Académique Documents
Professionnel Documents
Culture Documents
ENSAI
La sécurité est définie par le dictionnaire Larousse comme étant la situation où l’on n’a
aucun danger à craindre. Le référentiel OHSAS 18001 : 1999 intitulé systèmes de
management de la sécurité et de la santé au travail - spécifications la définit comme une
absence de combinaison de la probabilité et de la (des) conséquence(s) de la survenue d'un
événement dangereux spécifié de dommage inacceptable. Elle vise donc à mettre en œuvre
des moyens permettant d’éviter que se produisent des événements aux conséquences
potentielles jugées inacceptables.
La sécurité restant un terme très général, il n’existe pas actuellement de consensus pour
une normalisation. La terminologie en usage (en France) ne fait pas la différence entre les
termes anglais « security » et « safety ». Le terme « security » concerne les aspects
réglementaires de la sécurité (respects des normes, contrôle des accès à des locaux ou à des
systèmes informatiques) tandis que le terme « safety » enseigné aux États-Unis sous le nom
d’« industrial safety » recouvre les aspects techniques de la sécurité.
La Sûreté de fonctionnement, est « l’aptitude d’une entité à éviter de faire apparaître, dans
des conditions données, des événements critiques ou catastrophiques ». Les circonstances et
les conséquences des catastrophes et accidents sont variables. Elles montrent que le risque
présente deux aspects : probabilité d’apparition (occurrence) et conséquences. Au niveau des
conséquences, celles-ci se caractérisent par la sécurité : protection des personnes, de
l’environnement mais aussi protection de l’outil de production (aspect économique et, par
extension, social).
Deux voies peuvent être pratiquées pour réduire les risques :
diminution de la probabilité d’occurrence de « l’événement indésirable » ;
atténuation des conséquences de « l’événement indésirable » ;
L’évaluation de la sécurité est actuellement encore limitée et est effectuée pour les
installations chimiques, les centrales nucléaires, les plates-formes pétrolières et
l’aéronautique. Elle est basée sur des études statistiques des impacts des accidents (réels,
expérimentés ou simulés) sur l’homme et l’environnement (notion de gravité).
La démarche de la construction de la sécurité implique au départ la maîtrise des risques à
un niveau acceptable, le risque zéro étant un concept qui ne peut se réaliser dans les systèmes
industriels, contrairement à ce que de nombreux discours ou écrits ont tenté de laisser croire,
il y a seulement quelques années. Le niveau de risque acceptable prend en compte des
paramètres techniques, économiques, médiatiques, sociaux voire politiques. Ces niveaux
acceptables sont, pour des industries à risques, définis par les autorités administratives sous la
direction des autorités ministérielles de tutelle. Ainsi, dans le domaine nucléaire, le risque
acceptable pour la probabilité de fusion du coeur d’une centrale nucléaire est fixé dans la
fourchette 10–6 -10–5 par réacteur et par an pour la plupart des exploitants américains,
européens et asiatiques.
Dans le domaine aéronautique, le risque de catastrophe aérienne est d’un accident par 107
vols.
Le rôle d’un spécialiste en Sûreté de fonctionnement est de ramener le risque industriel à
son niveau acceptable en définissant :
les critères d’acceptabilité des risques ;
des méthodes de conception en sécurité ;
des méthodes d’évaluation des risques résiduels et de vérification de leur niveau
d’accessibilité.
La sécurité au travail repose sur l’évaluation et l’analyse des risques et dangers auxquels
sont exposés les employés et les matériels. Cette analyse se fait selon les principes suivants :
La sécurité au travail n'est pas que du ressort de spécialistes, c'est aussi l'affaire de tous.
En effet, chacun a son propre rôle : être conscient des risques auxquels on est exposé ; éviter
le risque et la situation de danger ; alerter en cas d'anomalie ; se mettre en sécurité face à une
situation dangereuse.
Il est très généralement admis de nos jours qu’un SMS efficace et optimal contribue à
l’amélioration de la rentabilité de l’entreprise (Bernard CHARAVEL, 2002). Sa qualité
principale réside dans la cohérence des moyens mis en œuvre et dans leur adéquation aux
menaces recensées afin d’éviter qu’un sinistre de quelque nature qu’il soit (incendie, erreur…)
ne puisse profiter des failles pour se réaliser. Les entreprises ayant mis en place un SMS ont
diminué le nombre d’accidents survenus dans leur organisation ; ce qui a permis la réduction
des pertes financières provenant des compensations dues aux conséquences néfastes des
accidents non seulement sur le personnel mais aussi sur le matériel et l’environnement.
Amélioration
continue
A
Revue de direction Politique sécurité
P
C
Vérification et actions correctives Planification
• Mesure et surveillance des Planification de l’identification des
performances dangers, de l’évaluation et de la
• Accidents, incidents, non-conformités, maîtrise du risque
actions correctives et actions • Exigences légales et autres
préventives • Objectifs
• Programme(s) de management de
• Enregistrements et gestion des
santé et de sécurité au travail
enregistrements
• Audit
D
Figure 2 - OHSAS 18001 selon le principe de l’amélioration continue source :
CJAILLARDON, 2004
Le risque incendie est l’un des risques majeurs en matière de gestion de la sécurité
auxquels doivent faire face les entreprises classées ayant mis ou voulant mettre en place un
SMS.
L’incendie est une combustion qui se développe d’une manière incontrôlée, en raison
de très nombreux paramètres dans le temps et dans l’espace ; alors que le feu est une
combustion maîtrisée. Il engendre de grandes quantités de chaleur, des fumées et des gaz
polluants, voire toxiques. L’énergie émise favorise le développement de l’incendie.
Le processus de combustion est une réaction chimique d’oxydation d’un combustible
par un comburant. Cette réaction nécessite une source d’énergie. L’absence d’un des trois
éléments empêche le déclenchement de la combustion et la suppression d’un des trois
éléments arrête le processus.
La combustion est une réaction exothermique (qui dégage de la chaleur) entre l’oxygène
de l’air et certaines substances solides, liquides ou gazeuses (combustibles). Le principe de
base de la combustion repose sur la combinaison de trois éléments que sont :
NB : il est à noter que seuls les gaz issus des combustibles sont susceptibles de s’enflammer.
Point éclair : température minimale d’allumage (inflammation) des gaz issus d’un
combustible lorsqu’il y apport d’une source d’énergie.
• Le comburant : corps qui se combinant au combustible permet la combustion. Exemple
l’air, le peroxyde qui contient de l’oxygène ;
Ces trois composantes constituent le triangle du feu schématisé ainsi qu’il suit :
Phase 1 : feu couvant ; après allumage par un point chaud (cigarette, allumette, court-circuit,
soudure), il y a début de combustion avec formation de fumées (OA).
Phase 2 : combustion ; apparition de flammes avec dégagement de gaz chauds et
incomplètement brûlés (AB).
Phase 3 : embrasement généralisé ou « flash over » ; les gaz chauds (combustibles) et les
particules imbrûlées des fumées portées à température d’auto-inflammation provoquent
l’embrasement (BC).
Phase 4 : développement de l’incendie ; cette phase dépend de l’alimentation du feu en
combustible et en comburant (CD).
Phase 5 : décroissance ; soit du fait de l’intervention, soit du fait de la disparition du
combustible.
La mise en place de ces derniers se fait suivant un cadre réglementaire (code du travail,
code de l’environnement) ou une démarche volontaire (règles de l’Assemblé Plénière des
Sociétés d’Assurances Dommages).
Toutefois, la meilleure façon de protéger les personnes occupant un bâtiment en feu est de
les éloigner de l'incendie en assurant leur évacuation.
Un Système de Sécurité Incendie (SSI) est défini par la norme NF S 61-931 de février
2014 comme un système constitué de l'ensemble des matériels servant à collecter toutes les
informations ou ordres liés à la seule sécurité incendie, à les traiter et à effectuer les fonctions
nécessaires à la mise en sécurité incendie d'un bâtiment ou d'un établissement.
Dans sa version la plus complète, un SSI (illustré à la figure 6) est composé de deux sous-
systèmes principaux :
- Un système de détection incendie (SDI) ;
- Un système de mise en sécurité incendie (SMSI).
Une installation de détection incendie est un système dont l’ensemble des composants
concourt en permanence à déceler et prévenir la naissance d’un feu pour déclencher une
intervention manuelle ou automatique, la plus précoce.
Les détecteurs de fumée possèdent un champ de sensibilité suffisamment large pour être
utilisés sur tous les types de feux avec production de fumée. Le détecteur ponctuel de
fumée est sensible à la majorité des feux de combustibles solides. Il est le détecteur le plus
utilisé.
Détecteurs de flamme
Les détecteurs de flamme détectent la radiation émise par les incendies. La radiation
ultraviolet, la radiation infrarouge ou toute combinaison peut être utilisée. Le spectre des
radiations émises par la plupart des matériaux enflammés est d’une largeur de bande
suffisamment importante pour être captée par tout détecteur de flammes.
Détecteurs de chaleur
Les détecteurs de chaleur sont certifiés selon une classe définie par la température
d’application. Seuls les détecteurs de classe A1, A2, ou B sont appropriés pour la
surveillance d’ambiance.
Tel que nous présente la figure 9 ci-contre.
Le déclencheur manuel est équipé d’une vitre (brise de glace) ou d’une membrane
déformable. On distingue deux types de déclencheurs manuels :
Le déclencheur manuel à membrane simple dont le déclenchement se fait par pression sur la
membrane. La déformation nette de celle-ci indique que le produit a été actionné.
Le déclencheur manuel avec indicateur mécanique de l’état, ce qui permet une visualisation
claire et rapide de son état (actionné ou en veille).
Toutefois, Le déclencheur manuel peut être adressable. Dans ce cas, il est équipé d’un
indicateur mécanique et d’un voyant lumineux. L’indicateur mécanique renseigne sur l’état du
déclencheur (actionné ou en veille) et le voyant indique si la centrale a pris en compte ou non
l’information.
5.1 Rôle
Une installation d’extinction automatique à gaz (IEAG) a pour rôle d’éteindre un
incendie à un stade encore précoce de son développement et de maintenir la concentration
d’agent extincteur nécessaire pendant une durée suffisante pour éliminer tout risque de ré-
inflammation.
Elle est destinée à protéger des locaux contre les conséquences d’un éventuel départ
d’incendie. Ces locaux peuvent être, selon les cas, occupés par du personnel de l’entreprise ou
de l’extérieur, ou bien sans aucune présence humaine. Un local protégé est généralement
constitué par un volume principal d’ambiance et peut comporter un faux plancher et/ou un
faux plafond. Dans ce cas, ces volumes doivent être également protégés en complément du
volume d’ambiance.
La conception et la réalisation de l’IEAG doivent être basées sur une connaissance
détaillée du domaine protégé, de son exploitation et de l’organisation d’alarme qui y est
associée.
Elle ne s’applique pas aux systèmes anti-explosion ou à l’inertage. Dans une même zone
de noyage, une installation d’extinction automatique à gaz (IEAG) ne peut pas coexister avec
un autre système d’extinction, seule la coexistence avec un système sprinkleur est autorisée.
Les objectifs d’une installation d’extinction automatique à gaz sont :
- Eteindre un incendie à un stade précoce de son développement ;
- Maintenir la concentration d’agent extincteur pendant une durée suffisante pour
éliminer tout risque de ré-inflammation ;
- Protéger les locaux contre les conséquences d’un éventuel départ d’incendie.
Effet Agents
Refroidissement du L’eau
combustible pour (naturelle en
atteindre une jet plein,
de température naturelle
inférieure au point pulvérisée,
refroidissement
éclair du brouillard
combustible. d’eau).
La mousse (
bas
foisonnement).
Les poudres
d’inhibition
(poudre BC ou
ABC).
5.4 Types des agents extincteurs
Les agents extincteurs utilisés dans les systèmes d’extinction sont validés par la règle R13
d’APSAD. Les agents gazeux retenus par cette dernière sont résumés dans le tableau 2.
Tableau 2 : Types d’agents extincteurs gazeux
V. Notion de risque
En matière d’assurance, le mot risque a une signification très étendue. Ce terme signifie :
D’abord l’événement ou péril couvert par l’assureur (risque d’incendie, risque
d’explosion) ;
Par extension, il représente aussi la chose exposée au péril et sur laquelle porte l’assurance
(un bâtiment, son contenu).
1. Méthodes qualitatives
Toutes ces méthodes qualitatives sont basées sur la nomenclature des dangers et risques, de
leurs origines et causes. Elles utilisent des tableaux standards permettant de classer les
données et événements.
1.1 Analyse des modes de défaillance et de leurs effets (AMDE)
Cette méthode [failure mode and effect analysis (FMEA) en anglais], développée aux États-
Unis et utilisée depuis les années 60 en aéronautique, a été depuis généralisée à de nombreux
domaines de l’industrie. Elle est inductive et permet l’étude systématique des causes et des
effets des défaillances (modes de défaillance et effets) qui affectent les composants d’un
système. La méthode comprend quatre étapes et se caractérise par une présentation sous
forme de tableaux qui sont très souvent spécifiques à un secteur industriel concerné.
a. Définition du système, de ses fonctions et de ses composants : définition des principales
fonctions du système, de ses limites fonctionnelles (systèmes et composants) et des
spécifications relatives au fonctionnement du système, de ses composants ou à
l’environnement
du système.
b. Établissement des modes de défaillance des composants et leurs causes : cette phase
doit être la plus complète possible et demeure le point faible de la méthode. On classifie les
modes de défaillances en général en quatre catégories (normalisées) :
fonctionnement prématuré (ou intempestif) ;
ne fonctionne pas au moment prévu ;
ne s’arrête pas au moment prévu ;
défaillance en fonctionnement.
Les modes de défaillances sont définis par rapport à un fonctionnement précis du système et
sont donc dépendants de celui-ci. Pour aider l’analyse, on utilise des tableaux comme le
tableau suivant donnant une liste-guide de modes génériques de défaillance (norme AFNOR
X 60-510).
c. Étude des effets des modes de défaillance : étude complète des effets sur les fonctions des
systèmes et sur chacun des composants, en supposant un seul mode de défaillance (les autres
composants étant tous en état de fonctionner). Il faut tenir compte des variations des
paramètres importants et étudier leurs effets (modèles de phénomènes physiques parfois
nécessaires) en sachant distinguer ceux qui concernent le système lui-même et ceux qui
concernent son environnement (suivant les objectifs, les uns ou les autres peuvent être
prioritaires). Cette phase permet également d’identifier les défaillances secondaires.
d. Conclusions, recommandations : à partir des étapes précédentes, on peut conclure et
établir des recommandations, compte tenu des objectifs de l’étude. Les recommandations
permettent d’émettre des propositions : ajout de redondances, de procédures de détection et de
maintenance pour chaque mode de défaillance. La figure 28 représente un tableau d’AMDE
suivant le standard MIL-STD 1629A.
N.B. : depuis quelques années, la notion de AMPE (analyse des modes de pannes et de leurs
effets) a été introduite sans trop de succès pour remplacer les tableaux d’AMDE.
1.2. Analyse des modes de défaillances, de leurs effets et de leur criticité (AMDEC)
Cette méthode AMDEC est une extension naturelle de la méthode AMDE (failure mode,
effects and criticality analysis – FMECA en anglais). Elle considère la probabilité
d’occurrence de
chaque mode de défaillance et la gravité des effets associés pour effectuer une classification
suivant une échelle en criticité. Une grille spécifique permet l’analyse de la criticité qui fait la
spécificité de cette méthode. Des exemples de criticités et de gravités utilisées dans le
domaine des transports terrestres sont donnés dans le tableau 5 et permettent ensuite de
visualiser les zones d’acceptabilité du risque avec la matrice de risque (tableau 6).
1.3. Analyse préliminaire des dangers, des risques (APD, APR)
Cette méthode (preliminary hazard analysis) a été utilisée au début des années 60 aux
États-Unis pour l’analyse de sécurité de missiles. La méthode a pour objet d’identifier les
dangers d’une installation et ses causes (éléments dangereux) et d’évaluer la gravité des
conséquences liées aux situations dangereuses et aux accidents potentiels. L’identification des
dangers est effectuée grâce à l’expérience et à la connaissance des spécialistes et à l’aide de
listes-guides (check-lists) d’éléments et situations dangereuses qui dépendent du domaine
d’application. Par extension, on appelle « analyse préliminaire des risques », la même analyse
complétée par une estimation de la probabilité d’occurrence des situations dangereuses et
accidents potentiels ainsi que leurs effets et conséquences.
Les tableaux utilisés pour ces analyses contiennent :
le système ou la fonction étudiée ;
la phase de la mission où le danger peut se manifester ;
l’entité dangereuse ;
le ou les événement(s) causant une situation dangereuse ;
la situation dangereuse ;
le ou les événement(s) transformant la situation dangereuse en accident
potentiel
l’accident potentiel ;
les conséquences de l’accident ;
une classification par gravité ;
une estimation préliminaire de probabilité s’il s’agit d’une étude APR ;
les mesures préventives éventuelles.
Ces méthodes sont souvent utilisées pour la phase d’identification des risques et sont
orientées vers la sécurité.
1.4. Méthode des combinaisons de pannes résumées (MCPR)
Cette méthode des combinaisons de pannes résumées (failure combination method )
complète la méthode AMDE en incluant une étude des combinaisons de défaillances
conduisant à des événements indésirables. Elle a été créée par les autorités de certification du
ministère de l’Air français pour l’analyse de la sécurité des avions Concorde puis Airbus.
Cette méthode comprend quatre étapes :
décomposition du système élémentaire : AMDE appliquée à chaque système
élémentaire ;
élaboration des « pannes résumées internes » : regroupement des modes de
défaillances qui seuls ou groupés produisent les mêmes effets sur le système
élémentaire considéré ou sur les autres systèmes élémentaires ;
élaboration des « pannes résumées externes » : les pannes résumées internes
ou leurs combinaisons relatives aux autres systèmes pouvant affecter le
fonctionnement du système élémentaire étudié constituent les pannes résumées
externes ;
élaboration des « pannes résumées globales » : elles sont composées des
pannes résumées internes, externes et de leurs combinaisons ayant les mêmes effets
sur le système élémentaire étudié et sur les autres systèmes élémentaires.
Cette méthode permet de regrouper les pannes ayant les mêmes effets et de tenir compte
des interactions entre systèmes élémentaires.
De plus, à partir des modes de défaillances conduisant aux événements indésirables, il est
possible de construire facilement un arbre des causes, et donc d’aborder l’aspect quantitatif
directement.
1.5. Méthode d’analyse HAZOP (hazard and operability study)
Cette méthode a été développée par la société « Imperial Chemical Industries » au début
des années 70 et s’applique à l’industrie chimique. Elle est de même type que l’AMDE mais
est mieux adaptée pour l’analyse des circuits thermo-hydrauliques. Elle consiste à remplir un
tableau standard contenant préalablement un certain nombre de mots-clefs. Ceux-ci
permettent de passer en revue les déviations des paramètres importants en mettant en évidence
les causes et les conséquences de leurs déviations éventuelles, ainsi que les moyens de
détection et les actions correctrices possibles. Une hiérarchisation d’après la fréquence et la
gravité des déviations possibles est alors effectuée. Une méthode dérivée a été développée par
l’Union des industries chimiques.
2. Méthodes mixtes et quantitatives
Ces méthodes nombreuses sont, soit inductives, soit déductives comme celle de l’arbre des
causes ou de défaillance, ou encore un mélange des deux. On distingue trois types
d’approches suivant l’aspect du support diagramme utilisé :
approche structurelle (MDS/MDF, MTV, MTD) ;
approche arborescente (MAC/MAD, MACQ/MAE, MDCC) ;
approche par graphe des états (MEE).
De plus, on peut diviser ces méthodes en deux classes :
les méthodes dites « statiques » : le système est étudié à partir de sa structure et
de sa logique de fonctionnement sans tenir compte de son évolution possible dans le
temps ;
les méthodes dites « dynamiques » : le système est étudié à partir de sa
structure en tenant compte de son évolution au cours du temps.
2.1. Méthode du diagramme du succès ou de fiabilité (MDS/MDF)
Cette méthode est la plus ancienne et reste encore appelée souvent méthode du diagramme
de fiabilité (MDF, ou reliability block diagram method en anglais). En effet, elle est naturelle,
car elle est proche de la structure physique du système. Elle consiste à construire un
diagramme composé de blocs, chacun d’eux représentant une entité (composant, sous-
système, voire fonction) reliés par des lignes orientées indiquant les dépendances des entités
entre elles. Le comportement des entités est binaire (fonctionnement/défaillance).
Les diagrammes sont constitués d’une entrée E, d’un corps diagrammatique et d’une sortie
S. On suppose qu’un signal est émis en E et est transmis par les lignes jusqu’à la sortie S, la
défaillance d’une entité entraînant l’arrêt du signal au niveau du bloc qui lui est associé
(figure suivante).
S’il n’existe aucun chemin d’accès permettant le passage du signal de E vers S, le système
est défaillant, sinon il fonctionne. Un tel diagramme est une représentation statique du
système. L’étude consiste à chercher les combinaisons de défaillances d’entités élémentaires
conduisant à la défaillance du système, appelées « coupes ». Les « coupes » ne contenant
aucune autre coupe sont dites « minimales » (la notion de chemins minimaux est aussi utilisée
pour ce type d’étude). Ces dernières sont essentielles pour les calculs probabilistes découlant
de cette première analyse. Les règles de transmission du signal sont énumérées ci-dessous et
représentées sur la figure suivante:
en série : toutes les entités doivent fonctionner pour que le signal passe ;
en parallèle : il suffit qu’une des entités d’une branche fonctionnent pour que le
signal passe ;
cas de redondance : la représentation fait apparaître un nœud commun
spécifiant s’il s’agit d’un cas m/n (il faut pour réaliser la fonction qu’au moins m
entités fonctionnent sur les n entités en parallèle) ou non et des « interrupteurs » si
la redondance est passive.
Les formules suivantes donnent la fiabilité R de systèmes dont les composants
élémentaires Ci ont une fiabilité Ri :
— cas d’un système à voteur P/N (N composants simples en parallèle et un système de
vote retenant les P composants en fonctionnement de même fiabilité élémentaire r ) :