Se4061 PDF

Réf.
: SE4061 V1
MOSAR - Cas industriel

Date de publication :
10 avril 2004
Date de dernière validation :

02 septembre 2020
Cet article est issu de : Environnement - Sécurité | Sécurité et gestion des risques
par Pierre PERILHON
Résumé La méthode MOSAR, pour Méthode organisée systémique d'analyse des

risques, est une méthode logique d'analyse des risques industriels. Cette méthode est
présentée dans cet article à travers un cas d'application concret et réaliste. Les cinq
étapes du module A sont tout d'abord détaillées, de l'identification des sources de danger
à la qualification des moyens de prévention. Puis les étapes du module B sur les risques
de fonctionnement sont listées. Enfin la dernière partie concerne l'organisation de
barrières dans une stratégie de défense en profondeur.
Pour toute question :

Service Relation clientèle
Techniques de l’Ingénieur
Immeuble Pleyad 1 Document téléchargé le : 27/02/2023
39, boulevard Ornano
93288 Saint-Denis Cedex Pour le compte : 7200048361 - insa centre val de loire // 195.221.38.254
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200048361 - insa centre val de loire // 195.221.38.254
MOSAR
Cas industriel
par Pierre PERILHON
Ingénieur de l’École nationale supérieure des arts et métiers (ENSAM)
Ancien responsable de sécurité-sûreté au Commissariat à l’énergie atomique (CEA)
Parution : avril 2004 - Dernière validation : septembre 2020 - Ce document a ete delivre pour le compte de 7200048361 - insa centre val de loire // 195.221.38.254
1. Définition de l’exemple. Modélisation ............................................... SE 4 061 - 2

1.1 Décomposition du système étudié et des systèmes environnement
et opérateurs en sous-systèmes................................................................. — 2
2. Le module A de la méthode et ses cinq étapes............................... — 3
2.1 Identification des sources de danger ......................................................... — 3
2.2 Identifier les scénarios de danger .............................................................. — 5
2.3 Évaluation des scénarios à risques ............................................................ — 9
2.4 Négociation d’objectifs et hiérarchisation des scénarios......................... — 9
2.5 Définition et qualification des moyens de prévention et de protection.. — 11
2.6 Conclusion sur le module A........................................................................ — 12
3. Le module B de la méthode et ses cinq étapes ............................... — 13
3.1 Identifier les risques de fonctionnement ................................................... — 13
3.2 Évaluer les risques en construisant des arbres de défaillances
et en les quantifiant ..................................................................................... — 17
3.3 Négocier des objectifs précis de prévention ............................................. — 18
3.4 Affiner les moyens de prévention .............................................................. — 18
3.5 Gérer les risques.......................................................................................... — 21
4. L’organisation des barrières dans une stratégie de défense
en profondeur ........................................................................................... — 22
Références bibliographiques ......................................................................... — 24
Pour en savoir plus........................................................................................... Doc. SE 4 062
a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la

L méthode [SE 4 060], est ici développée à partir d’un exemple concret.
Le choix de ce dernier répond à plusieurs contraintes :
— difficulté de décrire un exemple industriel réel qui serait ainsi mis dans le
domaine public ;
— nécessité de choisir un exemple que l’on peut mettre sous forme
pédagogique pour montrer l’intérêt de la méthode. Il doit être ni trop simple, ni
trop compliqué et doit cependant montrer toute l’amplitude de la méthode ;
— impossibilité de développer complètement l’exemple mais obligation d’en
détailler suffisamment certaines phases pour en montrer l’efficacité.
Nous avons donc retenu et construit en partie un exemple réaliste, par ailleurs
suffisamment connu pour ne pas désarçonner les lecteurs et suffisamment riche
pour en retenir l’attention.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité et gestion des risques SE 4 061 − 1
tiwekacontentpdf_se4061 v1 Ce document a ete delivre pour le compte de 7200048361 - insa centre val de loire // 195.221.38.254
MOSAR ______________________________________________________________________________________________________________________________
1. Définition de l’exemple. tions pour lesquelles une telle décomposition n’a pas d’intérêt,
voire est impossible.
Modélisation C’est le cas d’un laboratoire qui comprend une multitude d’objets sans
sous-systèmes clairement identifiables.
Nous prendrons comme exemple une installation de dépotage Elle permet cependant de générer des scénarios d’interférence
de propane alimentant des ateliers présentée sur la figure 1. ou de proximité entre les sous-systèmes si ces derniers peuvent
Les manières de segmenter le contexte sont multiples mais il être identifiés.
faut remarquer que pour un découpage donné définissant le sys- Il existe plusieurs manières de décomposer une installation en
tème à analyser, le reste du contexte se trouve dans l’environne- sous-systèmes :
ment du système. Ainsi, quelle que soit la situation de la frontière — décomposition hiérarchique en fonction des relations des
retenue entre le système et son environnement, la somme des éléments de l’installation entre eux ;
deux redonne toujours l’ensemble du contexte. — décomposition topologique en fonction de la position des
Le système le plus dangereux dans ce contexte est l’installation éléments de l’installation dans l’espace ;
— décomposition fonctionnelle de par la situation des éléments
de dépotage de propane. Elle sera donc le système sur lequel va
porter l’analyse (figure 2). de l’installation dans la chaîne de fonctionnement de cette der-
nière.
Nous utiliserons une association des deux dernières en répon-
1.1 Décomposition du système étudié dant à trois conditions :
et des systèmes environnement — les sous-systèmes répondent aux cinq critères d’un système
(structure, fonction, finalité, évolution et environnement selon le
et opérateurs en sous-systèmes modèle canonique de Le Moigne [1]) ;
— chacun doit être homogène ;
La décomposition du système étudié (ici, le système de dépo- — leur nombre doit être le plus limité possible, en tout cas infé-
tage) en sous-systèmes n’est pas obligatoire. Il existe des installa- rieur ou égal à 12.
Lotissement Lotissement
30 m
Voie ferrée 45 m
Dépotage
120 m
Ateliers
250 m
Parking
90 m
70 m Bâtiment administratif
30 m
Route 20 m
10 m
250 m 300 m
Rivière
Figure 1 – L’installation étudiée
SE 4 061 − 2 © Techniques de l’Ingénieur, traité Sécurité et gestion des risques
______________________________________________________________________________________________________________________________ MOSAR
Soupape
Sphère
Systèmes de Bras mobile

connexion Tuyau souple
Opérateur
Wagon Canalisations fixes
Pompe Vanne trois voies pour

prélèvement contrôle qualité
Figure 2 – Le système étudié
Dans le cas de l’installation de dépotage de propane, ceci

conduit à cinq sous-systèmes (figure 3) : 2. Le module A de la méthode
— SS1 - la sphère et ses équipements ; et ses cinq étapes
— SS2 - les tuyauteries de remplissage et d’équilibrage ;
— SS3 - le wagon et ses équipements ; Le lecteur consultera la figure 2 de l’article [SE 4 060].
— SS4 - le bras mobile ;

— SS5 - la pompe.
2.1 Identification des sources de danger
Pour ce qui concerne l’environnement on considère que celui-ci 2.1.1 Identification des sources de danger de
est constitué d’un ensemble d’environnements emboîtés [environ- chaque sous-système du système dépotage
nement spécifique directement lié à l’installation, environnement
proche (ville, campagne), environnement lointain (département, Il s’agit d’identifier en quoi chaque sous-système peut être
régional)]. source de danger.
Pour effectuer ce travail, on lit chaque sous-système à travers la
On ne prend en compte, dans l’exemple, que l’environnement grille de typologie des systèmes sources de danger décrite au
spécifique que l’on appellera pour simplifier, sous-système envi- § 2.2, encadré 1 de l’article [SE 4 060].
ronnement. On remplit la première colonne du tableau A (figure 4).
Il en est de même pour les opérateurs. Ils sont constitués en En faisant cette identification pour tous les sous-systèmes, on
équipes, structures hiérarchiques (services, départements...). Dans obtient donc une liste exhaustive des dangers de l’installation
l’exemple, pour simplifier aussi, et d’une manière générale dans la dépotage.
méthode d’analyse, on ne modélisera dans un premier temps, La colonne phases de vie permet de préciser certains dangers.
d’une manière globale, qu’un opérateur que l’on appellera : Par exemple dans le cas de la sphère, si l’on fait l’analyse dans la
sous-système opérateur. phase d’exploitation normale, il n’y a pas de danger de manuten-
tion. En revanche, dans les phases montage et entretien il apparaît
Dans l’exemple, en ajoutant le sous-système opérateur et le un danger de manutention avec les organes tels que les vannes et
sous-système environnement (figure 3), on arrive pour le contexte la soupape.
au total à sept sous-systèmes, dont on étudie d’abord l’interaction
des cinq qui constituent le système dangereux (système étudié) et Il est donc possible de faire l’analyse soit phase par phase, soit
à partir du résultat obtenu dont on étudiera l’interaction avec les en cherchant à identifier les principaux dangers apparaissant dans
deux autres sous-systèmes. les différentes phases.
Remarque : Deux phrases mnémotechniques pour s’aider à

On pourrait aussi étudier les interactions des éléments qui trouver des réponses dans la recherche des processus de danger
composent les sous-systèmes environnement et opérateurs et et stimuler son imagination :
faire apparaître ainsi les interférences internes à ces systèmes — qu’est-ce qui est et qui pourrait ne pas être ? Par exemple,
avant d’étudier les interférences avec les autres sous-systèmes. il y a du courant électrique et il pourrait ne pas y en avoir ;
C’est une approche complémentaire qui n’est pas développée — qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile.
dans ce document. Par exemple, il n’y a pas de fuite mais il pourrait y en avoir une.
MOSAR ______________________________________________________________________________________________________________________________
SS1 Sphère est ses SS2 tuyauteries d'équilibrage
équipements et de remplissage
SS5 Wagon et ses SS4 Bras SS3

SS6 sous-système
équipements mobile Pompe opérateur
Système analysé
Route
Parking
CONTEXE
Lotissement
Ateliers
Bâtiments administratifs
Voie ferrée
Rivière
SS7 Sous-système
environnement
SS : Sous-système
Figure 3 – La décomposition du contexte en sept sous-systèmes
2.1.2 Identification des processus de danger comme tel. Il nous aide à faire apparaître des événements et leurs
enchaînements pouvant avoir des effets non souhaités sur des
Ce travail se fait ligne par ligne en recherchant les événements cibles qui, à ce niveau, ne sont pas encore identifiées. Il appartient
qui constituent les processus de danger. On utilise le tableau A à l’analyste de se servir des identifications d’événements pour
(figure 4) en commençant par la colonne des événements initiaux. construire des chaînes plus ou moins longues d’enchaînements.
Ces derniers peuvent provenir soit du contenant, c’est-à-dire de
l’enveloppe du système source, soit de son contenu. Exemple : l’événement surpression apparaît à deux endroits diffé-
On recherche ensuite les événements initiateurs qui peuvent rents dans la recherche des processus de danger liés à la pression :
engendrer les événements initiaux et on les note dans la colonne — c’est un événement initiateur interne d’une rupture ou d’une fis-
correspondante du tableau A. Ces événements peuvent être d’ori- sure de l’enveloppe ;
gine interne ou externe au système source de danger. Dans ce — c’est un événement initial interne dont l’événement initiateur
dernier cas ils sont générés par les champs. interne est un dysfonctionnement de soupape et l’événement initia-
La chaîne événements initiateurs – événements initiaux génère teur externe un flux thermique. La chaîne complète devient :
des événements principaux que l’on note dans la dernière colonne
fissure
à droite du tableau A (figure 4). Flux thermique
& surpression interne
& rupture
2.1.3 Remarques
&
Dysfonctionnement de soupape
Cette technique nous donne un outil de génération d’un Dans l’identification des événements principaux, il faut prendre
ensemble d’événements. Ce n’est qu’un outil qu’il faut utiliser garde à ne pas noter des interférences avec les autres sous-
______________________________________________________________________________________________________________________________ MOSAR
Phases de vie : Influence des champs : Événements renforçateurs :

Conception CO Conditions météo Sources d'allumage
Montage MO Corrosivité de l'air Densité de population
Essais ES Productivité Densité de circulation de trains et de véhicules
Exploitation : EX Réglementation
Entretien EN Maintenance
Dépannage DE Organisation des équipes
Arrêt AR Qualité de formation du personnel
Transformation TR
Démantèlement DEM
Événements initiateurs Événements initiaux

(3) (2)
Types de systèmes
Phases Événements
sources de danger (1)
de vie Externes principaux
Application de la grille Liés Liés
(environnement Internes
au contenant au contenu
actif)
Corrosion
A 1 - sphère Choc
Surpression Rupture Fuite de propane :
et ses EX Corrosion Surpression
Dysfonctionnement Fissure gaz liquide
équipements Flux thermique
soupape
Déformation
Corrosion Rupture
A 2 - support EX Corrosion Effondrement
Surcharge Déformation
Renversement
Erreur de
A 3 - propane Dysfonctionnement
remplissage Débit Sphère trop pleine
vannes, EX de la vanne Blocage
Choc, Givrage trop grand Fuite
soupape Prélèvement
Obstacle
Choc manutention
A 4 - vannes, EN en cours de Déformation
Fuite
soupape MO montage ou de Fissuration
remontage
Diminution
Montée en
A 5 - sphère EX Énergie thermique de résistance BLEVE
température
mécanique
EN Pluie Structure
Accès en hauteur
A 6 - sphère DE Gel glissante
dangereux
EX Maladresse Accès hauteur
EN
A 7 - cuvette Maladresse Circulation à pied
DE Dénivellement
de rétention Fatigue dangereuse
EX
EN
Possibilité
A 8 - équipements DE Maladresse Aspérités
de blessures
EX
B 2 - sphère EX Entrée d'air Explosion Explosion de la sphère
D 3 - propane EX Électricité statique Fuite Fuite enflammée
E 2 - électricité Mauvaise mise Déplacement
EX Électricité statique
statique à la terre propane
Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère
systèmes sinon la génération de scénarios deviendra confuse par 2.2 Identifier les scénarios de danger
la suite.
Ne pas écrire explosion dans l’événement principal du processus Dans les installations industrielles, notamment celles présentant
de danger lié à la pression. Encore faut-il que la nappe de propane des risques de nature chimique, on admet que les scénarios d’acci-
générée par la fuite rencontre une source d’allumage (dans une cible) dents majeurs sont connus notamment grâce au retour d’expé-
pour qu’il y ait explosion. rience. On en retient généralement six principaux [2] :
De la même manière, ne pas écrire chute de hauteur dans le — incendie ;
processus de danger lié à l’accès en hauteur de la sphère car encore — explosion ;
faut-il qu’un opérateur ait à accéder sur la sphère pour que cela — libération de produits toxiques ;
entraîne sa chute.
— libération de produits inflammables ;
— pollution des sols ;
On ne tient pas compte des barrières de prévention et de pro- — pollution des eaux.
tection existantes notamment pour une installation en fonction- Il est intéressant, voire indispensable de pouvoir générer des
nement. En effet, si l’on veut pouvoir juger de la pertinence des scénarios d’accidents possibles [ou plus généralement des scéna-
barrières prévues (projet) ou existantes (diagnostic), il est néces- rios d’événement non souhaité (ENS)] et notamment de faire appa-
saire de faire un point zéro sans barrières. raître les principaux. Ceci permet en effet :
MOSAR ______________________________________________________________________________________________________________________________
Choc Fuite propane
Corrosion Déformation
du support
Flux thermique
Effondrement
Dysfonctionnement du support
de la soupape
Renversement
Surpression interne de la sphère
Surcharge SS1 Sphère trop pleine
Dysfonctionnement SPHÈRE BLEVE

de la vanne ET SES
Accès en hauteur Scénarios courts Scénarios d'autodestruction
ÉQUIPEMENTS
Givrage dangereux
Figure 6 – Scénarios court et d’autodestruction
Erreur de remplissage Circulation à pied
dangereuse
Obstacle
Explosion sphère
Pluie
Gel Fuite enflammée Choc Fuite propane
Maladresse Électricité statique Corrosion Déformation

Fatigue du support
Entrée d'air Flux thermique
Électricité statique Effondrement
de la soupape
Figure 5 – Boîte noire sphère et ses équipements Renversement
Surpression interne de la sphère
Surcharge SS1 Sphère trop pleine

— de démontrer leur genèse ;
— d’identifier leurs multiples variantes ; Dysfonctionnement SPHÈRE BLEVE
— d’identifier des scénarios insoupçonnés ; de la vanne ET SES
— d’en faire par la suite l’ossature des arbres logiques montrant ÉQUIPEMENTS Accès en hauteur
l’enchaînement de tous les événements conduisant à un ENS. Givrage dangereux
La technique développée ci-après permet de faire ce travail. Erreur de remplissage Circulation à pied
dangereuse
Obstacle
2.2.1 Mettre chaque sous-système sous forme Explosion sphère
Pluie
d’une boîte noire Gel Fuite enflammée
En reprenant chaque sous-système dans les tableaux A (voir Maladresse Électricité statique
figure 4), on les représente sous forme de boîtes noires dont les Fatigue
entrées sont les événements initiateurs d’origine interne ou Entrée d'air
externe et les sorties sont les événements principaux. Électricité statique
Ce travail est une simple compilation des tableaux A (cf. figure 4,

colonne 3 et dernière colonne à droite). Pour le sous-système Figure 7 – Scénarios courts de la sphère et de ses équipements
sphère, on obtient la boîte noire figure 5.
On peut remarquer que :
— dans les événements d’entrée on retrouve des dysfonctionne-
1 Pluie Accès en hauteur dangereux
ments d’origine technique comme par exemple dysfonctionnement Gel
de vanne ou dysfonctionnement de soupape, et des dysfonctionne-
Étincelle électrostatique
ments opératoires comme par exemple erreur de remplissage ou
maladresse ; 2 Givrage Fuite de propane Fuite enflammée
— dans les événements de sortie on trouve des événements qui
peuvent atteindre différentes cibles comme par exemple BLEVE Flux thermique BLEVE
(Boiling Liquid Expansion Vapor Explosion ) qui peut atteindre
toutes les cibles ou accès en hauteur dangereux qui peut atteindre 3 Surcharge Effondrement du support
les opérateurs.
Figure 8 – Quelques scénarios courts de la sphère
2.2.2 Génération de scénarios courts
et de scénarios d’autodestruction deux premières opérations mettent en évidence des scénarios
courts et la dernière des scénarios qui entraînent une autodestruc-
Pour l’instant nous n’avons, dans la génération de processus du
tion du sous-système (figure 6).
tableau A, fait apparaître que des liaisons directes entre les
événements d’entrée et de sortie des boîtes noires. Pour le sous-système sphère voici quelques exemples de ces
Il faut maintenant combiner les événements d’entrée entre eux, scénarios (figure 7).
les événements de sortie entre eux et identifier les retours en bou- Quelques-uns des scénarios ainsi générés sont représentés
clage des événements de sortie et des événements d’entrée. Les figure 8.
______________________________________________________________________________________________________________________________ MOSAR
Choc Fuite propane Choc Déformation Choc Blocage
du support
Flux thermique Surpression Fuite Cavitation Surdébit
Effondrement
de la soupape Rupture
Renversement Foudre Suralimentation Fuite
Surpression interne de la sphère électrique
SS2 Fuite enflammée
Surcharge Sphère trop pleine
Cavitation Rupture
Dysfonctionnement BLEVE TUYAUTERIES Fouettement Surpression SS3
de la vanne FIXES
Accès en hauteur D'ÉQUILIBRAGE POMPE
Givrage dangereux Corrosion ET DE Éclatement
REMPLISSAGE Corrosion
dangereuse
Obstacle Flux thermique

SS1 Explosion sphère Vibrations
Pluie
Gel SPHÈRE Fuite enflammée
ET SES
Maladresse ÉQUIPEMENTS Électricité statique Foudre
Fatigue
Entrée d'air
Électricité statique
Déformation Choc Fuite Stress Geste

maladroit
Choc Fuite Surcharge Électricité statique Inconscience
Mouvement Rupture Effondrement châssis Choc Fatigue Action non

wagon conforme
Fouettement Flux thermique BLEVE Mauvaise
Mauvais formation
branchement Électricité statique Foudre Mouvement Blessure
SS4 intempestif Absence de
Surpression interne SS5 consignes
Flux thermique
Renversement
BRAS MOBILE Entrée d'air WAGON Contexte
Corrosion SS6
ET SES Débordement dangereux
Vibrations ÉQUIPEMENTS
OPÉRATEUR
Explosion interne
Scénario S1 Étincelle électrostatique

Mauvaise formation Action non conforme Mauvais branchement Fuite propane Fuite enflammée
opérateur bras articulé
Fuite enflammée Flux thermique sur wagon BLEVE wagon Onde de choc Choc
Fuite enflammée sur sphère Flux thermique sur sphère BLEVE sphère
Scénario S2
Fatigue Geste madroit Maladresse Accès en hauteur sphère dangereux Contexte dangereux
Chute de hauteur de l'opérateur
Figure 9 – Exemples de scénarios longs pour l’installation propane
Pour éviter de se perdre très rapidement dans un fouillis de nature (repérées en principe par les mêmes mots) que les entrées
flèches, il est nécessaire d’écrire les scénarios au fur et à mesure d’autres boîtes.
qu’ils sont construits.
On obtient ainsi des scénarios longs d’enchaînements d’évé-
nements ou scénarios de proximité ou aussi scénarios principaux
2.2.3 Génération et validation de scénarios longs, d’ENS (accidents).
construction d’arbres logiques
sur les accidents principaux identifiés Pour l’installation propane nous avons représenté toutes les
boîtes noires sur la figure 9, ce qui permet de générer quelques
■ Si l’on met toutes les boîtes noires sur une même page, il est exemples de scénarios (en ne tenant pas compte de l’environne-
possible de relier les sorties de certaines boîtes qui sont de même ment).
MOSAR ______________________________________________________________________________________________________________________________
Choc Fuite propane Choc Déformation Choc Blocage
du support
Flux thermique Surpression Fuite Cavitation Surdébit
Effondrement
de la soupape Rupture
Renversement Foudre Suralimentation Fuite
Surpression interne de la sphère électrique
Fuite enflammée
Surcharge SS1 Sphère trop pleine SS2
Cavitation Rupture
Dysfonctionnement SPHÈRE BLEVE TUYAUTERIES Fouettement Corrosion SS3
de la vanne ET SES FIXES
ÉQUIPEMENTS Accès en hauteur D'ÉQUILIBRAGE POMPE
Givrage dangereux Corrosion ET DE Éclatement
REMPLISSAGE Vibrations
dangereuse
Obstacle Flux thermique
Explosion sphère Foudre
Pluie
Gel Fuite enflammée
Maladresse Électricité statique

Fatigue
Entrée d'air
Électricité statique
Déraillement Explosion train

Collision sur route SS7 Explosion navigation
Accident péniche Explosion camion sur route
Accident sur parking Environnement Incendie sur parking
Accident dans atelier Incendie atelier
Déformation Choc Fuite Stress Geste

maladroit
Choc Fuite Surcharge Électricité statique Inconscience
Mouvement Rupture Effondrement châssis Choc Fatigue Action non

wagon SS5 conforme
Fouettement Flux thermique BLEVE Mauvaise SS6
Mauvais formation
Électricité statique Foudre WAGON Mouvement Blessure
branchement OPÉRATEUR
ET SES intempestif Absence de
Flux thermique Surpression interne ÉQUIPEMENTS consignes
SS4 Renversement
Corrosion Entrée d'air Contexte
BRAS MOBILE Débordement dangereux
Vibration
Explosion interne
Figure 10 – Scénarios d’interaction avec l’environnement
À ces scénarios viennent s’ajouter à l’entrée choc sur la sphère 2.2.4 Remarques
les scénarios générateurs de chocs et provenant de l’environ-
nement (figure 10) quelques interactions avec l’environnement ■ L’événement initiateur considéré peut conduire à plusieurs, voire
conduisant aussi à des chocs sur la sphère SS1. à une multitude de processus. On est donc placé là devant l’incer-
titude et la difficulté de prévisibilité des risques. Nous pouvons
■ À partir des scénarios longs et des scénarios courts on peut distinguer l’incertitude paramétrique liée à une imprécision des
construire, en les concaténant (rassemblant) sur un même paramètres des processus et l’incertitude systémique liée à l’identi-
événement, un arbre logique qui est la première représentation des fication des processus possibles et à l’ambiguïté des enchaînements
événements s’enchaînant pour générer un ENS. et des combinaisons possibles de ces processus. Les outils présen-
tés nous aident à résoudre partiellement ces problèmes.
Par exemple, pour l’installation propane, on peut rassembler ■ Le nombre de scénarios construits avec les boîtes noires n’est
quelques scénarios conduisant au BLEVE de la sphère : pas infini mais il peut être très grand. Pour éviter une explosion
On retient : combinatoire et guider le travail on peut choisir les événements
majeurs qui apparaissent à la sortie des boîtes noires en tant
— le scénario S1 (figure 9) ; qu’événements principaux, et rechercher quels sont les scénarios
— le scénario court 2 (figure 8) ; qui aboutissent à ces événements. On raisonne alors par déduction.
C’est le cas par exemple du BLEVE mais aussi de Blessure de l’opé-
— les scénarios générés par l’environnement SS7 (figure 10) ;
rateur.
— des scénarios courts générés par le bras mobile (figure 10,
Nous constatons que nous avons à faire ici à l’un des six scéna-
SS4).
rios majeurs pouvant survenir dans une installation industrielle à
On obtient l’arbre logique représenté figure 11. savoir à une explosion.
______________________________________________________________________________________________________________________________ MOSAR
1 Mauvaise formation Mauvais branchement Fuite Flux thermique

opérateur du bras sur wagon enflammée sur wagon
Choc Étincelle Choc BLEVE

2 Corrosion Déformation wagon
Vibrations
Défaut interne Fuite
3 Dispositif de Non-étanchéité BLEVE
enflammée
branchement sphère
sphère
Déraillement
Explosion Choc
4 Collision sur route
externe sphère Étincelle
Accident péniche
Fuite
sphère
Obstacle Dysfonctionnement
5
givrage vanne prélèvement
Figure 11 – Arbre logique BLEVE
■ La liaison entre les sorties et les entrées des boîtes noires est en établir l’évaluation de leurs effets en fonction de la distance des
théorie une liaison directe (on relie les mêmes mots correspondant cibles, calculer les caractéristiques de formation de nappe de pro-
aux mêmes types de processus, par exemple choc généré par le duits inflammables ou explosifs et déterminer leurs effets en fonc-
wagon de différentes manières et choc à l’entrée de la sphère cor- tion de la distance des cibles. Parmi ces logiciels, CAMEO diffusé
respondant à différents types de chocs). Cette vision idéale est en France par la Protection Civile, PHAST du TNO (Pays-Bas), les
cependant rarement opérationnelle. Il faut donc se servir ici de son logiciels de Transoft International, ceux d’Aria Technologie.
imagination, de son intuition et de son expérience pour relier des Il est aussi nécessaire d’évaluer quelles cibles les événements
entrées et sorties qui n’apparaissent pas a priori comme directe- principaux vont pouvoir atteindre et quel sera leur impact sur ces
ment connectables. C’est le cas par exemple du scénario S1 (cf. cibles. L’atteinte des cibles ainsi que leur nature (une ou plusieurs
figure 9). Le mauvais branchement du bras articulé est une des des quatre possibles) dépend des caractéristiques évaluées des
actions non conformes que peut générer l’opérateur. Une étincelle scénarios et de leurs distances par rapport aux événements finaux.
électrostatique et une fuite de propane génèrent une fuite enflam-
mée. C’est un nouveau processus qu’il faut prendre en compte. Le Si l’on reprend l’arbre logique BLEVE (figure 11), on peut faire
BLEVE du wagon génère une onde de choc, donc un choc... Il faut les constats suivants :
donc interpréter et vérifier bien sûr que les enchaînements sont — tous les scénarios ont la même gravité puisque c’est le BLEVE
plausibles. Ici aussi la technique des boîtes noires est un outil qui final. Ceci n’est pas valable pour tous les cas et dépend des évé-
nous aide à mettre en relation des processus et à en faire apparaître nements finaux choisis. Dans certains cas la gravité est fonction du
d’autres. Nous sommes toujours dans une vision systémique. scénario ;
— tous les scénarios atteignent les quatre cibles possibles ;
■ On obtient des scénarios plausibles. Pour décider s’ils sont pos- — pour évaluer leurs caractéristiques le calcul est possible :
sibles il est nécessaire de vérifier si les enchaînements sont pos- calcul des débits de fuite en phase gazeuse ou liquide ou en double
sibles. Pour cela il faut évaluer quantitativement ou qualitativement phase, calcul de diffusion du propane gazeux dans l’air et des
les distances qui peuvent être franchies par les événements, les caractéristiques des nappes formées, calcul des caractéristiques
impacts entre les sous-systèmes et leurs effets. Ceci fait appel à d’explosions et de leurs effets, calcul des caractéristiques des
l’évaluation des scénarios que nous verrons plus en détail au BLEVES et de leurs effets. Il existe des logiciels permettant de
paragraphe 2.3. Il faut aussi évaluer si la probabilité des enchaî- conduire tous ces calculs (cf. Pour en savoir plus [Doc. SE 4 062]) ;
nements d’événements est possible. Cependant il faut se méfier des — les scénarios se distinguent les uns des autres par leur pro-
scénarios qui pourraient apparaître comme fantasques parce que babilité différente. Par exemple le scénario 1 est bien moins pro-
très peu probables. Le retour d’expérience montre que l’enchaîne- bable que le scénario 3 ou le scénario 5. À ce niveau de l’analyse
ment d’événements est souvent fantastiquement long et il vaut sans on ne peut pas cependant calculer ces probabilités. D’où l’intérêt de
doute mieux travailler sur ces scénarios et vérifier qu’ils sont maîtri- pouvoir disposer d’une grille permettant de hiérarchiser les scéna-
sables plutôt que de les éliminer a priori. rios, ce que nous allons voir dans l’étape suivante ;
— on peut aussi évaluer le coût des accidents.
2.3 Évaluation des scénarios à risques

2.4 Négociation d’objectifs
2.3.1 Évaluation quantitative ou qualitative et hiérarchisation des scénarios
Comme nous l’avons vu en partie au paragraphe 2.2, cette étape
permet d’évaluer quantitativement si c’est possible (par le calcul
éventuellement à l’aide de logiciels) ou qualitativement par travail 2.4.1 Négociation de grilles
de groupe ou le jugement d’experts si le calcul n’est pas possible, « Gravité × Probabilité »
les caractéristiques des différents événements identifiés et leurs
interactions avec les sous-systèmes. Il existe de nombreux logi- Jusqu’ici nous n’avons pas situé le travail d’analyse par rapport
ciels que l’on peut mettre en œuvre à ce niveau de l’analyse pour à des objectifs. La mise en évidence de scénarios de risques et leur
calculer des diffusions atmosphériques de produits, calculer les évaluation permet de mieux définir ces objectifs. Dans un premier
caractéristiques de formation de nappes de produits toxiques et temps, il est nécessaire de construire un outil qui permettra de
MOSAR ______________________________________________________________________________________________________________________________
concrétiser ces objectifs. Celui choisi est la grille « Gravité × 8 niveaux (toujours en nombre pair pour éviter la tendance à se
Probabilité (G × P) ». On peut en construire une par cible. situer dans un niveau médian) ;
— la deuxième chose à faire est de situer dans la grille la frontière
Prenons le cas d’une grille pour les opérateurs (figure 12a ) :
entre ce qui est considéré comme acceptable et ce qui est considéré
— la première chose à faire est de négocier les niveaux des deux comme inacceptable. Ceci constitue un deuxième niveau de négo-
axes de la grille. En principe on construit des axes à 4, 6 ou ciation.
G = gravité ou effet sur une cible,

par exemple un ou plusieurs opérateurs Grille G ✕ F
Niveau
Très important
S2 4
Mort d'homme
Important
Effets irréversibles INACCEPTABLE
INACCEPT 3
Accident avec IPP
Peut important
Effets réversibles 2
Accident avec AT sans IPP
Mineur
Blessures légères ACCEPTABLE
Acceptable S2' 1
Accident sans AT
Très Improbable Peu Probable P = probabilité de l'effet

improbable probable
Risque
Zéro fois Peut-être Une fois Plus
une fois d'une fois
Dans la durée de vie de l'installation ou de l'expérience
Nuisance Nuisance Nuisance Nuisance
exceptionnelle très temporaire permanente
temporaire
<1 1 2 3 4 Niveau
a pour les opérateurs et les situations du scénario S2
P
1 2 3 4 5 6
Blessures Blessures Mort de Destruction de
réversibles irréversibles personne plusieurs cibles
Fréquent
6 > 1/an
Possible 3 5
5 10-2 < P < 10-1/an
Rare INACCEPTABLE
4 10-4 < P < 10-2/an 2
Extrêmement rare 1
3 10-6 < P < 10-4/an
ACCEPTABLE
Improbable
2 10-8 < P < 10-6/an
4
1 Fortement improbable
P < 10-8/an 1'
Conséquences Conséquences Conséquences Conséquences Catastrophique Catastrophique G

nulles mineures significatives critiques niveau 1 niveau 2
Pas de blessures
de personne
b grille G ✕ P pour les autres cibles et situation des scénarios
Figure 12 – Grilles Gravité × Probabilité (cf. figure 9) a) Pour les opérateurs et situation du scénario S2
______________________________________________________________________________________________________________________________ MOSAR
Pour l’installation de propane, la grille figure 12a est une grille Les BU sont souvent considérées comme étant plus faibles que
possible pour situer les risques pour les opérateurs. Admettons les BT.
bien sûr qu’elle ait été négociée par les acteurs concernés et Elles sont en fait très sensibles à la formation, et notamment à
notamment avec les opérateurs. la formation sécurité, des opérateurs.
■ L’identification des barrières se fait à l’aide d’un tableau : le
2.4.2 Situation des scénarios dans les grilles G × P tableau B (tableau 1) qui facilite le travail. Ce tableau peut être
et hiérarchisation de ces derniers construit en fonction du contexte. Le tableau représente un exemple
de tableau avec application à deux des scénarios de l’installation
Il est alors possible d’y situer le scénario S2 de la figure 9 qui est propane.
au niveau 2 en probabilité et au niveau 4 en gravité.
De la même manière on peut construire une grille G × P pour les
risques majeurs et situer les scénarios du BLEVE dans cette der- 2.5.3 Remarques sur le tableau B
nière (figure 12b).
■ Les premières barrières recherchées sont les barrières de
On peut aussi construire des grilles concernant le coût des acci-
conception. En effet on commence toujours par travailler la préven-

dents en prenant en compte par exemple le coût de la perte de tion et la protection collectives, la protection individuelle n’interve-
production ou de la perte de l’outil de travail en fonction du temps nant que si la protection collective est insuffisante car elle introduit
ce qui permet de hiérarchiser les scénarios en fonction de cette des nuisances.
perte.
Exemple : lors de la conception d’une installation pouvant émettre
des vapeurs toxiques dans un atelier, par exemple, on va prévoir une
ventilation efficace d’aspiration de ces vapeurs plutôt que de faire por-
2.5 Définition et qualification des moyens ter des appareils de protection respiratoires aux opérateurs présents
de prévention et de protection dans l’atelier.
Ces barrières sont des BT.
2.5.1 Identification des barrières de prévention ■ La ventilation est une barrière importante qui fait partie des
et de protection barrières de conception. Elle intervient sur l’événement principal ou
flux (c’est un absorbeur de flux). Ici elle ne joue aucun rôle car l’ins-
Ces barrières vont permettre de neutraliser les scénarios iden- tallation est en plein air.
tifiés. ■ L’habilitation est une procédure écrite (avec cosignature de
L’arbre logique montre, qu’en principe, il suffit de neutraliser les l’habiliteur et de l’habilité) qui consiste à confier à un exécutant un
événements primaires (ceux qui apparaissent les premiers) pour travail décrit pour lequel l’habiliteur s’est assuré que l’habilité a la
que le scénario correspondant n’ait pas lieu. connaissance des risques, les moyens et l’autorité d’assurer ce
travail.
Exemple : sur l’arbre logique BLEVE (figure 11) le scénario 1 peut
être neutralisé en s’assurant d’une bonne formation des opérateurs. ■ L’identification des facteurs d’ambiance ne conduit pas forcé-
ment à une définition de barrières mais il peut la faciliter. Il est une
introduction à l’approche ergonomique.
Pour renforcer la prévention on recherche aussi les barrières
possibles tout le long du scénario aussi bien sur les événements ■ Les consignations sont des procédures qui consistent à mettre en
que sur leurs enchaînements. sécurité une installation ou une partie d’installation de manière à ce
que même si quelqu’un veut la remettre en fonctionnement, il
Exemple : élimination des étincelles d’origine électrostatique par ne puisse pas le faire. Elles font l’objet de verrouillages avec clef
une bonne mise à la terre et le renforcement des piquages des tuyau- unique possédée par le consignateur seul.
teries, partie fragile, pour éviter leur arrachement par choc.
■ L’implantation consiste à définir quelle est la meilleure
implantation possible compte tenu des risques identifiés et de
2.5.2 Types de barrières l’environnement.
On distinguera deux types de barrières : ■ Les barrières de protection de l’environnement sont les barrières
qui, compte tenu du scénario, vont permettre de protéger les autres
— les barrières technologiques ; cibles de l’environnement.
— les barrières d’utilisation.
■ Barrière technologique (BT)
2.5.4 Qualification des barrières de prévention
Il s’agit d’un élément ou ensemble technologique faisant partie et de protection
intégrante de l’installation, qui s’oppose automatiquement à l’appa-
rition d’un événement préjudiciable à la sécurité et qui ne nécessite Une fois les barrières définies, il faut s’assurer qu’elles ne
pas d’intervention humaine. présentent ou ne génèrent pas de risques, et il faut les qualifier
Elle peut être statique (écran fixe, capot de protection, enceinte dans le temps c’est-à-dire s’assurer de leur pérennité.
de confinement par exemple) ou dynamique (soupape de sécurité Pour cela on constate que si l’on introduit chaque barrière dans
à ouverture automatique, éléments de contrôle commande par le tableau B, le tableau obtenu (tableau 2) baptisé alors tableau C,
exemple). comporte un certain nombre de rubriques qui permettent de
■ Barrière opératoire ou d’utilisation (BU) répondre aux deux contraintes définies ci-dessus.
Il s’agit d’une action nécessitant une intervention humaine, repo- Le tableau 2 illustre ceci pour l’installation propane.
sant sur une consigne précise, activée ou non par un élément ou Le tableau montre que la colonne conception, combinée à la
un ensemble technologique (procédure, mode opératoire, applica- grille 1 (cf. encadré 1 dans l’article [SE 4 060]) permet de vérifier
tion de règles, vanne à ouverture manuelle, protections indivi- que les barrières n’introduisent pas de nouveaux risques et les
duelles par exemple). autres colonnes permettent de les qualifier dans le temps.
MOSAR ______________________________________________________________________________________________________________________________
(0)
Tableau 1 – Tableau B
Scénarios
Barrières Type de barrière
S1 – phase EX (figure 9) S2 – phases EX et MA (figure 9)
Bonne conception du bras articulé
(branchement et débranchement faciles)
Conception correcte de l’accès en hauteur
Clapets d’étanchéité
Barrières de conception sur les entrées d’alimentation Éventuellement système chauffant antigel BT
sur cet accès
Renforcement au choc
des piquages des wagons Échelles et platelages antidérapants
Mise à la terre du bras
Contrôles et vérifications
techniques Contrôles périodiques de l’état du dispositif Contrôles périodiques de l’état de l’accès BU
Maintenance Maintenance préventive Préventive BU

Contrôle qualité De réception des éléments De réception des éléments BU
Télésurveillance Explosimètre – BT
Procédures Procédure de branchement – BU

et de débranchement
Consignes Consigne de sécurité au poste D’accès BU

de branchement
Consignations En cas d’incident ou de travaux En phase incidentelle BU
Travail en plein air
Travail en plein air par toutes conditions météos
Facteurs d’ambiance
Risque de givrage Stress
Travail de branchement à confier Accès en hauteur autorisé à des agents
Comportement humain à des opérateurs confirmés en bonne forme physique BU
Habilitations À l’opération de branchement BU
Barrières de protection Efficace contre le givrage et les effets

individuelle mécaniques : gants, casque, lunette, tablier Chaussures de sécurité antidérapantes BU
cuir
Formation des opérateurs Pour le branchement À l’accès en hauteur BU

et le débranchement du bras
Surveillance médicale Travail en plein air De la fatigue BU
Meilleure implantation possible de l’accès
Implantation – (au sud) BT
Balisage – accès- Veiller aux accès BT

Accès correctement dimensionné
circulation et à la circulation autour du bras BU
Réglementation
néant Travail en hauteur BU
applicable
Cuvette de rétention
Barrières de protection Mur de séparation BT
de l’environnement
Merlon éventuel
2.5.5 Nouvelle situation des scénarios garde le même niveau de gravité car, s’il arrive, aucune barrière ne
dans les grilles G × P peut en diminuer les effets mais sa probabilité est fortement dimi-
nuée et il devient fortement improbable (figure 12b ).
Il est possible de vérifier comment les barrières font évoluer la Il s’agit alors d’un Risque résiduel.
position des scénarios dans les grilles G × P.
■ Commençons par le scénario S2 (figure 12a ) qui devient le
scénario S2′.
2.6 Conclusion sur le module A
On peut admettre, compte tenu des barrières envisagées, que
gravité et probabilité seront diminuées et que cet ENS sera peu
Le module A est terminé.
probable et avec des conséquences mineures. Cette décision sera
prise par le groupe de travail après discussion d’évaluation. C’est en fait la partie la plus originale de MOSAR.
■ Pour ce qui concerne maintenant le BLEVE le scénario 1 (cf. Nous avons fait une analyse principale de sécurité de l’installation
figure 9), après mise en place des barrières devient le scénario 1′. Il ou une analyse des risques principaux de l’installation (figure 13).
______________________________________________________________________________________________________________________________ MOSAR
(0)
Tableau 2 – Tableau C simplifié

Barrières Éléments de conception Contrôles et vérifications
Scénario Type Maintenance
de conception de ces barrières (grille 1) (1) techniques
A2 Note de calcul de résistance
A3 Bon équilibrage
Bras articulé 1 BT A4 Manutention facile Déjà pris en compte Déjà pris en compte
A9 Montage antivibratoire
C1 Moteurs antidéflagrants
Clapets d’étanchéité
du branchement du bras 1 BT A1 Correctement calculés au dP Vérification périodique Préventive (corrosion)
mobile de bon fonctionnement
Renforcement au choc
des piquages 1 BT A2 Dimensionnement correct Vérification périodique d’état

des wagons
Mise à la terre 1 BU Bonne continuité électrique Vérification périodique Préventive (corrosion)

Résistance de terre adaptée de la résistance de terre
Système antigel de 1 BT A2 Éléments robustes Vérification périodique
l’accès en hauteur de bon fonctionnement
Échelle et platelage anti- 2 BT Vérification périodique d’état
dérapants
(1) Cf. encadré 1 dans [SE 4 060].
On voit donc bien ici que toute analyse conduisant à un décou-

Tableau A page incontournable mais réducteur, les principes de la systé-
Installation Dangers et
mique nous enjoignant de remettre en relation ce qui a été
processus Tableau B Tableau C découpé, ont été appliqués au maximum des possibilités.
Arbres
logiques
A1
A2
Qualification
B3
D2
C2
des barrières 3. Le module B de la méthode
Scénarios et ses cinq étapes
Grille 1
Barrières BU 3.1 Identifier les risques

BT
de fonctionnement
Figure 13 – Synthèse du module A
Reprenons l’arbre logique BLEVE de la figure 11.
Nous allons nous intéresser aux dysfonctionnements techniques
et aux dysfonctionnements opératoires qui constituent les événe-
Dans la plupart des cas, cette analyse est suffisante. Mais il peut
ments initiaux de cet arbre et que dans un premier temps, dans le
être nécessaire d’aller plus loin soit parce qu’on le décide pour
module A, nous n’avons pas cherché à détailler et avons traité de
parachever l’analyse et aller jusqu’à la mise en place d’une culture
manière globale (figure 14).
de sécurité, soit parce qu’une réglementation l’impose (Installa-
tions Classées par exemple). On entrera alors dans le module B de À titre d’exemple, retenons :
la méthode. — le dysfonctionnement opératoire :
Synthétisons cette partie de l’analyse en examinant les décou- mauvaise formation mauvais branchement du bras &
pages et remises en relations développées (figure 13) : — et le dysfonctionnement technique :
— l’installation est tout d’abord découpée en sous-systèmes ; défaut interne du dispositif de branchement.
— chacun de ceux-ci est combiné avec la grille 1 pour donner un Nous allons chercher à préciser les événements initiateurs de
découpage en dangers et en processus de danger ; ces événements.
— les sous-systèmes et leurs processus de danger sont ensuite,
par la technique des boîtes noires, recombinés entre eux pour faire Pour ce qui concerne les dysfonctionnements opératoires (cf.
apparaître les différents types de scénarios ; § 3.1.1), le travail se fera par une analyse d’activité.
— ceux-ci sont rassemblés dans les arbres logiques ; Pour ce qui concerne les dysfonctionnements techniques, le tra-
— après négociation d’objectifs avec les acteurs, ce qui consiste vail se fera en utilisant des outils tels que l’AMDEC (Analyse des
à combiner les scénarios avec leur point de vue, les scénarios des modes de défaillance, de leurs effets et de leur criticité) (cf. article
arbres logiques sont combinés avec le tableau B pour donner un AMDEC-Moyen [AG 4 220] dans le traité l’Entreprise industrielle)
découpage en barrières ; ou HAZOP (HAZard and Operability Study) (cf. article Sécurité et
— la combinaison des éléments du tableau B donne le tableau C ; gestion des risques [AG 4 698] dans le traité l’Entreprise indus-
— en combinant les barrières avec le tableau C, on les qualifie. trielle) suivant les cas.
MOSAR ______________________________________________________________________________________________________________________________
DYSFONCTIONNEMENT Mauvais branchement Fuite Flux thermique

1 OPÉRATOIRE du bras sur wagon enflammée sur wagon
Mauvaise formation
de l'opérateur
Chocs Étincelle Choc BLEVE
2 Corrosion Déformation wagon
Vibrations
DYSFONCTIONNEMENT Fuite
3 TECHNIQUE Non-étanchéité BLEVE
enflammée
sphère
sphère
Défaut interne du
dispositif de branchement
Déraillement Explosion Choc
4 Étincelle
Collision sur route externe sphère
Accident péniche
Fuite
sphère
Obstacle Dysfonctionnement
5
givrage vanne prélèvement
Figure 14 – Exemples de dysfonctionnements
techniques et opératoires
Dysfonctionnements
Opérations Conséquences
possibles
1 Vérification de Pas de vérification Bras peut se bloquer

mobilité du bras
Blocage du bras Pas de déplacement possible
Grippage du joint
2 Mise en place du Défaut du joint de rotule Fuite
bras par rotation
Blocage du bras
Défaut du joint de rotule
3 Enclenchement du bras Mauvais positionnement

dans le dispositif de Détérioration du clapet
connexion du wagon
4 Verrouillage du dispositif Mauvais verrouillage

Détérioration du joint
5 Vérification du verrouillage Pas de vérification Fuite si dysfonctionnements

et de l'étanchéité précédents
6 Vérification de continuité Pas de vérification Génération d'électricité

de terre statique sans écoulement
à la terre Étincelles Figure 15 – Opérations nécessaires
pour le branchement du bras mobile
3.1.1 Identifier les dysfonctionnements De nombreuses méthodes [3] et sociétés spécialisées traitent de
opératoires détaillés l’analyse d’activité.
Afin d’illustrer schématiquement cette étape, dressons un
Cette partie de l’analyse consiste à prendre en compte aussi tableau simplifié des opérations nécessaires pour le branchement
complètement que possible le facteur humain. du bras mobile sur le wagon (figure 15).
Le principe général de l’analyse d’activité consiste à comparer
Il est à noter que sont mis en évidence des dysfonctionnements
l’activité prescrite (dans les modes opératoires) et l’activité réelle
de nature opératoire mais aussi de nature technique.
et donc à observer l’opérateur sans le perturber. L’activité réelle de
l’opérateur, qui possède des savoir-faire et sa propre image men- Ces dysfonctionnements peuvent être représentés sous la forme
tale, est différente de celle prévue par les concepteurs qui ont leur d’un premier arbre de défaillances de fonctionnement (figure 16)
image mentale de cette activité, surtout s’ils n’ont pas associé les (cf. article Arbres de défaillance, des causes et d’événement
opérateurs dans leur rédaction des procédures. [SE 4 050].
______________________________________________________________________________________________________________________________ MOSAR
Mauvais
verrouillage
Blocage du Déterioration
bras au cours du 1 du clapet
déplacement
Défaut de
Grippage jonction 2
Blocage du
bras au cours Défaut joint Fuite sur
d'une opération de rotule dispositif de
précédente branchement
du bras mobile
Mauvais
positionnement
du bras
Mauvaise
formation
Pas de
vérification
Stress
Figure 16 – Arbre de défaillances de fonctionnement
Dispositif de Tuyaux souples Pour ouvrir le clapet à la connexion,

branchement Pi il faut exercer une force F1 telle que :
sur le wagon 2
(phase gazeuse) F1 + Patm ✕ S2 > F + Pi ✕ S1
Tuyauteries
fixes Pi = f (température externe)
S1 1 avec Pi pression interne
Raccord
F Patm pression atmosphérique
Colonne mobile S 1 , S2 surfaces
3 S2 F force
Patm F1
Dispositif de
branchement Pivot a clapet antiretour du dispositif de connexion
sur le wagon Socle
(phase liquide)
Pi ✕ S1 + F > Patm ✕ S2
La connexion se fait par mise en place du bras par rotation et
branchement des deux dispositifs sur le wagon. Ressort
Le bras se corrode et s'use dans le temps, surtout le tuyau mobile. Contact Pas de
exerce sa Clapet
étanche fuite de
Le dessin constitue l'enveloppe de l'appareil. force sur guidé
du clapet liquide
le clapet
Ressort de rappel
Figure 17 – Bras mobile et ses dispositifs de connexion
bien taré
b petite analyse fonctionnelle

3.1.2 Identifier de manière détaillée
les dysfonctionnements techniques
Figure 18 – Clapet antiretour du dispositif de branchement
Cette étape se fait en réalisant des AMDEC ou des HAZOP, sui- du bras mobile
vant le cas, sur les éléments techniques des sous-systèmes. Par
exemple on peut faire une AMDEC sur le clapet anti-retour du dis-
positif de connexion du bras mobile sur le wagon. Celui-ci se pré- 3.1.3 Remarques
sente schématiquement comme indiqué figures 17 et 18.
Ce qui permet de construire le tableau d’AMDEC (tableau 3) qui L’analyse d’activité et l’analyse des dysfonctionnements tech-
permettra de construire un deuxième arbre de défaillance de fonc- niques est un travail de spécialistes long et coûteux, surtout dans
tionnement (figure 19). une installation industrielle.
Celui-ci se connecte en 1 sur l’arbre de défaillance précédent Il se couple bien avec une analyse de défaillances qui rejoint la
(figure 16). qualité et la maintenance.
MOSAR ______________________________________________________________________________________________________________________________
Déformation
Dépôt Mauvais
de matière contact
sur portée
Présence
d'obstacles
Objet
Usure
Coincement
Défaut
Grippage de guidage 1
du clapet
Défaut Rupture
de métal
Fuite par
détérioration
du clapet
Coincement
Défaut
du ressort
de rappel
Rupture
P1✕S1+F > Patm✕S2

Ressort
de rappel
sans action
Ressort mal taré
Figure 19 – Arbre de défaillances dysfonctionnement clapet
(0)
Tableau 3 – Tableau d’AMDEC pour le clapet antiretour

Effet de défaillance Dispositif
Désignation Mode Cause Détection Probabilité Niveau
de
de Fonction Repère de de de la de de Remarques
remplace-
l’équipement défaillance défaillance Effet local Effet final défaillance défaillance criticité
ment
Assurer Mainte-
l’étan- Forma- nance pré-
chéité du Mauvais tion d’un Bruit Vanne ventive
Clapet branche- 2 Non-étan- fonction- Fuite de nuage de Brouillard d’isole- Possible Maxi
d’étanchéité chéité propane Choix
ment nement propane Odeur ment du métal
du bras et d’air (autolubri-
mobile fiant)
Appli- Force Non-

Mauvais applica- Bruit Vanne
Ressort quer le 1 insuffi- tarage tion du Fuite Brouillard d’isole- Possible Maxi Choix
de rappel clapet sur sante ou clapet sur ment du métal
sa portée nulle Rupture Odeur
sa portée
Guider le Usure Non-

Coince- applica- Bruit Vanne Mainte-
Guidage déplace- Grippage
du clapet ment du 2 ment tion du Fuite Brouillard d’isole- Possible Maxi nance pré-
Rupture Défaut du clapet sur ment ventive
clapet métal Odeur
sa portée
Déforma- Non- Vérifica-
Contact Assurer Mauvais tion applica- Bruit Vanne tion de
d’étanchéité l’étan- 3 contact Dépôt tion du Fuite Brouillard d’isole- Possible Maxi la portée
de la portée chéité Présence
du clapet du clapet d’obstacle de matière clapet sur Odeur ment avant bran-
Objet sa portée chement
______________________________________________________________________________________________________________________________ MOSAR
Flux
6 thermique
Sphère P > Présistance
trop pleine
Dilatation
propane liquide
Pas de vidange
possible
Soupape Rupture
bloquée enveloppe
Pas de
dépressurisation
Faible débit
soupape
BLEVE
sphère
Incendie sur
élément proche
Feu dans 6
5 Choc l'environnement
Fuite Flux
sur sphère thermique
Dysfonctionnement Fuite
4 vanne prélèvement enflammée
Source
3 d'allumage
Rayonnement T > T ls
trop intense
Intervention
non efficace
ou impossible
Moyens
T température insuffisants
Figure 20 – Arbre de défaillance BLEVE (corps principal) incomplet [le choc peut provenir du BLEVE du wagon : arbre 5 non représenté sur lequel
se branche l’arbre 2 (cf. figure 16) sur lequel se branche l’arbre 1 (cf. figure 19)]
3.2 Évaluer les risques en construisant l’intervention. On peut alors constater qu’un flux thermique est un
mode commun de défaillance, ce qui est assez évident, à la rupture
des arbres de défaillances de l’enveloppe et au dépassement des conditions limites de sur-
et en les quantifiant chauffe du propane.
3.2.1 Construire des arbres de défaillance 3.2.2 Quantifier les arbres de défaillance (ADD)
sur les risques principaux
La technique des ADD permet d’utiliser tous les avantages liés à
À ce niveau de l’analyse, nous avons toute l’information pour leurs propriétés (cf. article [SE 4 050]) :
construire des arbres de défaillance sur les ENS principaux identi- — visualisation de l’enchaînement combinatoire de tous les évé-
fiés dans le module A. nements conduisant aux ENS ;
En effet : — possibilité de neutraliser les ENS en inhibant les événements
— les arbres logiques du module A sont les squelettes de ces primaires et ceux des scénarios ;
arbres ; — identification des modes communs ;
— les ADD construits sur les dysfonctionnements techniques et — possibilité de réduire l’arbre (le simplifier) si l’on peut écrire
opératoires développent les événements primaires des arbres son équation en algèbre de Boole :
logiques. • détermination des coupes de l’arbre ou des différents groupes
En construisant l’ADD on combine verticalement les événements de nombre d’événements primaires se combinant pour géné-
qui ne l’étaient que linéairement et on fait apparaître, dans les rer l’ENS (ordre 1 : il suffit d’un événement primaire pour
combinaisons, des événements nouveaux qui n’étaient pas encore générer l’ENS ; ordre 2 : il suffit de deux événements primai-
apparus. Si nous illustrons ceci à partir de l’arbre de défaillance res pour générer l’ENS...),
BLEVE de la sphère représenté de manière non complète, • quantification de l’arbre, c’est-à-dire calcul de la probabilité de
figure 20, apparaissent dans la construction logique de l’arbre à l’ENS en appliquant l’équation de l’arbre en algèbre de Boole.
partir de l’arbre logique de la figure 11, par exemple, les évé- Pour cela il est nécessaire de connaître la probabilité des évé-
nements entraînant la rupture de l’enveloppe et ceux concernant nements primaires. Si l’on examine les événements primaires
MOSAR ______________________________________________________________________________________________________________________________
de l’ADD BLEVE, on remarque toute la difficulté de trouver ces

dernières. Pour cette raison, il est rare, en milieu industriel, de
pouvoir calculer la probabilité des ENS. 2BU
A
Nous pouvons contourner cette difficulté en mettant en œuvre 2BT
une technique exposée au paragraphe 3.3 qui va permettre de faire
2BT
une allocation d’un nombre de barrières. ENS
2BT 2BU
C
2BU
2BT
B
2BU
3.3 Négocier des objectifs précis 2BT Première configuration
de prévention 2BU
D
Deuxième configuration
À ce niveau de l’analyse il est possible d’utiliser la logique des

arbres de défaillances pour allouer une répartition d’un nombre de Figure 21 – Répartition logique de barrières
barrières de prévention sur les ENS. Il sera alors nécessaire de pra-
tiquer une deuxième négociation pour fixer le nombre de barrières
en fonction de la gravité des ENS.
Comme il est rare de pouvoir placer directement les barrières sur L’autre met une égale confiance dans la technique et dans les
les ENS, on les répartit en remontant l’arbre de défaillances à opérateurs, ce qui sous-entend que ces derniers sont bien formés
l’envers. notamment à la connaissance et à la maîtrise des risques.
3.3.1 Négocier une allocation de barrières 3.3.2 Répartir les barrières sur les ADD
Pour ce faire on construit une grille négociée entre les acteurs, À partir de l’allocation de barrières choisie sur l’ENS, on utilise
qui fait correspondre un nombre de barrières à chaque niveau de la logique de l’arbre pour remonter à une allocation sur les évé-
gravité défini dans la quatrième étape du module A (cf. § 2.4). nements primaires de ce dernier (figure 21).
Prenons le cas de la grille G × P pour les cibles écosystèmes et
populations de l’installation de propane. On peut construire le L’objectif, dans ce cas, étant d’avoir 2BT et 2BU sur l’événement
tableau de correspondance (tableau 4). final, on trouve au moins deux répartitions possibles (figure 21).
Chaque fois que l’on franchit une porte ET dans le sens de la lec-
(0)
ture inductive de l’arbre, les barrières des événements précédant la
porte (événements amonts) s’additionnent sur l’événement suivant
Tableau 4 – Tableau de correspondance Gravité – Nombre la porte (événement aval). Chaque fois que l’on franchit une porte
de barrières OU dans le même sens, le nombre de barrières reste le même sur
l’événement suivant la porte.
Objectif en nombre de barrières
Gravité G Illustrons ce travail avec l’ADD BLEVE :
technologiques d’utilisation — première configuration de répartition des barrières (figure 22,
page 21) ;
4 2
6 ou ou — deuxième configuration d’allocation de barrières. Dans cette
3 3 deuxième configuration (figure 23, page 22) on fait la même allo-
cation de barrières sur l’événement final mais on la répartit de
3 2 manière différente de la première configuration. On obtient une
5 ou ou répartition différente sur les événements primaires.
3 3
3 1
4 ou ou 3.3.3 Remarque
2 2
2 1 Avec des arbres de défaillances ayant de nombreuses portes ET,

3 ou ou on arrive très vite à une limitation du nombre de barrières à répar-
1 2 tir sur les événements en amont d’une porte ET puisque le nombre
de barrières sur chaque événement amont de la porte est égal au
1 1 nombre de barrières sur l’événement aval divisé par le nombre
2 ou ou d’événements amonts. On décide alors de mettre au moins une
0 2 barrière sur les événements primaires.
1 0
1 ou ou
0 1
3.4 Affiner les moyens de prévention
À partir des différents modes de répartition des barrières, on

À chaque niveau, le choix entre les deux possibilités n’est pas construit un tableau D (tableau 5) où l’on recense toutes les
innocent. barrières qu’il est possible de mettre sur les événements primaires.
L’un privilégie les BT et considère donc qu’on ne peut pas trop Il est évidemment fait appel aux barrières identifiées dans le
faire confiance aux opérateurs. module A, complétées avec celles trouvées dans le module B.
______________________________________________________________________________________________________________________________ MOSAR
1 BT + 1 BU
Flux
6 thermique 1 BT + 1 BU
1 BU trop pleine 1 BT + 1 BU
Dilatation
propane liquide
1 BT Pas de vidange 2 BT + 1 BU
possible
Soupape Rupture
1 BT bloquée 1 BT enveloppe
Pas de
dépressurisation
Faible débit
1 BT soupape
3 BT + 3 BU
1 BT + 1 BU
BLEVE
Incendie sur sphère
élément proche
1 BT + 1 BU
1 BT
Feu dans 6
5 Choc 1 BT l'environnement 1 BT + 1 BU
Fuite Flux
1 BT sur sphère 1 BT + 1 BU thermique
4 vanne prélèvement 1 BU enflammée
Source 2 Bu + 1 BT
3 d'allumage 1 BU
Rayonnement 1 BU T > T ls
trop intense
Intervention
1 BU non efficace
ou impossible
Moyens
insuffisants
T température Première configuration
Figure 22 – Première répartition de barrières sur l’arbre de défaillances BLEVE sphère
On peut s’arrêter là et vérifier simplement que les barrières per- 3.5 Gérer les risques
mettent de neutraliser tous les événements sinon on fait apparaître
des risques résiduels.
Pour terminer l’analyse, avec les scénarios identifiés et en
On peut aussi évaluer (ou on calcule si cela est possible) le coût recensant les moyens d’intervention et leur mise en œuvre à tra-
des barrières. On évalue l’avantage en matière de sécurité des vers l’organisation, on crée les plans d’intervention en cas d’acci-
configurations en nombre de barrières et leur avantage en matière dents (POI ou Plan d’Opérations Interne en milieu industriel ; PUI
de coût. Il reste à trancher entre les deux lorsque les résultats sont ou Plan d’Urgence Interne en milieu nucléaire).
contradictoires. Ces plans sont destinés à montrer qu’il est possible de faire face
La lecture du tableau (tableau 5) fait apparaître les points sui- aux ENS, s’ils surviennent, et qu’il est possible d’en limiter les
vants : effets.
— la configuration 1 est la meilleure sur le plan de la sécurité car Par exemple, dans le scénario BLEVE, le POI doit prévoir quels
c’est dans celle-ci qu’il manque le moins de barrières pour satis- moyens (et comment ils seraient mis en œuvre), permettraient de
faire les objectifs ; lutter contre une fuite enflammée pour éviter le déroulement du
— elle est un peu plus chère en coût d’investissement car en scénario complet.
quatre points les barrières sont surdimensionnées ; On peut à ce niveau sur chacun des ENS ayant fait l’objet d’un
— on retiendra donc la configuration 1. ADD, construire un arbre d’événement (causes-conséquences),
(figure 24) qui aide à identifier les conséquences de cet événement
suivant l’efficacité des moyens mis en place pour en limiter les
Cette partie de l’analyse est encore peu développée et assez effets s’il survient.
rarement mise en œuvre. Elle met bien en évidence les choix Il est aussi possible de placer des barrières sur cet arbre pour
implicites ou explicites faits entre BT et BU. neutraliser ou limiter les conséquences des événements qu’il fait
Elle nécessite que l’on s’assure pour chacun des types de apparaître. Ces barrières sont du type barrières de protection, pro-
barrières (BT ou BU) que les barrières sont homogènes en cédures en cas d’accident, procédures ultimes en bout de l’arbre.
efficacité. Cet arbre est donc symétrique de l’ADD par rapport à l’ENS.
MOSAR ______________________________________________________________________________________________________________________________
1 BT + 1 BU
Flux
6 thermique 1 BT + 1 BU
1 BU trop pleine 1 BT + 1 BU
Dilatation
propane liquide
1 BT Pas de vidange 2 BU + 1 BT
possible
Soupape Rupture
1 BU bloquée 1 BU enveloppe
Pas de
dépressurisation
Faible débit
1 BU soupape
3 BT + 3 BU
2 BT
BLEVE
élément proche
2 BT
1 BT
Feu dans 6
5 Choc 1 BT l'environnement 2 BT
Fuite Flux
1 BT sur sphère 2 BT thermique
4 vanne prélèvement 1 BT enflammée
Source 2 BT + 1 BU
3 d'allumage 1 BU
Rayonnement 1 BU T > T ls
trop intense
Intervention
1 BU non efficace
ou impossible
Moyens
insuffisants
T température Deuxième configuration
Figure 23 – Deuxième répartition de barrières sur l’arbre de défaillances BLEVE de la sphère
(0)
Tableau 5 – Tableau D
Barrières possibles 1re Configuration 2e Configuration Coût (2) Coût (2) Barrières ajoutées
dans la
ENS primaire configuration
BT BU Exigence Avantage (1) Exigence Avantage (1) 1re Configuration 2e Configuration retenue (3)
Rayonnement Protection 1 BU OK 1 BU OK
trop intense individuelle
Moyens de lutte Arrosage fixe 1 BU + 1 BU + + + Arrosage fixe
insuffisants automatique automatique
Permis de feu
Autre source Débroussaillage Vérification 1 BU ++ 1 BT ++ +
d’allumage périodique
Débroussaillage
Dispositif
de mise Dispositif Consigne 1 BU + 1 BT + + Dispositif
à la terre non automatique de branchement automatique
branché
Dispositif Contrôle
de mise et entretien
à la terre périodiques 1 BU + 1 BT OK
défectueux Consigne contrôle
avant branchement
(1) La configuration répond aux exigences :
+ une barrière possible en plus,
++ deux barrières possibles en plus,
– manque une barrière pour répondre aux exigences,
– – manquent deux barrières pour répondre aux exigences.
(2) + : impact positif en terme de coût d’investissement.
(3) Ne pas oublier de qualifier ces barrières en les introduisant dans la grille.
______________________________________________________________________________________________________________________________ MOSAR
Tableau 5 – Tableau D (suite)

Barrières possibles 1 re
Configuration 2e Configuration Coût (2) Coût (2) Barrières ajoutées
dans la
ENS primaire configuration
BT BU Exigence Avantage (1) Exigence Avantage (1) 1re Configuration 2e Configuration retenue (3)
Soupape Contrôle
bloquée et entretien 1 BT – 1 BU OK
périodiques
Faible débit de Soupape bien 1 BT OK 1 BU OK
soupape calculée
Consigne Détecteur
Sphère trop Détection du Contrôle 1 BU ++ 1 BU ++ + + de niveau
pleine niveau doublée périodique double
du détecteur
Vidange Sphère vide
impossible en attente Consigne 1 BT + 1 BT +
Autre choc sur Protection 1 BT OK 1 BT OK

sphère des piquages
Défaut vanne Vanne bien Contrôle 1 BT + 1 BT +
de prélèvement conçue périodique
Stress Personnel entraîné 1 BT – 1 BT –
Mauvaise Formation
formation correcte 1 BT – 2 BT ––
entraînement
Défaut joint Contrôle périodique

de rotule maintenance 1 BT OK 2 BT –
préventive
Blocage bras au Vérification avant
cours opération mise en œuvre 1 BT – 2 BT ––
précédente
Blocage Guide Formation
du bras au cours mécanique de entraînement 1 BT + 2 BT –
du déplacement connexion
Mauvais Sécurité Sécurité
verrouillage de verrouillage 1 BT OK 2 BT – de verrouillage
du bras
Déformation Choix du métal Entretien préventif 1 BT + 2 BT –
clapet
Dépôt matière Nettoyage après

sur clapet Filtre travaux 1 BT + 2 BT OK Filtre
Contrôle propreté
Nettoyage après
Objet sur travaux
clapet Contrôle propreté 1 BT OK 2 BT –
Contrôle
avant branchement
Usure guide Choix Maintenance 1 BT + 2 BT –
clapet du métal préventive
Grippage guide Métal Maintenance 1 BT + 2 BT –
clapet autolubrifiant préventive
Défaut du métal Choix Contrôle 1 BT + 2 BT OK

du métal qualité Tests
Coincement Contrôle 1 BT – 2 BT ––
ressort périodique
Rupture Contrôle 1 BT – 2 BT ––
ressort qualité Tests
PI × S1 + F > Pat Par construction 1 BT OK 1 BT OK
m × S2
Tarage
Ressort mal taré du ressort 1 BT OK 1 BT OK
Contrôle
périodique
8 OK 9 OK
11+ 4+
BILAN 2++ 2++ 4+ 2+
6– 8–
4– –
(1) La configuration répond aux exigences :
+ une barrière possible en plus,
++ deux barrières possibles en plus,
– manque une barrière pour répondre aux exigences,
– – manquent deux barrières pour répondre aux exigences.
(2) + : impact positif en terme de coût d’investissement.
(3) Ne pas oublier de qualifier ces barrières en les introduisant dans la grille.
MOSAR ______________________________________________________________________________________________________________________________
Flux
6 thermique
trop pleine
Dilatation
propane liquide
Pas de vidange
possible
Soupape Rupture
bloquée enveloppe
Pas de
dépressurisation
Faible débit
soupape
Barrières, procédures
de prévention
BLEVE
élément proche
Feu dans 6
5 Choc l'environnement
Fuite Flux
sur sphère thermique
4 vanne prélèvement enflammée
Source
3 d'allumage
Rayonnement T > T ls
trop intense
Intervention
non efficace
ou impossible
Moyens
T température insuffisants
Une intervention
Barrières, procédures est possible
de protection La fuite OUI
s'enflamme
OUI NON
Fuite en
phase liquide
NON Poursuite
Le wagon OUI de l'analyse
est percé OUI
Le BLEVE
atteint le OUI NON
wagon OUI
NON NON
OUI NON
NON Une nappe dérivante Arbre d'événement

gazeuse se forme
Figure 24 – Arbre causes-conséquences sur l’ENS BLEVE sphère
______________________________________________________________________________________________________________________________ MOSAR
4. L’organisation des barrières — la maîtrise des accidents à l’intérieur des hypothèses de

conception :
dans une stratégie • par les systèmes de sauvegarde et les procédures
accidentelles. Par exemple en cas de menace de débordement
de défense en profondeur de la sphère, une procédure d’arrêt rapide de la pompe et
d’isolement de la sphère. En cas de fuite sur le système de
branchement du wagon ou de menace de rupture, une procé-
Cette dernière se caractérise par : dure d’isolement du wagon télécommandée. Ces procédures
doivent apparaître dans le tableau B au cours de l’analyse avec
— la prévention de défaillances de fonctionnement des sys- qualification dans le tableau C,
tèmes : • par la mise en évidence de défauts de mode commun qui
• en conception : elle est prise en compte en partie dans le apparaissent dans les arbres de défaillance du module B et
tableau B, dans la recherche de barrières de conception et sont pris en compte sous forme de barrières dans le tableau D
dans l’application des AMDEC, dans le module B, avec qualification dans le tableau C. Par exemple une coupure
• par la qualité : prise en compte dans la qualification des générale d’électricité,
barrières avec le tableau C (y compris pour les barrières • par la définition de redondances pour les systèmes sensibles.
complémentaires issues du tableau D), Par exemple on peut doubler la soupape de sécurité de la
• par la définition du domaine de fonctionnement autorisé. Par sphère par une membrane de rupture tarée à une pression
exemple, à partir des scénarios d’accidents majeurs : fixation supérieure à la pression d’ouverture de la soupape. C’est aussi
du niveau de remplissage de la sphère de propane avec mar- une barrière de conception qui doit apparaître dans le tableau
ges d’alerte et d’alarme. Ceci conduit à la définition des B avec qualification par le tableau C ;
défaillances exclues : débordement de propane aussi bien — la limitation des conséquences d’accidents graves par des
dans la sphère que dans le wagon. Déconnexion intempestive mesures complémentaires qui apparaîtront lors de la construction
du wagon. Apparaissent alors les Éléments Importants pour la des arbres causes-conséquences construits dans le dernier niveau
Sécurité (EIS) qui peuvent être aussi des barrières technologi- de l’analyse. Ces mesures porteront sur une analyse de l’installation
ques (BT) ou des barrières d’utilisation (BU). Dans les cas hors de son dimensionnement, par la définition éventuelle d’autres
ci-dessus ce seront : la pompe, le détecteur de niveau, les systèmes redondants et par les mesures conservatoires à prendre
branchements sur le wagon, la soupape. Ces éléments feront en cas d’accidents majeurs.
l’objet de mesures renforcées (surveillance, qualification,
requalification après entretien). Ces mesures, déjà prises en Dans le cas de la sphère de propane le seul système redondant
compte pour les EIS qui sont des barrières, peuvent être inté- qui peut être prévu est la présence d’une sphère vide permettant
grées dans les tableaux B et C pour les autres EIS ; une vidange, avec procédure associée.
Les autres mesures sont les mesures d’intervention du POI et
— la maintenance de l’installation dans le domaine autorisé :
du PPI.
• par la maîtrise de l’installation dans le domaine autorisé qui
s’obtient par la surveillance, le contrôle, les mesures de régu- Barrières de prévention, barrières de protection, procédures de
lation (par exemple régulation de la pression différentielle surveillance, contrôle, procédures en cas d’accident, procédures
entre la sphère et le wagon pour éviter le débordement de l’un ultimes, s’organisent ainsi à travers la défense en profondeur.
dans l’autre. C’est une barrière de conception qui doit apparaî- Il sera, bien entendu, nécessaire de prendre en compte cet
tre dans le tableau B. Toutes ces mesures apparaissent dans le ensemble de moyens dans l’organisation de l’installation et dans
tableau de qualification C ; son management.
Références bibliographiques
[1] LE MOIGNE (J.L.). – Théorie du Système [2] NICOLET (J.L.), WANNER (J.C.) et CARNINO [3] COLLECTIF. – L’état de l’art dans le domaine
Général, théorie de la modélisation. Éd. PUF. (A.). – Catastrophes, non merci ! La préven- de la fiabilité humaine. Institut de Sûreté de
Paris. tion des risques technologiques et humains. fonctionnement. Éd. Octarès Toulouse (1994).
Éd. Masson. Paris (1989).
P
O
U
Méthode MADS-MOSAR R
Pour en favoriser la mise en œuvre E

par Olivier GRANDAMAS
N
Docteur en génie de l’environnement
Directeur d’Asphaleia
S
A
Sources bibliographiques V
[1] PERILHON (P.). – L’analyse des risques – Mé-
thode MOSAR. Brochure HE-54/96/35A EDF
[3] LE MOIGNE (J.L.). – Théorie du système gé-
néral, théorie de la modélisation. 4e édition,
[5] Actes des assises internationales des forma-
tions universitaires et avancées dans le do-
O
et INSTN CEA Grenoble, Éditions Prévention. éd. PUF, Paris (1994). maine des sciences et techniques du danger.
[2] PERILHON (P.). – La gestion des risques –
Méthode MADS-MOSAR II. Manuel de mise
[4] Actes des colloques cindyniques. Institut
Européen de Cindyniques (1992) (1994)
Université Bordeaux 1, IUT A, Département
Hygiène, Sécurité, Environnement (1993).
I
en œuvre. Éd. Démos (2007). (1996).
R
À lire également dans nos bases
PERILHON (P.). – MOSAR – Présentation de la mé-
thode. [SE 4 060] Techniques de l’Ingénieur. P
PERILHON (P.). – MOSAR – Cas industriel.
[SE 4 061] Techniques de l’Ingénieur.
L
Supports numériques U
Logiciel MADS-MOSAR, CD-Rom version 2.09, Éditions Fox Média, 38 MEY-
LAN, {Logiciel d’apprentissage} (1999).
S
Outils logiciels
ASPHALES – Société ASPHALEIA
http://www.asphaleia.fr
Envision Risks – Société Case France – MOSAR
http://www.case-france.com
Sites Internet
IUT HSE – Université de Bordeaux 1 – Michel LESBATS
http://portaildurisque.iut.u-bordeaux1.fr/promethScienceDanger.htm
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. Doc. SE 4 062 – 1
Gagnez du temps et sécurisez vos projets
en utilisant une source actualisée et fiable
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 340 000 utilisateurs chaque mois

12 000 articles de référence et fiches pratiques
 + de 10
 Des Quiz interactifs pour valider la compréhension
SERVICES ET OUTILS PRATIQUES
  
Questions aux experts* Articles Découverte Dictionnaire technique multilingue Archives Info parution
Les meilleurs experts techniques La possibilité de consulter 45 000 termes en français, anglais, Technologies anciennes et versions Recevez par email toutes les nouveautés
et scientifiques vous répondent des articles en dehors de votre offre espagnol et allemand antérieures des articles de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
Les offres Techniques de l’Ingénieur

INNOVATION ENVIRONNEMENT – SÉCURITÉ ÉLECTRONIQUE – PHOTONIQUE PROCÉDÉS CHIMIE – BIO – AGRO
• Éco-conception et innovation responsable • Sécurité et gestion des risques • Électronique • Formulation
• Nanosciences et nanotechnologies • Environnement • Technologies radars et applications • Bioprocédés et bioproductions
• Innovations technologiques • Génie écologique • Optique – Photonique • Chimie verte
• Management et ingénierie de l’innovation • Technologies de l’eau • Opérations unitaires. Génie de la réaction
• Smart city  Ville intelligente • Bruit et vibrations TECHNOLOGIES DE L’INFORMATION chimique
• Métier : Responsable risque chimique • Sécurité des systèmes d’information • Agroalimentaire
MATÉRIAUX • Métier : Responsable environnement • Réseaux Télécommunications
• Bois et papiers • Le traitement du signal et ses applications SCIENCES FONDAMENTALES
• Verres et céramiques ÉNERGIES • Technologies logicielles – Architectures des • Mathématiques
• Textiles • Hydrogène systèmes • Physique Chimie
• Corrosion – Vieillissement • Ressources énergétiques et stockage • Sécurité des systèmes d’information • Constantes physico-chimiques
• Études et propriétés des métaux • Froid industriel • Caractérisation et propriétés de la matière
• Mise en forme des métaux et fonderie • Physique énergétique AUTOMATIQUE – ROBOTIQUE
• Matériaux fonctionnels. Matériaux biosourcés • Thermique industrielle • Automatique et ingénierie système BIOMÉDICAL – PHARMA
• Traitements des métaux • Génie nucléaire • Robotique • Technologies biomédicales
• Élaboration et recyclage des métaux • Conversion de l’énergie électrique • Médicaments et produits pharmaceutiques
• Plastiques et composites • Réseaux électriques et applications INGÉNIERIE DES TRANSPORTS
• Véhicule et mobilité du futur CONSTRUCTION ET TRAVAUX PUBLICS
MÉCANIQUE GÉNIE INDUSTRIEL • Systèmes aéronautiques et spatiaux • Droit et organisation générale de la construction
• Frottement, usure et lubrification • Industrie du futur • Systèmes ferroviaires • La construction responsable
• Fonctions et composants mécaniques • Management industriel • Transport fluvial et maritime • Les superstructures du bâtiment
• Travail des matériaux – Assemblage • Conception et production • Le second œuvre et l’équipement du bâtiment
• Machines hydrauliques, aérodynamiques et • Logistique MESURES – ANALYSES • Vieillissement, pathologies et réhabilitation du
thermiques • Métier : Responsable qualité • Instrumentation et méthodes de mesure bâtiment
• Fabrication additive – Impression 3D • Emballages • Mesures et tests électroniques • Travaux publics et infrastructures
• Maintenance • Mesures mécaniques et dimensionnelles • Mécanique des sols et géotechnique
• Traçabilité • Qualité et sécurité au laboratoire • Préparer la construction
• Métier : Responsable bureau d’étude / conception • Mesures physiques • L’enveloppe du bâtiment
• Techniques d’analyse • Le second œuvre et les lots techniques
• Contrôle non destructif
www.techniques-ingenieur.fr
 CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Se4061 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Se4061 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Réf.

MOSAR - Cas industriel

Date de dernière validation :

par Pierre PERILHON

Résumé La méthode MOSAR, pour Méthode organisée systémique d'analyse des

Pour toute question :

1. Définition de l’exemple. Modélisation ............................................... SE 4 061 - 2

a méthode MOSAR, décrite dans l’article MOSAR - Présentation de la

Figure 1 – L’installation étudiée

Systèmes de Bras mobile

Pompe Vanne trois voies pour

Figure 2 – Le système étudié

Dans le cas de l’installation de dépotage de propane, ceci

— SS4 - le bras mobile ;

Remarque : Deux phrases mnémotechniques pour s’aider à

SS5 Wagon et ses SS4 Bras SS3

Figure 3 – La décomposition du contexte en sept sous-systèmes

Phases de vie : Influence des champs : Événements renforçateurs :

Événements initiateurs Événements initiaux

Figure 4 – Tableau A : établissement des processus de danger du sous-système sphère

Choc Fuite propane

Surcharge SS1 Sphère trop pleine

Dysfonctionnement SPHÈRE BLEVE

Maladresse Électricité statique Corrosion Déformation

Surcharge SS1 Sphère trop pleine

Ce travail est une simple compilation des tableaux A (cf. figure 4,

Choc Fuite propane Choc Déformation Choc Blocage

Obstacle Flux thermique

Déformation Choc Fuite Stress Geste

Mouvement Rupture Effondrement châssis Choc Fatigue Action non

Scénario S1 Étincelle électrostatique

Chute de hauteur de l'opérateur

Figure 9 – Exemples de scénarios longs pour l’installation propane

Choc Fuite propane Choc Déformation Choc Blocage

Maladresse Électricité statique

Déraillement Explosion train

Déformation Choc Fuite Stress Geste

Mouvement Rupture Effondrement châssis Choc Fatigue Action non

Figure 10 – Scénarios d’interaction avec l’environnement

1 Mauvaise formation Mauvais branchement Fuite Flux thermique

Choc Étincelle Choc BLEVE

Figure 11 – Arbre logique BLEVE

2.3 Évaluation des scénarios à risques

G = gravité ou effet sur une cible,

Très Improbable Peu Probable P = probabilité de l'effet

a pour les opérateurs et les situations du scénario S2

Conséquences Conséquences Conséquences Conséquences Catastrophique Catastrophique G

b grille G ✕ P pour les autres cibles et situation des scénarios

conception. En effet on commence toujours par travailler la préven-

Maintenance Maintenance préventive Préventive BU

Procédures Procédure de branchement – BU

Consignes Consigne de sécurité au poste D’accès BU

Habilitations À l’opération de branchement BU

Barrières de protection Efficace contre le givrage et les effets

Formation des opérateurs Pour le branchement À l’accès en hauteur BU

Balisage – accès- Veiller aux accès BT

Tableau 2 – Tableau C simplifié

des piquages 1 BT A2 Dimensionnement correct Vérification périodique d’état

Mise à la terre 1 BU Bonne continuité électrique Vérification périodique Préventive (corrosion)

On voit donc bien ici que toute analyse conduisant à un décou-

Barrières BU 3.1 Identifier les risques

DYSFONCTIONNEMENT Mauvais branchement Fuite Flux thermique

1 Vérification de Pas de vérification Bras peut se bloquer