager
une étude HAZOP sur une installation industrielle peuvent répondre à de multiples objectifs
qui sont en fait des exigences :  satisfaire aux exigences de la politique « Hygiène-sécurité
environnement » (HSE) de l’entreprise propriétaire de l’installation ;  satisfaire aux
exigences de l’Administration, représentée, en particulier, par les Directions régionales de
l’Industrie, de la recherche et de l’environnement (DRIRE) : assurer la conformité avec la
réglementation des Installations classées pour la protection de l’environnement (ICPE), les
codes du travail et de l’environnement, la Directive SEVESO ;  établir les plans d’urgence :
Plan d’opération interne (POI) pour les installations industrielles, Plan d’urgence interne
(PUI) pour les installations nucléaires, tous deux établis sous la responsabilité de l’exploitant,
et le Plan particulier d’intervention (PPI) et le Plan de prévention des risques technologiques
(PPRT) établis sous l’autorité du Préfet.
 renforcer la confiance des parties prenantes (stakeholders) : populations, personnels,
dirigeants, actionnaires, clients ;
Caractéristiques de la méthode
Les principales caractéristiques d’une étude HAZOP sont entre autres : ‾ L’étude est un
processus créatif. Elle consiste à utiliser une série de mots guides pour identifier des
déviations potentielles par rapport à l’intention de conception età employer ces déviations
comme« déclencheurs » stimulant l’imagination des membres de l’équipe dans la recherche
des causes de la déviation et dans l’évaluation des conséquences qu’elles peuvent engendrer.
‾ L’étude se déroule sous la direction d’un chef d’étude qualifié et expérimenté. Celui-ci
s’assure de mener un examen exhaustif du système en s’appuyant sur une pensée logique et
analytique. De préférence, le chef d’étude est assisté par un scribe qui note les dangers et/ou
les perturbations identifiés en vue de leur évaluation et de la recherche de solutions. ‾ La
qualité de l’étude repose sur les qualifications et l’expérience des spécialistes formant
l’équipe. Ces spécialistes de diverses disciplines doivent faire preuve d’intuition et de
perspicacité. ‾ Il convient d’effectuer l’examen dans un climat de pensée positive et de
franche discussion. Lorsqu’un phénomène est identifié, il est noté pour être ultérieurement
évalué et résolu. ‾ Les solutions aux problèmes ne constituent pas le principal objectif de
l’étude HAZOP, mais elles peuvent, le cas échéant, être notées et transmises aux
responsables de la conception.
L’analyse HAZOP : pour quoi faire?
L’analyse de risques HAZOP, acronyme des termes HAZard (danger) et OPerability
(fonctionnement), est une méthode de revue systématique en groupe de travail permettant
d’identifier et d’analyser les dysfonctionnements d’une installation de procédés et la mise en
place de mesures compensatoires. Cette méthode d’analyse de risques est la plus utilisée
mondialement dans les industries chimiques, pharmaceutiques, oïl & gas, notamment lors de
la conception d’une nouvelle installation, la modification ou revue d’une installation
existante. Cette méthode systématique est particulièrement adaptée pour les études de
dangers des installations de procédés industriels. Conformément aux exigences de la
réglementation des ICPE (Installations Classées pour la Protection de l’Environnement), elle
identifie de façon exhaustive le déroulement des scénarios accidentels conduisant à des
risques potentiels d’accidents majeurs (phénomènes dangereux) et les mesures de sécurité en
place ou nécessaires, en prenant en compte les différentes phases de vie de l’installation
(conception, exploitation, modification, démarrage, arrêt). En pratique, la qualité d’une
analyse de risques HAZOP dépend non seulement de la capacité de l’animateur à appliquer la
méthode, mais surtout à poser les bonnes questions afin de s’assurer que le groupe de travail
identifie tous les risques inhérents au procédé étudié, pas seulement les dangers les plus
évidents. Cette compétence est principalement basée sur l’expérience de l’animateur
(méthodologie HAZOP, connaissance des procédés industriels et leur sécurité, de
l’accidentologie, …)
Principe de la méthode HAZOP
La méthode de type HAZOP est dédiée à l’analyse des risques des systèmes thermo
hydrauliques pour lesquels il est primordial de maîtriser des paramètres comme la pression,
la température, le débit... L’HAZOP suit une procédure assez semblable à celle proposée par
l’AMDE. L’HAZOP ne considère plus des modes de défaillances mais les dérives
potentielles (ou déviations) des principaux paramètres liés à l’exploitation de l’installation.
De ce fait, elle est centrée sur l’installation à la différence de l’AMDE qui est centré sur les
composants. Pour chaque partie constitutive du système examiné (ligne ou maille), la
génération (conceptuelle) des dérives est effectuée de manière systématique par la
conjonction :
 De mots clés comme par exemple « Pas de » ; « Plus de » ; « Moins de » ; « Trop de »
 Des paramètres associés au système étudié. Des paramètres couramment rencontrés
concernent la température, la pression, le débit, la concentration mais également le
temps ou des opérations à effectuer. Le groupe de travail doit ainsi s’attacher à
déterminer les causes et les conséquences potentielles de chacune de ces dérives et à
identifier les moyens existants permettant de détecter cette dérive, d’en prévenir
l’occurrence ou d’en limiter les effets. Le cas échéant, le groupe de travail pourra
proposer des mesures correctives à engager en vue de tendre vers plus de sécurité. A
l’origine, l’HAZOP n’a pas été prévue pour procéder à une estimation de la
probabilité d’occurrence des dérives ou de la gravité de leurs conséquences. Cet outil
est donc parfois qualifié de qualitatif. Néanmoins, dans le domaine des risques
accidentels majeurs, une estimation a priori de la probabilité et de la gravité des
conséquences des dérives identifiées s’avère souvent nécessaire. Dans ce contexte,
l’HAZOP doit donc être complété par une analyse de la criticité des risques sur les
 bases d’une technique quantitative simplifiée. Dans une première approche, une
démarche semi-quantitative pourra être retenue. Cette adaptation semi-quantitative de
l’HAZOP est d’ailleurs mentionnée dans la norme CEI : 61882 « Etudes de danger et
d’exploitabilité (études HAZOP) - Guide d’application.
Le déroulement de la méthode HAZOP
1. Phase préparatoire
L'entreprise doit évaluer la nécessité et la pertinence de recourir à l'HAZOP, puis
délimiter son périmètre d'application. Le système sera divisé en sous-systèmes
appelés "nœuds", l'installation examinée sera appelée "ligne" ou "maille".
L'équipe de travail constituée doit être pluridisciplinaire et doit parfaitement connaître
et maîtriser le nœud et ses lignes/mailles. Elle délimitera les contours du sujet et en
dégagera les objectifs.
2. Générer les dérives potentielles
Afin de générer efficacement des dérives potentielles, la méthode HAZOP prévoit
d'associer des mots-clés qui seront représentatifs des types de déviation possible du
système sous la forme de propositions conditionnelles à tous les paramètres
pouvant interagir sur la sécurité du système. L'équipe de travail sélectionne un
paramètre de fonctionnement de l'exploitation (ex. la température, le temps, la
pression, le débit…) ; choisi un mot-clé définissant une déviation. C'est la
combinaison du mot-clé et du paramètre qui constitue la dérive. Par exemple le
paramètre " Pression ", associé au mot-clé de déviance "Supérieur à" et une valeur
limite, exprime un risque d'une surpression. L'équipe fixe la liste des dérives
plausibles issues des combinaisons paramètres mots-clés pour déclencher l'analyse
des causes et conséquences potentielles.
3. Identifier les causes et les conséquences potentielles
Le groupe de travail réfléchit aux causes et aux conséquences que peuvent
entraîner les dérives crédibles générées.
4. Identifier les moyens de détection et de prévention
L'équipe de travail propose des outils et/ou méthode de détection des dérives et
détecte les outils et/ou méthodes de prévention déjà existante.
5. Émettre des recommandations
L'équipe de travail émet des recommandations d'actions correctives à mettre en
œuvre en cas d'apparition de la dérive, ou des recommandations d'actions
d'amélioration à mettre en place sur les outils et/ou métro des de prévention déjà
existants.
6. Rechercher les dérives jusqu'à épuisement des risques
L'équipe de travail génère toutes les dérives crédibles possibles de la ligne/maille
jusqu'à épuisement des risques, identifie les causes, conséquences, moyens de
détection et de prévention de chaque dérive et émet ses recommandations. L'équipe
de travail procède ainsi pour chaque ligne/maille de chaque nœud identifié.
Afin de faciliter la lecture et l'enregistrement des informations, les résultats de cette
analyse sont généralement repris sous la forme d'un tableau du type :
 exemple de tableau pour l'HAZOP

Définition des mots clés (colonne 2)

Les mots-clés, accolés au paramètre important pour le procédé, permettent de
générer de manière systématique les dérives à considere.la norme CEI : 61882
propose des exemples de mots-clés dont l’usage est particulièrement courant. Ces
mots-clés sont repris dans le tableau ci-dessous inspiré du tableau 3 de la norme
précitée.

Exemple de mot clés pour l’HAZOP (norme 61882)

Définition des paramètres (colonne 3)

La méthode HAZOP fait appel à des paramètres spécifiques qui s’expriment par de
simples mots (noms ou verbes) caractéristiques de l’intention de la conception et que
l’on peut définir ainsi : « grandeur physiquement mesurable, action ou opération à
réaliser ». Le tableau 3 regroupe des listes de paramètres parmi les plus
fréquemment employés dans l’industrie des procédés. Les paramètres auxquels sont
accolés les mots les mots-clés dépendent bien sûr du système considérés.
Généralement, l’ensemble des paramètres pouvant avoir une incidence sur la
sécurité de l’installation doit être sanctionné. De manière fréquente, les paramètres
sur lesquels porte l’analyse sont :
 La température
 La pression
 Le débit
 Le niveau
 La concentration
  L’agitation
 La quantité
 L’absorption
 La composition
 La séparation
 L’homogénéité
 La viscosité.
La combinaison de ces paramètres avec les mots clés précédemment définit permet
donc de générer des dérives de ces paramètres. Mot-clé + Paramètres = dérive Par
exemple :
 « Plus de » et « température » = « Température trop haute »
 « Moins de » et « Pression » = « Pression trop basse »
 « Inverse » et « débit » = « Retour de produit »
 « Pas de » et « Niveau » = « capacité vide »

Exemple de paramètres de la méthode HAZOP

Causes et conséquences de la dérive (colonne 4 et 5) Le groupe de travail, une fois
la dérive envisagée, doit identifier les causes de cette dérive, puis les conséquences
potentielles de cette dérive. En pratique, il peut être difficile d’affecter à chaque mot
clé (et dérive) une portion bien délimitée du système et en conséquence, l’examen
des causes potentielles peut s’avérer, dans certains cas complexe.  Moyen de
détection, sécurité existantes et proposition (colonnes 6 ,7 et 8) La méthode HAZOP
prévoit d’identifier pour chaque dérive les moyens accordés à sa détection et les
barrières de sécurités prévue pour en réduire l’occurrence ou les effets. Si les
mesures mises en places paraissent insuffisantes au regard du risque encouru, le
groupe de travail peut proposer des améliorations en vue de pallier ces problèmes
ou du moins définir des actions à engager pour améliorer la sécurité quant à ses
points précis.
Limites et avantage
L’HAZOP est un outil particulièrement pour les systèmes thermo-hydrauliques. Cette
méthode présente un caractère systématique et méthodique. Considérant, de plus,
simplement les dérives de paramètres de fonctionnement du système, elle évite
entre autre de considérer tous les modes de défaillance possible pour chacun des
composants du système.
En revanche l’HAZOP ne permet pas dans sa version classique d’analyser les
éléments résultants de la combinaison simultanée de plusieurs défaillances. Par
ailleurs, il est parfois difficile d’affecter un mot clé à une portion bien délimité du
système à étudier. Cela complique singulièrement l’identification exhaustive des
causes potentielles d’une dérive. En effet, les systèmes étudier sont souvent
composés de parties interconnectées si bien qu’une dérive survenant dans une ligne
ou une maille peut avoir des conséquences ou à l’inverse des causes dans une
maille voisine et inversement. Bien entendu, il est possible a priori de reporter les
implications d’une dérive d’une partie à une autre du système. Toutefois, cette tache
peut rapidement s’avérer complexe. Enfin, L’HAZOP traitant de tous types de risque,
elle peut être particulièrement longue à mettre en œuvre et conduire à une
production abondante d’information ne concernant pas des scenarios d’accidents
majeurs.
Les limites en résumé
Bien que les études HAZOP aient fait preuve d’une extrême utilité dans différents
milieux, la technique a des limites dont il faut tenir compte dans le choix de son
application :
L’étude HAZOP est une technique d’identification des dangers qui examine
méthodiquement les effets des déviations sur chaque partie. Parfois, un
danger provient d’une interaction entre un certain nombre de parties du
système. Ceci impose une étude plus détaillée du danger, faisant appel à des
techniques telles que l’analyse par arbre d’événements ou l’analyse par arbre
de panne
Comme pour toute technique d’identification de dangers ou de problèmes
d’exploitation, il n’y a aucune garantie que l’étude HAZOP identifie tous les
dangers ou tous les problèmes d’exploitation. Par conséquent, il est préférable
que l’étude d’un système complexe ne repose pas uniquement sur une étude
HAZOP. En général, cette technique est utilisée en combinaison avec d’autres
techniques appropriées au système étudié. Il est essentiel d’intégrer d’autres
études pertinentes pour obtenir un système efficace de gestion des risques.
Un grand nombre de systèmes sont étroitement liés entre eux et une déviation
dans l’un d’eux peut avoir une cause ailleurs. Une intervention locale
appropriée peut ne pas cibler la cause réelle et ne pas empêcher un accident
de se produire ultérieurement. Beaucoup d’accidents se sont produits à la
suite de modifications locales mineures dont les effets par contrecoup ailleurs
n’avaient pas été prévus. Bien qu’il soit possible de remédier à ce problème
en reportant les implications des déviations d’une partie à une autre, ceci n’est
souvent pas réalisé dans la pratique.
Le succès d’une étude HAZOP dépend en grande partie de la capacité et de
L’expérience du chef d’étude, de la connaissance des membres de l’équipe
ainsi que de leurs interactions.
L’étude HAZOP ne considère que les parties qui apparaissent sur les plans de
conception. Les activités et les opérations qui n’y apparaissent pas ou qui ne
sont pas mentionnés par les membres de l’équipe ne sont pas prises en
compte.
Les variantes de la méthode
Basée sur le même fonctionnement que la méthode HAZOP, la méthode WHAT IF
en est une des variantes connues. Sa différence réside dans le fait qu'à la place
d'associer des mots-clés à des paramètres, on y associe la question conditionnelle :
Que se passe-t-il si ?
1. What if
La méthode dite « What if » est une méthode dérivée de l‘HAZOP. Elle suit donc
globalement la même procédure. Cependant la méthode « What if » prévoit une
analyse moins profonde des évènements, se contentant d’en considérer les
conséquences sans en examiner les causes. Elle prévoit en revanches les
actions d’améliorations à entreprendre. Une autre différence concerne la
génération des dérives du paramètre de fonctionnements. Ces dérives ne sont
plus dans ce cas envisagées en tant que combinaison d’un mot clé et d’un
paramètre, mais fondées sur une succession de question de la forme : « QUE
(WHAT) se passet-il SI (IF) tel paramètre ou le comportement de tel composant
est différent de celui normalement entendu ?». L’identification des paramètres ou
des composants objets des questions est libre et ne repose pas comme dans

l’HAZOP sur des listes guides à utiliser systématiquement. Il parait ainsi que
l’efficacité de la méthode « What if » est encore plus dépendante de l’expérience
de personnes réunis au sein du groupe de travail. Cette méthode parait donc
moins fastidieuse que l’HAZOP mais est réservée à une équipe expérimentée et
demeure limitée en termes de profondeur d’analyse, en particulier des causes de
dérives. Elle s’apparente plus à une méthode de brainstorming.
Exemple de tableau d'application de la méthode What if
Démarche et exemple d’application
1. Démarche de HAZOP