DU RISQUE A L’ANALYSE DE

RISQUES

_____

Développement d’une méthode

MOSAR

Méthode Organisée et Systémique

d’Analyse de Risques
Pierre PERILHON

Ingénieur ENSAM

Juin 2003
PLAN
__
1
 Chapitre 1
PROBLEMATIQUE DU RISQUE
INTRODUCTION A LA SCIENCE DU DANGER
_____
Page
Prologue 05
1 – Un peu d’histoire du risque 05
2 - La vision paradigmatique actuelle du risque 18
2 – 1 – La structure des événements non souhaités 18
2 – 2 – L’analyse de risques 22
2 – 3 – Les stratégies industrielles 23
2 – 4 - La sûreté de fonctionnement 23
2 – 5 - Une définition du risque 24
2 – 6 – Une définition de l’analyse de risques 25
3 - Introduction à la systémique pour une approche de la complexité 27
3 – 1 – La notion de modèle 28
3 – 2 – La notion de système 30
3 – 3 – La notion de processus 33
3 – 4 – Propriétés des systèmes 35
3 – 4 –1 – Propriété d’émergence 35
3 – 4 – 2 – Notions d’auto-organisation et d’organisation 36
3 – 4 – 3 – Notion de complexité 39
3 – 4 – 4 – Notion de hasard 40
3 – 4 – 5 – Propriétés structurelles 40
3 – 4 – 6 – Catégorisation des systèmes 41
3 – 5 – En résumé 42
3 – 6 – Constat 42
4 - De la systémique à la Science du Danger 44
4 – 1 – Objet de la science du danger 44
4 – 2 – Le modèle MADS 45
4 – 3 – Le développement de typologies 49
4 – 4 – Quelques développements et applications 57
5 - Typologie des études de dysfonctionnements 64

2
6 - Le corps de connaissances transversale nécessaire à la maîtrise
du risque 66
7 – Annexes 73
Quelques éléments d’information sur l’histoire de la systémique 74
Grille 1 : systèmes sources de danger dans la fabrication, 75
le stockage, le transport, de matière, énergie, information.
Grille des systèmes sources de danger en milieu urbain
Description de l’installation propane 84
Information sur le groupe MADS 88

Chapitre 2
UNE METHODE D’ANALYSE DE RISQUES : MOSAR
Méthode Organisée et Systémique d’Analyse de Risques
_____

1- Bref historique de la méthode 90

2- Problématique de l’analyse de risques d’une installation 90
3- Structure de la méthode 98
4- Description par application sur un exemple 98
le module A 98
le module B 127
5 - Les modes de mise en œuvre de la méthode 145
MOSAR par étapes et par niveaux (synthèse en un tableau) 149
MOSAR miss sous forme SADT
6 – quelques exemples d’application dans différents domaines dont 158
le domaine industriel.
6 – 1 – Unité de fabrication de verre plat 158
6 – 2 – Appareil de déclenchement préventif d’avalanches 160
6 – 3 – Etude de conception d’une installation industrielle de
type nucléaire 162
7 – Analyse et management des risques 168
8 – Application à l’enseignement de la maîtrise des risques. 170
Bibliographie 171

3
 Chapitre 1
____

PROBLEMATIQUE DU RISQUE

INTRODUCTION A LA SCIENCE
DU DANGER

4
PROLOGUE :

S’intéresser au domaine du risque, c’est réfléchir à sa structure, à la manière dont il

apparaît et dont il se manifeste pour les êtres vivants. S’intéresser aux risques c’est identifier
tout le spectre de ceux que rencontrent ces mêmes êtres vivants. Dans les deux cas, c’est
pénétrer dans la complexité et dans tous les domaines de la connaissance. Vaste programme !
Et, paradoxe, la vie ne procède que par risque. Il n’y a pas de vie sans risque, il n’y a pas de
progrès dans la connaissance et dans les applications qu’en fait la technique pour au moins
accroître notre confort, sans prise de risque. Alors, le problème est - il bien posé ?
E HYGI
Premier constat : il existe un tas R
E S DECH
ETS
FIA
ENE IN
DUST
RIELL
G I ON D BIL E
de mots correspondant à tout un ensemble de O
GES T
SURETE
ITE
HU
MA
connaissances qui se sont développées depuis N
EE
INE
O A PPLIQU ON
environ un siècle, de manière surtout ECOLO
G IE E U SI
M E H
S
I I NTR
R T
I AI AN
pragmatique. E AN
IT
UE Sécurité des installa
tions

E
S Q

ns RIT
I E I
GE
N BL

CU
PU EN
T
Deuxième constat : ce progrès du
SE
N E EM
NN

bie
IE IRO
confort entraîne de plus en plus un refus des YG NV
des
L'E TRAVAIL
H DE MEDECINE DU
risques ‘’ imposés ‘’ par les activités humaines it é
T I O N SU R ETE DE FO
TEC
ur

NCTIONNE
PRO MENT
Séc

telles que le travail et tout ce qui le concerne

Un tas de mots
(installations industrielles) et par la nature
(risques naturels). Avec le paradoxe que les risques non ‘’ imposés ‘’ (liés à la circulation
routière, aux loisirs, à la vie domestique) n’entraînent pas un rejet aussi grand que les
premiers. C’est un peu comme si ce besoin de risque lié à la vie se retrouvait dans cette
dernière catégorie.
Ce constat introduit la perception du risque. Même s’il est en partie possible de le
caractériser de manière objective, comme nous le verrons, celui-ci est avant tout un construit
social.

Troisième constat : de multiples enseignements se sont développés ces dernières

années dans le domaine du risque : il y a maintenant plus de cinq IUT, une quinzaine de
DESS, deux MASTERS, plusieurs années spécialisées d’écoles d’Ingénieurs et une école
d’INGENIEURS . Or la connaissance dans ce domaine est bien plus en milieu industriel que
dans les Universités, bien peu d’entre elles ayant fait l’effort de développer des concepts, base
d’une pédagogie d’enseignement des risques et de leur maîtrise.

Quatrième constat : un essai a été fait de constitution d’une Science du Danger

ou de Sciences du Danger avec la création du mot CINDYNIQUE (S) en 1987 lors du
colloque de l’UNESCO à PARIS, mot forgé à partir du mot grec KINDYNOS qui signifie
danger, la ou les cindyniques étant la ou les sciences du danger. ( 61 )

Il est donc légitime de tenter le développement de cette Science du Danger. Tout

d’abord pour construire une cohérence dans la modélisation de la connaissance qui lui est
propre, ce qui permettra d’organiser les mots en vrac du premier constat. Ensuite pour
montrer que la structure des risques est la même dans tout leur spectre et qu’il n’y a pas lieu
de rejeter les uns plutôt que les autres, mais d’apprendre à les évaluer pour mieux les maîtriser
et pour être mieux à même de définir les objectifs qui permettront de les situer quant à leur
acceptabilité. Ceci pour tenir compte du deuxième constat. Le développement des concepts
d’une science du danger sera le socle pédagogique des enseignements traitant de son
domaine, réponse aux questions soulevées dans le troisième constat.

5
 1- UN PEU D’HISTOIRE DU RISQUE :

Comment se sont formés, transformés, échangés, organisés et réorganisés les

savoirs et les savoir - faire dans le domaine du risque ?

DANS LES ANNEES 60 :

Les savoirs se sont développés autour de la sécurité des machines, des relations
hommes - machines et s’est constituée l’ergonomie, technique qui essaie d’adapter la machine
à l’homme et non pas l’inverse. Ceci a beaucoup fait appel aux disciplines appliquées que
sont la Psychologie et la Sociologie, la Physiologie, l’Anatomie.
Les savoir-faire avaient déjà depuis plusieurs années été développés avec les
outils d’analyse notamment pour les systèmes d’armes (celles - ci devant être fiables et sûres
c’est à dire fonctionner à tout coup sur commande mais jamais intempestivement). Ils font
alors l’objet d’applications dans l’aéronautique, la plupart des bureaux d’études étant alors
formés à leur mise en œuvre.
On voit aussi des responsables être mis en prison, ce qui accélère les prises de
conscience.
Le développement des médias notamment visuels (télévision), amplificateurs du
vrai comme du faux et du manipulé (audimat roi) entraîne à la fois une prise de conscience
salutaire (apparition de contre-pouvoirs nécessaires) et une hypersensibilité à certains
domaines de risques réels ou fantasmés qui ne feront que se développer dans les années
suivantes à l’occasion de grandes crises de gestion de catastrophes.

DANS LES ANNEES 70 :

Les savoirs se centrent beaucoup sur l’interface homme-machine. Apparaît aussi

la sécurité des systèmes d’information liée au développement de l’informatique. La prise en
compte de l’impact des dangers sur les écosystèmes et les populations est initiée notamment
par le développement du nucléaire. Liées à ce dernier les enquêtes d’opinion permettant de
mieux comprendre les mécanismes de l’acceptabilité des risques, sont mises au point et
appliquées. Enfin, on commence à s’intéresser au comportement humain dans la conduite des
systèmes complexes.
Les savoir-faire se centrent sur l’application des outils d’analyse dans le
nucléaire. Apparaît alors la sûreté nucléaire avec sa stratégie de défense en profondeur et la
conception déterministe des installations avec vérification probabiliste.
Dans l’enseignement, le premier IUT de sécurité est crée à BORDEAUX en
1970 et la première MAITRISE de sécurité à GRENOBLE en 1979.

DANS LES ANNEES 80 :

Tous les savoirs des années 70 se développent ainsi que des sociétés savantes
comme la 3SF
Pour les savoir-faire, l’utilisation des outils d’analyse diffuse en milieu
industriel.
Dans l’enseignement apparaissent des MASTERES, se créent d’autres
MAITRISES ainsi que des DES (diplômes universitaires spécifiques à une université et
n’ayant pas de reconnaissance nationale.

6
 DANS LES ANNEES 90 :

En matière de savoirs apparaît la constitution des éléments d’une SCIENCE DU

DANGER ou CINDYNIQUE. Les Sociétés Savantes se développent ou se réorganisent :
transformation de la 3SF en IEC (institut Européen de Cindyniques ) et création de l’ISDF
(institut De Sûreté De Fonctionnement, l’un des instituts du Mouvement Français pour la
Qualité )
En matière d’enseignement la première Ecole d’Ingénieurs spécialistes est créée
à GRENOBLE en 1990. Une quinzaine de DESS est mise en place.

Cette approche est complétée par l’examen de l’apport et de l’impact d’un

certain nombre de grands événements survenus dans le monde pendant ces années là. Ils sont
sélectionnés parmi bien d’autres événements importants. Il ne faut cependant pas en déduire
que les risques sont surtout apparus depuis les années 50 ou 60 et ont fait beaucoup plus de
victimes depuis, qu’auparavant. C’est en fait surtout la prise de conscience des risques qui
s’est faite dans la période 1950-1980 qui pourrait le laisser croire.
Evoquons pour s’en détromper deux grands événements antérieurs : la
catastrophe minière de COURRIERE dans le Nord de la France en 1906 qui a fait 1200
morts et la catastrophe de déraillement d’un train de soldats à MODANE en Savoie en 1917
qui a fait 700 morts.
Ce sont les risques naturels qui ont toujours été et sont toujours les plus
meurtriers (par exemple le séisme survenu en CHINE dans les années 1990 et qui a fait
900000 morts )

QUELQUES GRANDS EVENEMENTS ET LE RETOUR

D’EXPERIENCE QU’ILS ONT APPORTE : (73)

En première définition on appellera Evénement Non Souhaité dans la suite

du texte tout événement pouvant avoir un impact destructeur sur des êtres vivants, des
systèmes matériels ou symboliques.

7
 FEY ZI N 1 La va nne de pré lè vem ent gi vre e t ne pe ut pa s êt re refermé e FEY ZIN 2 U ne voiture qui pass e à proxi mité e nfla mm e la na ppe de gaz
Le propa ne fuit et for me une na ppe de gaz dé ri vante
Le s opérat eurs s’enf uie nt

FEY ZIN 3 U n c ha lume au se cré e sous la sphère à parti r de la fuite

Le s pompie rs qui ne peuve nt pas a pproc her refroi dissent la sphè re en l ’a rrosa nt à pa rt ir de s aut res sphères

FEY ZIN 4 La sphè re s’ouvre bruta le ment e t li bère le propa ne qui s e va porise insta ntané me nt ( B LEV E ) e t form e une gi gante sque
boule de feu dé fla grante à 300m a u-de ssus de l a sphè re qui détruit t out dans un rayon de pl usieurs c enta ines de mè tre s.

En 1966, à FEYZIN, au sud de LYON, dans une raffinerie qui vient de

démarrer, au cours d’une opération de prélèvement pour contrôle qualité sur une sphère de
stockage de propane liquéfié, la vanne givre et ne peut pas être refermée. Le propane
s’échappe sous forme gazeuse, forme une nappe de gaz dérivante, s’enflamme au contact
d’une voiture qui passe à proximité et forme un chalumeau sous la sphère. Ce dernier ne peut
pas être approché par les pompiers de Vienne et de Lyon qui ne sont pas équipés et pas
encore formés à ce genre d’accident. Au bout de quelques heures la sphère se rompt et génère
un BLEVE, c’est à dire que toute la masse de propane liquide se vaporise instantanément en
libérant son énergie sous forme explosive et crée une boule de feu de plusieurs centaines de
mètres à environ 300 m au-dessus du sol, brûlant tout dans un rayon de 300m. Les pompiers
qui essayaient de refroidir la sphère paient un lourd tribu: 16 morts. Cet accident, l’un des
premiers médiatisés en FRANCE (on est en pleine période de développement de la télévision
couleur), fait prendre conscience du risque de BLEVE et de la complexité de la genèse de tels
événements.
On part en effet d’un événement mineur (non respect de procédures) pour
aboutir à une catastrophe après un enchaînement complexe d’événements d’origine diverse.

La même année a lieu à ABERFAN en ANGLETERRE, l’effondrement d’un

terril minier qui engloutit un quartier dont une école tuant 144 personnes dont 116 enfants.
Cet accident fait prendre conscience de la nécessité de prévoir les risques dans tout le cycle de
vie d’une installation y compris après son arrêt car ce terril comme bien d’autres à cette
époque était le résidu d’exploitation d’une installation minière fermée depuis plusieurs
années.

8
 En 1967, c’est la première grande catastrophe de pollution marine, celle causée
par le TORREY CANYON qui s’échoue au cours d’une violente tempête en BRETAGNE
et qui est brisé par les vagues. Cet accident pose le problème du droit international
insuffisant dès cette époque, de l’ampleur des dégâts causés à l’écologie du milieu marin et
des problèmes rencontrés par les assurances pour indemniser les victimes qui sont surtout des
collectivités, autant de problèmes toujours non résolu à ce tournant du siècle de l’an 2000.

En 1970, c’est l’incendie du dancing de SAINT-LAURENT DU PONT dans

l’Isère : 146 morts et des familles qui perdent quatre enfants. Cet incendie met en cause
l’utilisation inconsidérée de matériaux synthétiques sous forme de mousses brûlant
facilement et très vite et ce, malgré une réglementation déjà existante mais dont l’application
est mal contrôlée (avec un très grand nombre d’infractions aux règlements). Ceci entraînera

1 SA IN T LA U REN T D U P O NT
2

Sa lon bl eu dé coré ave c

G rot te s fa ite s pa r proje ct ion de m ousse
de polyurétha nne rigi de di ffic ile me nt
c ombustibl e
PR EMIER ETAG E Sa lon bl eu dé coré ave c
de la m ousse de polyuré thanne PR EMIER ETAG E
souple fac ile me nt c ombustibl e G rot tes faite s par proje ct ion de m ousse de la m ousse de polyuré thanne
souple fac ile ment combustibl e
de polyuréthanne rigi de di ffic ile ment
c ombustibl e

LE F EU DE MAR RE DU CANAPE

Sa ll e de danse Ca na pé da ns le quel pa sse

PO R TES Sall e de danse Cana pé da ns le quel pa sse
le systè me de c hauffage
le systè me de c hauffage
pa r a ir pulsé
par a ir pulsé

ISS UES DE S ECO UR S

BLO Q U EES

REZ D E CH A US SEE REZ DE CH AUS SEE

c uisine Re sta urant ( fermé ce tte nuit -là ) cuisine Re sta urant ( fermé cette nuit -là )
c hauffage c hauffage

Ba r ca cha nt l’a cc ès à la porte Ba r ca cha nt l’acc ès à la porte

e

Sa ll e de danse
str

Sa ll e de danse
s tr

ve stia ires
e

ve stia ires
e
ch

ch
or

or

e ntrée e ntrée
sa nita ires sa nita ires
sa nita ires sa nita ires
Esc ali er e n Escali er e n
c ais se cais se
c olima ç on c olimaç on
Tourniquet d ’e ntrée Tourniquet d ’e ntrée

3
4

Sa lon bl eu dé coré ave c

G rot te s fa ite s pa r proje ct ion de m ousse
de polyurétha nne rigi de di ffic ile me nt
c ombustibl e
PR EMIER ETAGE
de la m ousse de polyuré thanne Sa lon bl eu dé coré ave c
PR EMIER ETAG E
souple fac ile me nt c ombustibl e G rot te s fa ite s pa r proje ct ion de m ousse de la m ousse de polyuré thanne
de polyurétha nne rigi de di ffic ile me nt souple fac ile me nt c ombustibl e
c ombustibl e

IL EMB RAS E TRE S V ITE TOUT

LE S ALO N B LEU . LA MO U SSE AU BO U T D ’U N E MIN U TE ET
Sa ll e de danse Ca na pé da ns le quel pa sse FO ND , COULE ET BR ULE CO MME D EMI PLU S PE RSO N N E N E SO RT
Sa ll e de danse Ca na pé da ns le quel pa sse ET LE S G EN S V IEN NE T
le systè me de c hauffage D E L ’ESS EN CE DA NS L ’E NTR EE,
LES VES TIAIR ES E T LE S le systè me de c hauffage S’EM PI LE R EN 1 E T S ’EMPALER
pa r a ir pulsé
pa r a ir pulsé SU R LE TOU R NIQ U ET D ’EN TREE
SA N ITAIRE S
Q U I EST B LOQ U E( 60 CO RPS A
LA C HALEU R DE GA GE E FA IT SE
CH AQ UE EN D RO IT )
SUB LI MER LA MOUS SE DE
POLYUR ETHAN N E R IGI DE QU I
DEGAGE D E G RA N DE S Q UANTITES
DE G AZ CO MB US TIBLES ET
c uisine Re sta urant ( fermé ce tte nuit -là )
c hauffage TOXIQ U ES c uisine Re sta urant ( fermé ce tte nuit -là )
c hauffage

Ba r ca cha nt l’a cc ès à la porte Ba r ca cha nt l’a cc ès à la porte

e

Sa ll e de danse
e
s tr

Sa ll e de danse
str

ve stia ires ve stia ires

e

e
ch

ch
or

or

e ntrée REZ D E CH AUS SEE e ntrée REZ D E CH A US SEE

sa nita ires sa nita ires
sa nita ires sa nita ires
Esc ali er e n Esc ali er e n
c ais se c ais se
c olima ç on c olima ç on
Tourniquet d ’e ntrée Tourniquet d ’e ntrée

une évolution significative de la réglementation des Etablissements Recevant du Public et

permettra de promouvoir le renforcement des connaissances des Corps de Sapeurs Pompiers
auquel participeront beaucoup les IUT de Sécurité nouvellement crées en formant des cadres
très appréciés.

En 1971 et 1974 incendie de deux grands hôtels construits au BRESIL et en

COREE dans des immeubles de grande hauteur (tours) faisant chacun plusieurs centaines de
morts. Ce sont deux cas parmi une série plus importante et qui posent le problème de la loi
des séries. Cette loi n’a rien de mystérieux. Elle n’est que le reflet de l’état des risques dans
une technique donnée et à un moment donné. Dans le cas présent, le gigantisme des
constructions, qui génère un problème d’échelle non pris en compte en matière de risques, la
mise en œuvre des matériaux cités ci-dessus et la nouvelle complexité d’organisations de
toutes natures (mais notamment en matière de gestion des risques et d’intervention ) générée
par ce gigantisme, montrent la nécessité de mieux comprendre les mécanismes de
propagation des incendies et de revoir complètement les règles de construction des

9
Immeubles de Grande Hauteurs. Ceci sera fait à travers une réglementation très dure mais
efficace.

En 1974, toujours, à FLIXBOROUGH (GB) une catastrophe qui n’a pas été
médiatisée car n’ayant fait que 27 morts. C’est la destruction à 95% d’une usine anglaise de

FLIX BO RO U GH FLIX BO RO U GH

1 - Tr ois de s six r é acteu rs d e fab ric ation d e c apr olac tam e ( p rod uit de bas e d ans la fabr ic ati on d u nyl on ). 2 - Le réacte ur B se fi ssur e . Pou r é viter d ’arrê ter la produ ct ion pour le rem plac er , on d éc id e d e l ’enl eve r
Ils s ont alim en té s p ar d u c ycloh exan e , gaz trè s in flam m able . pou r l e r ép are r et de reli er dir e ctem e nt le s ré acte urs A et C, c e qui dim in ue ra l a pr oduc tion d ’u n si xièm e
Ils s ont re lié s e ntre eu x par de s can alisation s dr oites ave c un s ouffl et de dil atation . san s l ’arr ête r.

Cyc lohe xane Cyc lohe xane

A A ve rs au tr e s ré acte ur s
B
ve rs au tr e s ré acte ur s
B
C C

FLIX BO RO U GH FLIX BO RO U GH

3 - Pour re lie r A et B , on m et e n p lace un e c anal isation à d oub le c oud e ave c deux souf fle ts d e d ilatation. 4 - Au bou t d e q uelqu es jou rs, ap rè s de m ultip les fu ites d ont on n e tie nt pas c omp te, le s sou fflets c asse nt , la
C e m ontage est m auvais c ar les souffl et s sont sou mi s à de s con tr ain tes m éc aniq ue s de c omp ression ( c e c anali sati on tomb e p ar te rr e e t libè re le c ycloh exan e q ui se r ép and dans l ’u sin e e n form an t avec l ’ai r
pou rq uoi ils son t faits ) mai s aussi à d es con trainte s mé c aniq ues de ci saillem en t ( c e à q uoi i ls ne résis te nt pas ) un m élan ge e xpl osif. Ce lu i-ci e xpl ose au con tact d’ un e sou rce d ’al lum age et dé tru it l ’u sin e à 95% .
du es aux dou bles c oud es .

Cyc lohe xane Cyc lohexane

A ve rs au tr e s réact eur s
A vers au tre s réacte ur s

C C

fabrication de caprolactame, l’un des produits de base dans l’élaboration du Nylon. A

l’origine, une fissure dans un des réacteurs entraîne la décision de le court-circuiter, pour un
ensemble de raisons (arrêt de production le plus court possible, opération facile.....).
L’opération nécessite la mise en place d’une tuyauterie de raccordement oblique qui génère
des contraintes de cisaillement dans les soufflets de dilatation. Aucun ingénieur impliqué ne
prend conscience du risque. Un soufflet lâche au bout de quelques semaines et libère une
quantité importante de Cyclohexane, un gaz inflammable formant avec l’air une nappe
explosive. L’explosion est extrêmement violente et détruit pratiquement tout dans un rayon de
2,5 km, y compris les habitations. Heureusement, c’est un samedi et il y a peu de monde dans
l’usine et peu d’habitant sont chez eux. Un autre jour il y aurait eu peut-être 1500 morts. Les
enseignements tirés de cette catastrophe, outre qu’ils renforcent des éléments connus
(importance des contraintes économiques, défauts de formation et de prise de conscience),
montrent la symbiose étroite entre maintenance et sécurité. Dans le domaine de la
compréhension des mécanismes des explosions ils font se poser la question de la possibilité
d’explosions de type détonantes en plein air, ce que l’on croyait exclu. En effet l’importance
des dégâts constatés laisse entendre qu’il y a eu détonation de la nappe de gaz ce que l’on ne
croyait pas possible à cause de la dilution du gaz dans l’air pour des installations justement
largement aérées à cet effet. On comprend alors que le laminage de la flamme du front de
combustion dans la nappe, par passage de celle-là dans les superstructures des installations,
peut entraîner son accélération jusqu’à une vitesse supersonique dans le milieu,
caractéristique de la détonation et de son onde de choc associée.

10
 En 1976 SEVESO constitue l’accident médiatique par excellence. Il n’y a pas
eu de mort à SEVESO. Mais une peur panique liée à l’amplification médiatique de l’accident.
Celui-ci est très simple. Il s’agit de l’explosion par défaut de refroidissement et défaut de
sécurité, d’un réacteur chimique. Comme celui-ci est monté en température avant d’exploser
on le soupçonne d’avoir fabriqué de la Dioxine, un des produits les plus toxiques que l’on
connaisse, et de l’avoir diffusé dans l’atmosphère. L’accident n’a rien en lui-même de
particulier sinon qu’il pose une fois de plus de manière spectaculaire le problème de la
gestion des grandes crises médiatiques (2). Une réglementation européenne dite circulaire
SEVESO sera élaborée pour les installations classées pour la protection de l’environnement
considérées comme les plus dangereuses et fait l’objet d’une deuxième version en 1999.

En 1977 se produit à TENERIFE (baléares ) la plus grande catastrophe aérienne

de tous les temps qui, paradoxalement, a lieu au sol et est provoquée par la collision de deux
Boeing 747 avec 600 morts. Les boîtes noires permettent de reconstituer l’accident : il y a du
brouillard sur la piste et une grande partie du trafic des îles est reportée sur Ténérife à cause
d’un attentat dans un autre aéroport. La tour de contrôle est un peu débordée et n’applique pas
la procédure obligatoire qui consiste à faire répéter les messages par les pilotes. Deux Boeing
747 sont sur la piste : l’un est en bout de piste et s’apprête à décoller. Il vient de recevoir de la
tour de contrôle, l’ordre de se préparer. Son pilote est chevronné et le copilote est en
admiration devant lui. L’autre Boeing est sur la piste et a reçu l’ordre de sortir par la première
sortie pour rejoindre la piste de dégagement et aller se mettre en position de décollage
derrière le premier. Son pilote, qui connaît la piste, sait que cette sortie est à angle aigu et que
la suivante est plus facile car à angle ouvert. Il décide d’attendre cette dernière et continue de
rouler sans avertir la tour de contrôle. Cette dernière autorise le premier avion à décoller
croyant que l’autre est sorti de la piste. Le pilote de ce dernier entend le message et prévient la
tour qu’il est toujours sur la piste. Celle-ci donne alors un contre ordre au premier avion. Le
pilote de ce dernier semble ne pas l’avoir entendu et donne l’ordre au copilote de mettre les
gaz. Celui-ci, qui a entendu le contre ordre le dit au pilote qui passe outre et le copilote,
faisant confiance à son chef, met les gaz et la suite est évidente. Cet accident pose de manière
brutale l’importance de la communication entre individus et l’importance du respect des
procédures.

11
 A
A

TEN ERIFFE 1 La tour de c ontrôle donne l ’ordre a u pilo te de A de se

prépa rer à dé c olle r e t donne l ’ordre au pil ote de B de sor tir à 1a
TEN ERI FFE 2 Le pilot e de B ne sort pas à 1a m ai s pré fèr e sor ti r à 1b
1b La tour de c ontrôle a utorise le pilote de A à déc oll er .
1b Le pilote de B ent end c e m essa ge et si gnal e qu’ il e st touj o urs pr é sent sur
la piste .
La tour de c ontrôle donne un c ontrordr e a u pilot e de A

1a
1a

B
B

1b A

1a B

TEN ERIFFE 3 Le pilot e de A n’e ntend pas le c ontrordre et n ’écoute pas le

c opilote qui, lui , l’a e ntendu . Il déc olle et c ’es t la coll isio n

En 1978 LOS ALFAQUES, en ESPAGNE, explosion d’une nappe de

propylène mélangée à l’air suite à la rupture des freins d’un camion citerne de propylène
liquéfié qui dévale une pente, manque un virage et vient s’éventrer sur les sanitaires d’un
terrain de camping en bord de mer. Bilan 216 morts et de nombreux disparus. Les
téléspectateurs sont effarés et l’on prend conscience de la mauvaise construction et du manque
de résistance des moyens de transport de matières dangereuses, dont le nombre s’est multiplié,
ainsi que du manque de formation des conducteurs. Plusieurs autres accidents moins
meurtriers renforceront cette prise de conscience en Europe et entraîneront la genèse d’une
réglementation européenne efficace.

Toujours en 1978, deuxième grande pollution marine avec l’échouage de

l’AMOCO CADIZ. La leçon du premier n’a pas été suffisante.

En 1979, premier grand accident nucléaire, aux USA : TMI. Une suite de
défauts, y compris de dispositifs de sécurité, de mauvaises interprétations d’indications du
contrôle- commande de la centrale, liées à une méconnaissance de la thermodynamique du
réacteur, par les opérateurs et à des erreurs de conception d’indicateurs, entraînent le
dénoyage, la fusion partielle du coeur et la destruction d’une des trois barrières : la gaine du
combustible, fondue et qui en réagissant avec l’eau génère de grandes quantités d’hydrogène.
La panique des autorités sous la pression médiatique conduit à l’évacuation de 250000
personnes dans des conditions difficiles bien que les éléments radioactifs émis hors de
l’enceinte aient été très faibles.
Chaque téléspectateur effrayé attend sadiquement pendant plusieurs heures
l’explosion de l’enceinte (mélange hydrogène- air- vapeur d’eau ), qui ne se produit pas. Les
enseignements tirés de cet accident sont de plusieurs types. Premièrement, une fois de plus,
l’importance des procédures de maintenance et leur impact sur la sécurité. Deuxièmement
encore les problèmes liés aux grandes crises médiatiques. Troisièmement, l’importance du
facteur humain avec la prise de conscience de ce que l’on a appelé l’image mentale d’un
contexte c’est-à-dire la manière dont un individu se représente, modélise un contexte donné,

12
très liée bien sûr à la connaissance qu’il en a. D’où l’importance de la formation des
opérateurs et notamment dans la connaissance physique des installations. Ceci a entraîné le
développement de toutes les formations sur simulateurs. L’accident montre aussi que la
conception de ce type d’installation n’est pas si mauvaise puisque deux des trois barrières (la
cuve et l’enceinte ) ont résisté et ont joué leur rôle.

En 1979 aussi à MISSISSAUGA (canada ) déraillement et menace

d’explosions dans un train qui comporte des wagons de gaz liquéfiés inflammables et des
wagons de chlore liquéfié. Pas de victimes et évacuation bien organisée de 200000 personnes
par la police montée du CANADA montrant la faisabilité d’une telle opération si elle est bien
préparée.

En 1984, le plus grand accident de l’industrie chimique se produit en INDE à

BHOPAL. Au cours d’une opération d’entretien dans une usine à l’arrêt, de l’eau pénètre
dans un stockage de méthyle-isocyanate (produit extrêmement agressif et toxique) entraînant
son hydrolyse et donc son échauffement. Par tout un ensemble de faits négatifs (le système de
refroidissement du stockage a été démonté, il n’y a pas de réservoir en réserve vide pour
vidanger le premier comme ce devrait être la règle, le responsable n’est pas le titulaire du
poste qui, absent, est remplacé par quelqu’un en ayant une moins bonne connaissance...... ) les
opérateurs laissent le réservoir monter en pression à cause de sa montée en température.
Lorsque la soupape de sécurité s’ouvre celui-ci se dépressurise à travers les deux dispositifs
redondants de destruction du gaz. Aucun des deux ne fonctionne étant en opération
d’entretien ( il n’y a plus de soude dans le dispositif de destruction chimique et il est
impossible d’allumer la torchère qui aurait permis de brûler le gaz, la canalisation
d’alimentation en propane ayant été démontée ) . Celui - ci se répand donc en pleine nuit sur
la ville de BHOPAL avec des conditions atmosphériques défavorables et atteint la population
et notamment celle, nombreuse, travaillant dans l’usine et habitant des maisons de fortune à
proximité immédiate de celle-ci . On ne connaît pas vraiment le nombre de victimes car il n’y
a pas de recensement fiable de la population : au moins 2000 morts mais des chiffres comme
5000, voire 10000, sont aussi annoncés, car il y a toujours des séquelles de cet accident dans
la population. Il nous apprend une fois de plus l’importance de la maintenance et de
l’organisation ainsi que de la formation des opérateurs dans des installations très
dangereuses. Il montre la nécessité de revoir la conception de telles installations, ce dont
tiendra compte par exemple un groupe comme Rhône Poulenc en France en concevant
certaines installations avec les techniques de confinement mises en œuvre dans le nucléaire
( Pont de Claix / Isère ).

13
 1 - au c our s d’un e op ér ation d e n ettoyage d e l ’e au pé nè tre en
A ou B dans l e r és er voir par une vann e n on é tan ch e e t 2 - Le ré ser voir m onte e n p ression .
pr ovoqu e u ne hyd rol yse d u m éthyl di-isoc yanate avec lib ér ati on Le systèm e de re fr oid isse me nt est h ors s ervic e.
B HO PAL A 13 bars, la sou pape C s ’ouvre et e nvoi e le gaz
d’é ne rgi e . B HO PA L dan s la tour de de stru ction à la soud e.
Le r ése rvoi r m onte en pr essi on

sou de sou de

fabr ic ation fabr ic ation

é th yle - m éthyl e -
A A
isoc yanate isocyanate
C B C B
az ote az ote

Tou r d e d estr uc ti on
Tou r d e d estr uc ti on torc hère
torc hè re à la sou de
à la sou de Sys tè me de
Sys tè me de
r efroi diss em en t
r efroi diss em en t

Stockage méthyle - isocyan ate

Stoc kage mé thyle - isocyan ate

3 - Le ré ser voir de soud e e st vide e t le systèm e ne fon ction ne pas. 4 -Le gaz s’éch appe ve rs la torch ère
Le gaz s’éch app e ve rs la tor chère . C el le-c i ne foncti onne pas n on p lus ( d es tuyau x d ’alim entati on
e n pr opan e on t été d ém onté s pou r e ntretie n )
B HO PA L B HO PA L Le gaz s’é ch app e d ans l ’atmos phè r e et va i ntoxiqu er la vil le .

sou de sou de

fabr ication fabr ication

m éthyl e - m éthyl e -
A A
isoc yanate isoc yanate
C B C B
az ote azote

Tou r d e d estr ucti on Tou r d e d estr ucti on

torchè re torchè re
à la sou de à la sou de
Sys tè me de Sys tè me de
r efroi diss em en t r efroi diss em en t

Stockage mé tyle - isocyanate Stockage méthyle - isocyan ate

Toujours en 1984, à MEXICO, explosions en série de stockages de gaz liquéfiés

de même nature que celle de FEYZIN et dans le même contexte qu’à BHOPAL avec des
habitats denses et sommaires à proximité. Bilan: au moins 700 morts. C’est l’histoire qui se
répète mais dans une autre échelle et dans un pays en voie de développement.

En 1986, la plus grande catastrophe du nucléaire se produit à TCHERNOBYL

en ex - URSS. Un réacteur du type uranium naturel modéré au graphite refroidit par des tubes
sous pression d’eau (RMBK), connu pour son instabilité et sa difficulté à piloter, diverge
brutalement suite à une série d’opérations incroyables faites par les opérateurs de conduite au
cours d’essais de sécurité programmés (erreurs de pilotage, court-circuitage volontaire et
débranchements de sécurités primordiales ). La libération brutale d’énergie thermique
d’origine nucléaire entraîne la rupture des tubes de force, première explosion de détente
brutale de vapeur qui soulève la dalle fermant le coeur, tue trois opérateurs et entraîne des
réactions eau - combustible avec formation de grandes quantités d’hydrogène à l’origine
d’une deuxième explosion bien plus énergétique, détruisant le coeur et l’enceinte de
confinement non résistante (contrairement aux réacteurs ‘’ occidentaux ‘’ ) et projetant dans
l’atmosphère extérieure 10% des produits de fission, ce qui est considérable mais conforme
aux calculs prévisionnels conduits dans les études de sûreté d’un tel scénario. Les
conséquences sont énormes pour les populations avoisinantes dont plus de 130000 personnes
sont évacuées sans retour. On ne connaît que les morts survenues dans les jours et les mois
suivants : une cinquantaine mais on ne sait rien des nombreux militaires à qui on a fait faire
les opérations les plus dangereuses et qui ont été ensuite dispersés. Pour le futur les prévisions
ne peuvent être faites que par approche statistique et donnent parfois lieu aux fantasmes les
plus débridés. Les origines d’un tel accident ne font que renforcer les convictions déjà établies
à cette époque et montrent que le pire est aussi à envisager dans les études de risques.

14
 TC HE RN OB Y L
1 - Un e s ér ie de fau te s in vrais em blab le s dan s le pilotage du
71,3 m
r éac te ur e ntraî ne une e xcu rsion de pu issan ce qu i pr ovoqu e
la r up tu re de s tub es d ’e au sou s pr es sion. Pr em iè re explosi on
de dé ten te de vape ur qu i tue de ux op ér ate ur s dan s la sal le d es
m ach ine s e n sou levan t l e c ouve rc le qu i fer me le cœ u r.
TC HE RNOB Y L
71,3 m 2 - La r éac ti on d e l ’e au e t d e l a vape ur sur les gaine s du
c omb ustib le n uclé aire ( en zi rc alloy ) , en traîn e l a
form ation d ’h ydr ogèn e q ui d iffu se dans l e h all e t for me
ave c l ’air un mélan ge e xpl osif .

50 m 50 m

21,5 m 21,5 m

c oeu r coeu r

Lon gue ur base : 180 m Lon gue ur base : 180 m

TC HE RN OB Y L
TC HE RN OB Y L
71,3 m 4 - Le cœ ur e n fusion cou le et s’en fon ce dan s le rad ier .
71,3 m 3- Le m élan ge e xpl ose, p ulvé r isant toute l a par ti e su pé rie ur e 10% de s p rod uits de fission sont re jeté s dans l ’atm osph èr e
du ré ac te ur et m ettant le cœ ur à l ’air , avec di ffusi on dan s
l ’atmosp hè re de 10% de s pr odu its de fission .

50 m
50 m

21,5 m
21,5 m

c oeu r
c oeu r

Lon gue ur base : 180 m

Lon gue ur base : 180 m

1987 voit dans la Mer du Nord le naufrage d’un ferry, le HERALD OF FREE
ENTERPRISE, avec 189 morts. Cet accident met en défaut la conception technique de
bateaux que l’on croyait sûrs, et probablement leur contrôle. Le mauvais verrouillage des
portes a entraîné le renversement du bateau sous les coups de boutoir des vagues.

1987 est aussi l’année d’une autre grande catastrophe médiatique vécue en
direct par des millions de téléspectateurs : l’explosion, 73s après son décollage, de la fusée
porteuse de la navette spatiale américaine CHALLENGER avec 7 cosmonautes à bord dont
une femme institutrice que ses élèves suivent en direct à grand renfort de soutien médiatique.
Il a fait très froid ce matin là à Cap Canaveral (-25°C ) et malgré la mise en garde des
ingénieurs à leur hiérarchie sur la simple tenue d’un joint d’étanchéité à cette température
celle là prend la décision, poussée par les contraintes médiatiques et économiques, d’autoriser
quand même le décollage. Le joint en question est un joint plastique torique qui assure
l’étanchéité dans le raccordement des viroles constituant les boosters (ou fusées d’appoint
collées sur la fusée principale). Au passage du front de combustion de la poudre d’un booster
au droit de l’un de ces joints, celui-ci se perce et laisse passer une flamme qui fait chalumeau
sur la tôle de la virole de la fusée principale (ép 2,5 mm ), entraînant son percement et celui
d’un des réservoirs d’oxygène liquide ou d’hydrogène liquide de la fusée, détruisant le
deuxième et formant un mélange explosif hydrogène - oxygène à l’origine de la terrible
explosion finale détruisant fusée et navette sous les yeux du public. Comment cela a-t-il pu se
produire à la NASA, pionnière en matière d’analyse de risques ? Un organisme en dérive
économique, l’habitude, la perte de connaissance par le départ économique de nombreux
ingénieurs, la peur de la pression médiatique pourvoyeuse d’image de marque, expliquent cet
accident. Tous les ‘’ingrédients’’ de la modernité sont réunis.

15
 En 1989 c’est la troisième grande pollution marine avec l’EXXON VALDEZ en
ALASKA (2000km de côtes détruites ), qui met en cause le gigantisme des derniers
pétroliers mais les américains prendront des mesures draconiennes pour éviter ce genre de
catastrophes, mesures que nous n’avons toujours pas su prendre en Europe en 2000.

En 1992 c’est l’accident de l’AIRBUS A320 LYON STRASBOURG qui

s’écrase sur le Mont Saint Odile (800m ). La boite noire révèle que le pilote, lui aussi
chevronné, a utilisé les deux modes de descentes différents lors de ses deux approches de
l’aéroport. Ces deux modes de descente l’un qui affiche un angle et l’autre une perte
d’altitude par minute, sont sur le même écran d’affichage. Y a-t-il eu confusion d’affichage
lié à ce qui semble être une erreur ergonomique? Ceci, ajouté au fait que les airbus français
n’étaient pas équipés de la sécurité redondante constituée par un radar de proximité
signalant au pilote l’approche du sol, est probablement à l’origine de la catastrophe qui a fait
86 morts.
Guidage radar
balise Descente angle de 3°3

Descente 3300 pieds/mn

balise
Trajectoire qu’il Piste
aurait dû suivre
Mont Sainte-Odile (800m)

MEME ECRAN

Track flight path angle Heading vertical spead

(trajectoire automatique - angle de descente (cap et vitesse verticale)

TRK FPA - 3. 3 HVS V/S - 33

IL SEMBLE QUE LE PILOTE SE SOIT TROMPE DE MODE D’AFFICHAGE CAR LES DEUX MODES ETAIENT SUR LE MEME ECRAN

ACCIDENT DE L’AIR BUS AIR INTER DE STRASBOURG

Et pour finir en 1994, deuxième catastrophe incroyable en Mer Baltique d’un

ferry, l’ESTONIA qui coule dans les mêmes circonstances que le l’HERALD avec cette fois
852 morts. Au cours d’une tempête les verrous de la porte avant cèdent et, la mer pénètre dans
le bateau et celui-ci se renverse. Technique toujours en retard sur la maîtrise du risque,
inhomogénéité de cette dernière d’un pays à l’autre, contraintes économiques toujours
prépondérantes, sont à l’origine de tels drames.

Complétons ce parcours et ces réflexions par quelques points clés dans

l’évolution de la réglementation.
Le décret sur la sécurité des installations électriques a introduit en France une
très bonne prise en main de la maîtrise des risques électriques.

16
 Le décret sur les INSTALLATIONS CLASSEES, qui inclue la circulaire
SEVESO, a renforcé la prise en compte des risques à la conception des installations
dangereuses par l’imposition des études de danger et des études d’impact. Il a par ailleurs
renforcé les contrôles des pouvoirs publics et
EVOLUTION DU CHAMP REGLEMENTAIRE
du public par les instances de concertation. AYANT EU UN IMPACT FORT SUR LE TERRAIN
Le décret sur la coactivité des
entreprises a tenté de résoudre la prise en
compte des risques dans les activités de 1962 DECRET SUR LA SECURITE DES INSTALLATIONS ELECTRIQUES

plusieurs entreprises sur un même site 1976 LOI SUR LES INSTALLATIONS CLASSEES POUR LA PROTECTION DE
L'ENVIRONNEMENT
(travaux, sous traitance.....) et a clarifié les 1977 DECRET SUR LA COACTIVITE DES ENTREPRISES
responsabilités. 1979 REGLEMENTATION DES MACHINES
La réglementation des machines 1982 CIRCULAIRE SEVESO
(toute structure ayant des éléments en 1984 ARRETE QUALITE POUR LA SURETE DES INSTALLATIONS
NUCLEAIRES
mouvement ) est draconienne
L’arrêté qualité pour la sûreté des installations nucléaires est la première
tentative de prise en compte de la qualité en matière de gestion des risques et fait apparaître
que qualité, maintenance et sécurité sont en symbiose.

17
2- LA VISION PARADIGMATIQUE ACTUELLE DU RISQUE :
2 – 1 – La structure des Evénements Non Souhaités :

Quels sont les différents concepts du risque qui prévalent aujourd’hui ?

De notre petit parcours historique, nous pouvons tirer une vision structurelle des
événements non souhaités. Leur analyse montre qu’ils ont tous la même structure : On peut
les voir comme la conjonction d’un ensemble de dysfonctionnements qu’il est possible de
caractériser.
Le premier ensemble est constitué par les dysfonctionnements de la
connaissance des risques que l’on peut partager en deux sous ensembles : l’ignorance et
l’inconscience. Illustrons par quelques
TS
exemples tirés des ENS cités dans le 1 IG
NO
RA
2
GL
EM
EN

IN NC RE N ES RT
paragraphe 1. L’ignorance est rare. A CO
NS
CI
E
DY
NS
IG
CO ES D
L
EL
'A

EN G S
RE RE
Saint Laurent du Pont le procès a montré CE
DE
SF
ON
CT
EN
TS
O CE
DU
IO M PR
CO NE
que l’un des gérants, celui qui a DE N
S R NA
IS ISS
NN
EM
EN
NC
TI
ON
TA
IR
ES

QU A TS O EN
construit le dancing de ses mains ES CN
E DY
SF
RE
GL
EM

ignorait le danger des matériaux mis en 3 DYSFONCTIONNEMENTS

EVENEMENT NON SOUHAITE DY
SF
S ON
œuvre. L’inconscience est plus TECHNIQUES

NE
ME
NT
H
UM
CT
IO
NN PH
U ON
SD TI EM
courante : à Flixborough les ingénieurs B ATI
ON
RNE SFO
NC
TO IR
ES
AI
NS EN
TS PS
YS
IO
LO
UR TE DY EA YC G
EX
qui ont réalisé la modification de liaison P ERT
TE
EX NE
NT ER DE ES
AL
SO
C
IO
H
O
LO
IQ
UE
S
G
CO INT URS NC IQ
des réacteurs n’ignoraient pas que les ET NCO STA
CO RCO
N EC
O
LO
G
IQ
U
UE
S
NO
CI U ES
soufflets de dilatation ne résistaient pas à 5 IM
PR
EV
4 M
IQ
UE
S
des contraintes de flexion, mais ils n’en
ont pas pris conscience dans le contexte. L'EVENEMENT NON SOUHAITE -CONJONCTION DE DYSFONCTIONNEMENTS

Le deuxième ensemble est

constitué par les dysfonctionnements réglementaires qui touchent les règlements (nationaux,
européens, internationaux ), les consignes notamment de sécurité, qui ont valeur
réglementaire, les règles de l’art qui sont les règles de construction (soudure, béton armé,
structures métalliques... ) et donc les règles de l’ingénieur, et les procédures écrites qui
décrivent les opérations. Exemples : Ils sont nombreux. A Saint Laurent du Pont, le brûleur de
la chaudière de chauffage par air pulsé était surdimensionné (ce qui constitue une faute aux
règles de l’art pour l’artisan qui l’a monté ) et a entraîné un percement de l’échangeur avec
passage des gaz chauds dans le circuit, à l’origine du déclenchement de l’incendie. Dans ce
même accident toutes les issues de secours sont bloquées ou camouflées pour éviter la fraude.
A Feyzin il n’y avait pas de sphère vide pour vidanger la première, tout comme à Bhopal.

Le troisième ensemble et constitué par les dysfonctionnements de nature

technique. Ce devraient être les plus faciles à prévoir puisque les installations ont été faites
par des êtres humains. Citons quelques exemples : la citerne de Los Alfaquès qui ne résiste
pas au choc, les tankers qui se brisent sous les lames, les ferry dont les verrouillages de porte
lâchent.

18
 Le quatrième ensemble est le plus complexe car il concerne les êtres humains. Il
a des origines différentes : leur physiologie, leur comportement psychologique, leur
comportement sociologique et les contraintes économiques. Exemples: les opérateurs de la
centrale de TMI étaient certainement stressés, les gérants du dancing de Saint Laurent du Pont
étaient obsédés par la rentabilité de leur établissement, les opérateurs de Tchernobyl voulaient
absolument faire leurs essais.

Le cinquième ensemble touche l’aléatoire et notamment les perturbations du

contexte interne à l’installation ou externes c’est à dire lié à son environnement. Edgar Morin
(3 ) définit l’accident comme la conjonction d’un événement et d’un phénomène organisé ou
comme la rencontre événementielle de plusieurs phénomènes organisés. Généralisons cette
définition.
Conjonction d’un ou plusieurs événements et d’un ou plusieurs phénomènes
organisés. C’est l’imprévu. Tous les autres ensembles sont présents:1- on met en oeuvre de la
connaissance avec ses défauts et ses manques, 2- on applique les règles avec des
manquements et des faiblesses, 3- on a des pannes techniques plus ou moins nombreuses,
4- on constate des comportements divers, et un événement nouveau, imprévu
survient qui rompt l’équilibre métastable précédent. C’est le cas à Ténériffe : il y a eu un
attentat sur un aéroport voisin, ce qui amène plus de trafic, et voilà le brouillard qui se met de
la partie.
Conjonction événementielle de deux ou plusieurs phénomènes organisés. C’est
le concours de circonstances. Ce jour là tout est réuni pour l’ENS. 1- A Saint Laurent du Pont
il y a longtemps que les gérants sont ignorants ou inconscients des risques, 2- que de multiples
règles sont violées, 3- que le comportement des individus laisse beaucoup à désirer y compris
celui des utilisateurs, mais cette nuit là le phénomène organisé (constitué par le chauffage)
déclenche un dysfonctionnement technique. 4 - : le percement de la chaudière qui se conjugue
à tout le reste pour créer la catastrophe.
Ce sont des perturbations internes ou externes au contexte qui génèrent
l’imprévu ou le concours de circonstances. A Feyzin il fait un froid humide et la vanne givre,
à Aberfan il a beaucoup plu et le terril est gorgé d’eau, à Saint Laurent du Pont le restaurant
ne fonctionne pas cette nuit là et toute la puissance de la chaudière alimente un circuit réduit
et donc surchauffe l’échangeur.
Synthétisons cette approche à partir d’un autre exemple. Prenons le cas de la
conduite automobile et des accidents de la route.
1-Parmi les conducteurs de voitures il y a ceux qui ont entendu parler de
mécanique dans leur formation et qui connaissent la loi incontournable de la physique : pour
un corps en mouvement l’énergie cinétique (celle qu’il faudra absorber en cas de choc ) est
proportionnelle au carré de la vitesse. Mais en sont-ils conscients ? Et il y a ceux qui n’en ont
jamais entendu parler et donc qui l’ignorent.
2-Les règlements sont gérés par le code de la route. Les règles de l’art sont les
règles de construction des véhicules et se traduisent par ce qu’on appelle la conformité au
certificat du Service des Mines. Les consignes sont données par les signalisations routières et
par le livret du constructeur pour certaines. Les procédures se trouvent en partie dans le livret
du constructeur (comment changer une roue, les ampoules d’éclairage... ). Il est assez facile
d’imaginer des manquements à ces règles.
3- Les dysfonctionnements techniques possibles sont nombreux (éclatement de
pneu, rupture d’axe de roue, défaut de frein, rupture de direction......).

19
 4- Les dysfonctionnements humains sont complexes. A titre un peu caricatural :
physiologique, un conducteur qui a un bras dans le plâtre aura des difficultés de conduite;
psychologiques, un conducteur qui s’est disputé avant de prendre le volant n’est pas dans un
état de conduire idéal ; sociologique, un conducteur qui vit dans une famille dans laquelle il y
a de fortes tensions n’est pas dans le même état de conduire qu’un individu qui vit dans une
famille conviviale ; économique, un conducteur qui n’a pas d’argent entretient mal son
véhicule.
5- L’aléatoire peut être caractérisé ainsi : l’imprévu : tous les jours un
conducteur est inconscient de la loi de l’énergie et donc il roule vite, tous les matins il grille
un stop parcequ’il estime qu’il ne sert à rien (il n’y a jamais personne ), un jour il est
particulièrement excité car il s’est disputé avant de partir, et ce jour là survient après le stop
un cycliste. Il tente de freiner mais ses freins, non révisés depuis longtemps, répondent mal et
c’est l’accident. Le concours de circonstances : tous les jours un conducteur est inconscient
de la loi de l’énergie et donc il roule vite ; il est assez excité car depuis quelque temps il est en
souci de tensions dans son équipe de travail ; il y a longtemps qu’il n’a pas fait réviser son
véhicule et ses freins ne sont pas très efficaces ; il respecte d’habitude la réglementation, mais
ce jour là, il grille un feu rouge et c’est la collision avec un véhicule engagé normalement car
il ne peut pas s’arrêter à temps. Perturbation du contexte interne : les enfants se chamaillent
à l’arrière du véhicule et le conducteur se retourne pour les gronder...... Perturbation du
contexte externe : elles sont nombreuses car ce contexte évolue en permanence. Citons à
titre d’exemple : une averse brutale, une nappe de brouillard, un animal sur la route, une
voiture qui dérape...

Quelles applications peut-on faire de cette approche ?

La première est le constat qu’un événement non souhaité, dont l’accident

constitue un type, n’est jamais dû à une seule cause.
La seconde est de montrer qu’expliquer l’accident par une erreur humaine ne
veut rien dire. Il y a toujours une erreur humaine quelque part puisque l’homme est présent
dans chaque groupe de dysfonctionnements.
La troisième est qu’expliquer l’accident par la fatalité est pour le moins
réducteur (à la limite c’est privilégier l’ensemble 5 )
La quatrième permet de faire un test rapide. Dans un contexte donné si les
individus sont ignorants ou inconscient des risques présents, s’ils ne respectent pas les règles
ou si les règles sont mal faites ou absentes, s’il y a beaucoup de pannes ou de
dysfonctionnements techniques des matériels, si le comportement des individus est aberrant
(indifférence, excitation, laxisme,... ), alors il est possible de dire que cela constitue une
situation pré-accidentelle. Il y aura de fortes chances pour qu’un rien déclenche un ENS.

20
 Il est aussi possible de se représenter l’ensemble des insuffisances, manques,
erreurs, faiblesses, sources de 1 2
MANQUE DE CONNAISSANCE
MANQUE DE UALIFICATION

dysfonctionnements. REGLES INADAPTEES , ABSENTES

OU NON APPLIQUEES
Par opposition il est alors MANQUE DE QUALITE ET DE
CONTRÔLE QUALITE

possible de faire apparaître les paramètres

qui vont présider à la prévention des risques
et qu’il sera nécessaire de prendre en ERREUR OU DEFAUT DE CONCEPTION
3 EVENEMENT NON SOUHAITE
compte dans toute démarche d’analyse de
risques. Enfin un premier schéma des MAUVAISE ORGANISATION
STRESS
méthodes et outils d’analyse de risques peut ERREUR DE PERCEPTION
ERREUR DE DECODAGE IMAGE MENTALE

être dressé. Il montre que certaines MAUVAISE OU MANQUE

techniques et outils sont réducteurs et ne
DE PREVISION
ERREUR DE REPRESENTATION
MAUVAISE COMMUNICATION ENTRE INDIVIDUS
MAUVAISE PRISE DE DECISION
5 4
MAUVAIS SEQUENCEMENT D'ACTIONS

prennent en compte que certains

paramètres. INSUFFISANCES , ERREURS ET DEFAUTS , SOURCES DE
DYSFONCTIONNEMENTS
L’analyse de risques à priori et
l’analyse d’accident à posteriori se devront de prendre en compte l’ensemble des paramètres.
PARAMETRES DE FORMATION CONNAISSANCE DES SOURCES DE DZNGER , CONNAISSANCE DES REGLEMENTS ,
PARAMETRES DE BONNE REDACTION DES REGLES DES RISQUES ET DE LEUR PREVENTION DES REGLES DE L'ART, DE LA REDACTION
PARAMETRES DE QUALIFICATION PARAMETRES DE QUALITE ET D'ASSURANCE QUALITE DES PROCEDURES ET DES CONTROLES
PARAMETRES DE MAINTENANCE
1 D'APPLICATION
PARAMETRES DE PRISE DE CONSCIENCE 2
DES RISQUES
1 2

E DE RISQUES 0

PR
YS

IO
PARAMETRES DE
AL

ENS

RI

E
CONNAISSANCES

S
AN

CONCEPTION

ED
3

URE
ET
3

LYS
TECHNIQUES

CED
AN

ANA
DE CHN

AL

PRO
TE

AN
FA IQ

YS

S AL
NT
IDE
ED
IL UE

YS
CC E
LA S

ES

D'A
NC

PARAMETRES ECONOMIQUES
ES

4 PARAMETRES D'ORGANISATION ANALYSE DE FIABILITE

PARAMETRES D'ENVIRONNEMENT PARAMETRES DE COMMUNICATION HUMAINE
5 4
PARAMETRES DE PERTURBATION PARAMETRES DE CHARGE MENTALE 5
DES CONTEXTES INYERNES ET EXTERNES PARAMETRES DE CHARGE PHYSIQUE CONNAISSANCE DES CONNAISSANCE DE L'HOMME
PARAMETRES DE DECISION APPROCHES ET DE SES ORGANISATIONS
PARAMETRES PROBABILISTES
PARAMETRES DE COMPORTEMENT PROBABILISTES
HUMAIN

LES PARAMETRES LIES AUX DYSFONCTIONNEMENTS ET A PRENDRE EN LES CONNAISSANCES NECESSAIRES ET LES TECHNIQUES DE SECURITE
COMPTE DANS TOUTE ANALYSE DE RISQUES POUR LA PREVENTION DES ENS

Les connaissances nécessaires à l’analyse de risques apparaissent aussi sur le

schéma ci- dessus à droite.

Le schéma ci-contre permet de synthétiser l’approche ci-dessus. Les différents

dysfonctionnements ne sont en effet pas
1 IG
NO
RA
2 indépendants entre eux et l’on peut représenter
GL
EM
EN
TS

S
RE T
IN NE 'AR Ex de Pi :
CO
NS
C IE
NC
E
DY
l’aléatoire comme la probabilité de l’accident,
NS
CO ES D
G L
IG
EL
S
Laxisme
Ex de Pe :
Ex de Pe : NC SF RE RE
déqualification
E
DE
C
ON
CT
IO
NN
qui croit avec la croissance des interférences
EM
EN
TS
P RO
CE
DU Trop de
règlements
due aux DE ON EM NN ES
conditions
économiques
S NA
RI IS
SQ SA
UE NC
EN
TS
DY
entre dysfonctionnements et avec la croissance
SF
ON
CT
IO

EM
EN
TA
IR

S E GL

DY
des perturbations du contexte interne et
RE

EVENEMENT NON SOUHAITE

SF

H
externe. Sont données à titre indicatif quelques
ON
CT
IO
TS UM NN PH

NN
EM
EN
perturbations importantes des contextes.
AI
NS
EM
EN
TS PS
YS
IO
LO
G
T IO E S YC IQ
H
NC Q
U SO O UE
SF
O NI C
IO
LO S
DY ECH LO
G
IQ
T EC G UE Ex de Pi :
I Q S
O UE travail de
N
O S
M
IQ 4 nuit
Ex de Pe : 3 U
ES tensions
Complexification
Gigantisme La croissance des interférences entre éléments
La probabilité de l'ENS en fréquence et en intensité interne Pi
croit avec La croissance des perturbations du contexte externe Pe

2 – 2 – L’analyse de risques :

21
 LE PARADIGME DE L'ANALYSE DE RISQUES
Si l’on admet que les ENS ont la même
structure, on peut se poser la question des METHODE ET réseaux

OUTILS
différentes manières de s’intéresser à eux. Il arbres
PREVENTION
est tout d’abord indispensable d’analyser logiques ANALYSE
Arbres de défaillances
D'EVENEMENTS
Arbres des faits

comment ces ENS sont survenus : ceci

constitue l’analyse à posteriori. Elle se fait EVENEMENT NON SOUHAITE
A PRIORI ACCIDENT A POSTERIORI
principalement à l’aide d’une méthode qui INCIDENT
ANOMALIE
met en œuvre un arbre logique : l’arbre des
faits. On construit la manière logique dont
RETOUR D'EXPERIENCE
s’enchaînent tous les événements (ou OUTILS
dysfonctionnements ) qui conduisent à
l’événement final ou ENS. Si l’on cherche à
faire une analyse à priori (avant que l’ENS
survienne ) on va construire à priori
l’enchaînement des événements qui
pourraient conduire à un ENS identifié. Pour ce faire il va falloir trouver une démarche qui
facilitera ce travail difficile. Parmi les outils les plus couramment mis en œuvre se trouve
l’arbre de défaillances, qui est aussi un arbre logique. Cette identification à priori permettra
de rechercher les moyens de toute nature, que nous appellerons des barrières de prévention,
qui permettront d’éviter que les ENS surviennent. Le bouclage entre l’analyse à priori et
l’analyse à posteriori constitue le retour d’expérience. Il va permettre d’injecter la
connaissance acquise par l’analyse d’événements dans la prévention.
Les ENS auxquels on s’intéresse le plus sont :
Les accidents : ENS involontaire portant atteinte à des êtres vivants ou des
systèmes matériels ou symboliques importants :
Individus accidents
Populations, écosystèmes, systèmes techniques ou symboliques
importants catastrophes
Les incidents : ENS involontaire n’ayant qu’un impact matériel ou ayant failli
conduire à un accident.
Les anomalies : dysfonctionnements élémentaires, ENS précurseurs des deux
précédents.
La malveillance : acte volontaire pouvant porter atteinte à une cible.

Il y a bien sûr beaucoup plus d’incidents que d’accidents et beaucoup plus

d’anomalies que d’incidents. Ce constat permet, par l’analyse d’anomalies, de faire des
traitements statistiques, avec des outils parfois très élaborés (approches Bayesiennes par
exemple )

2 – 3 – Les stratégies LES STATEGIES D'ENTREPRISES

industrielles :
LE TRIANGLE DES ACCIDENTS
ENS MORTEL
Parmi les représentations du La chasse aux anomalies
X x'
risque contribuant à sa vision ENS GRAVES OU IRREVERSIBLES

paradigmatique, celle consistant à établir Y Y'

une liaison linéaire entre anomalies,
incidents et accidents, est très répandue et
se trouve à la base de toutes les stratégies
des grands groupes industriels en matière
INCIDENTS
Z
ANOMALIES
Z'
Z ANOMALIES PRECEDENT Y INCIDENTS QUI PRECEDENT LA SUPRESSION DE Z' ANOMALIES ENTRAINE LA
X ENS GRAVES QUI PRECEDENT 1 ENS MORTEL SUPPRESSION DE Y' INCIDENTS QUI ENTRAINENT
L'ELIMINATION DE X' ENS GRAVES ET LA SUPRESSION
DE L'ENS MORTEL

22
de réduction des risques (avec DUPONT DE NEMOURS comme groupe pilote). Cette
relation linéaire n’a rien de réel mais elle est utilisée comme impact psychologique fort. On la
représente la plupart du temps sous la forme du triangle des accidents : pour un ENS
entraînant destruction d’êtres vivants, représenté par le sommet du triangle, il y a eu
auparavant x ENS entraînant des effets irréversibles sur les êtres vivants, représentés par la
surface du premier trapèze, eux-mêmes précédés d’y incidents, représentés par la surface du
deuxième trapèze, et eux-mêmes précédés de z anomalies représentées par la surface du
deuxième trapèze.
La stratégie est alors simple : pour éliminer l’ENS sommet, il suffit d’éliminer
x’ ENS irréversibles, donc y’ incidents et par conséquent z’ anomalies. Ceci est appelé la
chasse aux anomalies. Pour la mettre en œuvre il est nécessaire de former tous les acteurs à
l’analyse d’anomalies par l’arbre des faits ce qui est un investissement considérable. Mais ce
travail se retrouve car il permet d’améliorer la qualité et la productivité tout en diminuant les
risques. Il rejoint en cela une autre approche : l’OMF, Optimisation de la Maintenance par la
Fiabilité, qui consiste à analyser à priori la fiabilité des éléments d’une installation pour
optimiser la maintenance préventive. Ceci aura aussi comme effet de diminuer les anomalies
et par conséquent d’augmenter la sécurité, la qualité et la productivité.

2 – 4 – La sûreté de fonctionnement : (78)

La sûreté de fonctionnement est aussi une vision paradigmatique du risque.

Issue de la fiabilité, elle s’applique bien à des objets techniques tels
qu’une pompe, un avion sans son pilote, un TGV....
Dans un contexte complexe elle est réductrice et fragmentaire, comme toute
démarche humaine.
Elle est en plein développement dans l’industrie en association étroite avec la
qualité et avec sa promotion par l’Institut de Sûreté de Fonctionnement.
Cependant si certains de ses éléments sont normalisés (Disponibilité, Fiabilité,
Maintenabilité), elle ne fait pas l’objet d’une norme dans sa définition générale, tant au niveau
européen qu’international, les différents pays n’étant pas d’accord sur cette définition.

On peut la synthétiser de la manière suivante :

23
 LA SURETE DEFINIE COMME SURETE DE FONCTIONNEMENT D ’UN OBJET TECHNIQUE

TECHNIQUE + ORGANISATION

CONTRAINTES
REGLEMENTAIRES

NORMES

APTITUDE A ASSURER UN SERVICE

FONCTIONNER SANS ACCIDENTS SPECIFIE PENDANT LE CYCLE DE VIE

DISPONIBILITE SECURITE SURETE

APTITUDE A ETRE EN ETAT DE MARCHE A APTITUDE A NE PRESENTER

UN INSTANT DONNE OU PENDANT UN INTERVALLE AUCUN DANGER POUR LES APTITUDE A FONCTIONNER
DE TEMPS DONNE QUATRE CIBLES SANS PROVOQUER
D ’' ACCIDENT :
FIABILITE AUX HOMMES
A L'ENVIRONNEMENT
AUX BIENS
APTITUDE A NE PAS PRESENTER DE DEFAILLANCE
PENDANT UNE DUREE DETERMINEE EN FONCTIONNEMENT
NORMAL
A L'ARRET
SOUTIEN LOGISTIQUE EN SITUATION DEGRADEE
MAINTENABILITE (EN TOUTES PHASES)
INTEGRE

APTITUDE A ETRE REMIS EN SERVICE

DANS UN DELAI DONNE

2 – 5 – Une définition du risque :

Il est maintenant possible de tenter de donner une première définition du risque.

RISQUE DANGER PROBABILITE GRAVITE ACCEPTABILITE

R associe D * P * G * A DEFINIE PAR DEFINIE PAR

DEFINI PAR LA L'ACCEPTABILITE
UN ENSEMBLE PROBABILITE DE L'ENS PAR LES
DE PROCESSUS D'ENCHAINEMENT ACTEURS DONT
QUI DEROULENT L'ENCHAINEMENT DES EVENEMENTS LES CIBLES
DES EVENEMENTS CONDUISANT CONDUISANT A
A UN EVENEMENT NON SOUHAITE L'EVENEMENT NON
AYANT UN IMPACT DESTRUCTEUR SOUHAITE
SUR UNE OU PLUSIEURS DE DEFINIE PAR
QUATRE CIBLES POSSIBLES : L'EFFET DE
INDIVIDUS L'ENS SUR LES
POPULATIONS CIBLES
ECOSYSTEMES
SYSTEMES MATERIELS

LA DEFINITION DU RISQUE

La meilleure semble être celle qui émane des compagnies d’assurances.

Le risque est défini comme l’association d’un DANGER, de sa
PROBABILITE, de sa GRAVITE et de son ACCEPTABILITE. Ces quatre éléments ne
sont pas de même nature. C’est pour cela qu’il n’est pas possible de mettre un signe = entre R

24
et les autres éléments, dont les convolutions sont par ailleurs mal connues. Pour éviter de
définir le risque par rapport au danger et le danger par rapport au risque (le danger est une
potentialité de risque ), il est nécessaire de donner une définition originale du danger. Nous
dirons que le danger est défini par un ensemble de processus (au sens systémique du mot
processus, ce qui nous obligera à développer cette définition), qui déroule l’enchaînement des
événements conduisant à un EVENEMENT NON SOUHAITE pouvant avoir un impact en
général destructeur sur une ou plusieurs des quatre cibles possibles : un ou des individus, une
ou des populations, un ou des écosystèmes, un ou des systèmes matériels ou symboliques. La
probabilité est définie par la probabilité d’enchaînement des événements conduisant à l’ENS.
La gravité est définie par l’effet de l’ENS sur les cibles. L’acceptabilité est définie par
l’acceptabilité de l’ENS par les acteurs dont les cibles. Nous constatons ainsi que les
définitions révèlent des niveaux différents. Il est possible de définir scientifiquement le
danger, sa probabilité bien sûr et sa gravité mais il n’est pas possible de définir
scientifiquement son acceptabilité car à ce niveau, les subjectivités individuelles et
collectives sont prépondérantes. Le risque est un construit individuel et social.

D’autres définitions peuvent être rapprochée de cette définition du risque :

Par exemple la définition de la VULNERABILITE :

C’est la sensibilité d’un ENJEU face à un ALEA .

C’est aussi un ALEA * capacité d’un système à réagir ou à lui résister.

Si l’on écrit R D*P*G*A

joue sur
aléa

enjeu

2 – 6 – UNE DEFINITION DE L’ANALYSE DE RISQUES :

en reprenant chacun des termes de la définition du risque proposée ci-dessus, même si elle est
réductrice, on peut donner une première définition de l’analyse de risques.

1 – Traiter le Danger et pour cela identifier les processus de dangers c’est à

dire l’enchaînement d’événements issus de systèmes sources de dangers et pouvant conduire à
des ENS.
Ce travail d’évaluation peut se faire en mettant en œuvre le modèle MADS défini ci-
après.

2 – Représenter l’enchaînement des événements conduisant à l’ENS conduit à

des représentation du type arbres logiques ou réseaux.
Ce travail met en œuvre des outils du type Arbres de Défaillances (ADD), Arbres
d’Evénements, Arbres Causes-Conséquences, Réseaux de Pétri, Chaînes de Markov, qui
permettent aussi de calculer les probabilités de ces événements dans certains cas.

25
 3 – Pour déterminer la Gravité des ENS on détermine leur impact sur les cibles.
Celui-ci peut être immédiat mais aussi différé traduisant des états de la cible dans le temps.
Certains de ces états différés sont difficiles à prévoir, d’où le principe de précaution.

Les outils d’évaluation des impacts sont du type énergie/effet, dose/effet,

concentration/effet......

4 – La détermination de l’acceptabilité se fait par négociation de tous les

acteurs concernés dont les cibles. Dans certains cas des limites peuvent être imposées par une
réglementation (cas du nucléaire) ou par une règle spécifique (cas des installations classées).

Les outils mis en œuvre pour la négociation sont des outils dont certains font appel à
des approches mathématiques. Les grilles gravité X probabilité sont des outils simples et
assez faciles à mettre en œuvre bien que faisant l’objet de réticences. Elles permettent de
situer les scénarios d’accidents et de les hiérarchiser. On en trouvera un exemple ci-après.

G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P

NIVEAU

TRES IMPORTANT
4
MORT D'HOMME

IMPORTANT
EFFETS
IRREVERSIBLES
INACCEPTABLE 3
ACCIDENT AVEC
IPP
PEU IMPORTANT
EFFETS
REVERSIBLES
ACCIDENT AVEC 2
AT SANS IPP
MINEUR
BLESSURES ACCEPTABLE
LEGERES
ACCIDENT SANS 1
AT

TRES PEU
IMPROBABLE PROBABLE
IMPROBABLE PROBABLE P = PROBABILITE
0 FOIS PEUT-ETRE PLUS DE L'EFFET
RISQUE
UNE FOIS UNE FOIS D' UNE FOIS
dansla durée devie
de l'installation ou de l'expérience
NUISANCE
NUISANCE TRES NUISANCE NUISANCE
EXCEPTIONNELLE
TEMPORAIRE TEMPORAIRE PERMANENTE
<1 1 2 3 4 NIVEAU

La négociation de ces grilles se fait à deux niveaux : tout d’abord négocier comment
l’on gradue les axes et ensuite négocier la position de la frontière entre l’acceptable et
l’inacceptable.

5 – La neutralisation des risques se fait par la recherche de toutes les barrières

de prévention et de protection qu’il est possible d’identifier pour éviter la production
d’événements et leur enchaînement.

Ces barrières sont de nature technique et opératoire. Il est nécessaire de les qualifier
dans le temps pour s’assurer de leur pérennité. Une fois ces barrières établies on peut vérifier
si le risque est devenu acceptable en resituant les scénarios dans les

26
grilles G X P.

Dans toutes ces approches il faut cependant bien garder à l’esprit que le risque a une
dimension spatiale et une dimension temporelle qu’il est très difficile voire impossible de
prendre en compte.
Nous sommes par ailleurs toujours dans une situation de conflit ( « tout est conflit »
nous disait déjà HERACLITE). Conflit homme/nature, justice/profit, pauvreté/richesse....
Le risque est par ailleurs le moteur de l’évolution, ce qui pose l’énorme problème
de savoir s’il faut l’éliminer ou non.
La maîtrise du risque apparaît donc au cœur des processus de décision comme
participant aux choix et aux arbitrages dans la gestion de ces conflits par tout décideur, pour
minimiser les occurrences et les effets des dangers possibles.

Si nous reprenons le modèle défini au paragraphe 4 – 1 pour modéliser la structure

des ENS, nous pouvons le centrer plus généralement sur le risque.

CULTURE domaine NORME (consensus)

de complexité)

TECHNO - SCIENCE RISQUE

(compliqué. Domaine
déterministe)

ALEA FONCTIONNEMENT
(domaine complexe . HUMAIN
Le risque zéro n’existe (domaine complexe. Génération
pas) d’inconnu dans l’innovation)

Nous voyons bien apparaître que le risque dans sa structure nous fait entrer de plein
pied dans les domaines du complexe.
Pour mieux le comprendre, pour rendre plus cohérentes les différentes visions que
nous en avons et pour apprendre à mieux le maîtriser nous avons besoin de pénétrer dans cette
complexité avec une vision plus éclairante. La systémique, langage de modélisation du
complexe va nous aider dans ce travail.

3 - INTRODUCTION A LA SYSTEMIQUE POUR UNE

APPROCHE DE LA COMPLEXITE : (12-13-19) (pour une petite
approche historique de la systémique, voir en annexe)

27
 La systémique est à la fois une démarche de l’esprit et un langage de
modélisation du réel. Dit d’une autre manière, la systémique a développé une
modélisation du réel que soutient une démarche d’esprit.

3 - 1 - LA NOTION DE MODELE :

Un modèle est la manière dont on construit (on se représente) la réalité. Celle-ci

est en effet construite dans nos têtes ce qui fait dire à Paul Valéry que les modèles sont dans
nos têtes et pas dans la réalité. Il y a donc une infinité de modèles de la réalité. Pour tenter de
cerner cette dernière, l’homme a construit des langages avec des modèles codés qui
permettent de les partager : modèles scientifiques et langages scientifiques comme les
mathématiques, langues et langages de
communication. Certains modèles ne sont

L’INTERSECTION DE DEUX PLANS

UNE LIGNE

L’INTERSECTION DE DEUX PLANS

UNE LIGNE
Le point de
vue du commun
des mortels

Le point Le point
de vue du
de vue du
géomètre mathématicien

UNE La droite est le plus court chemin entre deux points

UNE GENERATRICE
La droite est le plus court chemin entre deux points D’UN CYLINDRE
GENERATRICE
D’UN CYLINDRE UNE PHRASE DANS UN LANGAGE
UNE PHRASE DANS UN LANGAGE

Y = aX + b
Y = aX + b
Le point UNE EQUATION MATHEMATIQUE
UNE EQUATION MATHEMATIQUE
de vue du
dessinateur
DIFFERENTS MODELES D’UNE DROITE OU LA DROITE
DIFFERENTS MODELES D’UNE DROITE COMME DIFFERENTS POINTS DE VUE

pas codés comme dans les langages

artistiques, une autre manière de cerner la réalité. Il y a donc une pluralité des modèles
concevables d’un même phénomène et une pluralité des méthodes de modélisation.
A titre d’exemple, l’image mentale dont il a été question ci-avant est une
modélisation, dans l’esprit des opérateurs, du contexte dans lequel ils opèrent.
La systémique nous propose de construire la réalité à partir de la notion de
système. Nous verrons donc cette réalité comme un ensemble de systèmes emboîtés.

28
 DIFFERENTS MODELES DE LA PIECE DANS LAQUELLE NOUS SOMMES

ON PEUT LA DECRIRE. CHAQUE PERSONNE PRESENTE

CHACUN LA DECRIRA PEUT EN FAIRE UNE AQUARELLE.
DIFFEREMENT, DONC ENCORE AUTANT DE MODELES
AUTANT DE MODELES DIFFERENTS DE LA PIECE. C’EST LA
DIFFERENTS DE LA PIECE PERCEPTION ARTISTIQUE DE LA
QU’IL Y A DE PERSONNES. PIECE.

ON PEUT LA DECRIRE COMME

ON PEUT EN PRENDRE UNE
FORMEE D’ATOMES, ASSEMBLES
PHOTO AVEC DES APPAREILS
EN MOLECULES, ELLE-MEMES
PHOTO DE MEME TYPE. IL Y AURA
ASSEMBLEES EN MATERIAUX,
AUTANT DE PHOTOS DIFFERENTES
FORMANT DES OBJETS ET DES ETRES
QU’IL Y A DE PERSONNES, DONC
VIVANTS. C’EST LA PERCEPTION
ENCORE AUTANT DE MODELES
SCIENTIFIQUE DE LA PIECE,
DIFFERENTS DE LA PIECE.
IDENTIQUE POUR TOUS CAR FONDEE
SUR DES MODELES SCIENTIFIQUES
AYANT LE MEME CODE.
ON PEUT EN FAIRE UN DESSIN
INDUSTRIEL. CHACUN FERA LE
MEME DESSIN CAR IL Y A UN CODE
DU DESSIN INDUSTRIEL PARTAGE
PAR TOUS.

ON NE PEUT CERNER LA REALITE PIECE QUE PAR L’ENSEMBLE

DE TOUS CES MODELES ET DE BIEN D’AUTRES

Le fait que la réalité ne puisse être LE REEL EST TOUJOURS INTERROGE A L'INTERIEUR D'UNE
PROBLEMETIQUE . UN SYSTEME N'EST PAS RENCONTRE , IL
cernée que par une pluralité de modèles entraîne que EST CONSTRUIT.

chaque modèle ne représente qu’une partie de la

réalité. Un système de la réalité a des propriétés Système
Objectifs
réelles. Le modèle qui en est fait a, lui, des propriétés Sujet Moyens
PROPRIETES
formelles qui ne recouvrent qu’en partie le système REELLES
réel. Il ne cerne en fait que les propriétés compatibles PROPRIETES
Système Modèle COMPATIBLES
du modèle et du système réel. Naturel Physique PROPRIETES
Les propriétés formelles du modèle sont Artificiel Symbolique FORMELLES

inhérentes à lui. Par exemple si nous prenons la Modèle

vision artistique de la réalité, dans son histoire, les
époques réalistes ont vu se développer des modèles
qui recouvrent largement la réalité alors que les
modèles de l’art moderne ne recouvrent que très peu voire pas du tout cette réalité. Par contre
ils ont des propriétés propres qui en font toute la valeur (couleurs, formes, imagination...)
Le sujet, par ailleurs, qui modélise cette réalité, a des objectifs et met en œuvre
des moyens (comme la représentation par les systèmes ). Il modélisera donc les systèmes
naturels et artificiels (construits par l’homme) par des modèles physiques et symboliques (des
systèmes physiques comme une machine et des systèmes symboliques comme une
organisation sociale par exemple ). La démarche d’esprit systémique sous-tendue se traduit
par le fait que la relation sujet - modèle - système réel est en fait indissociable chacun
réagissant sur l’autre et que l’analyse du réel est donc impossible et ne peut se faire
qu’imparfaitement par la mise en œuvre d’artefacts dont la modélisation systémique est parmi
les plus intéressants.

29
 - 3 - 2 LA NOTION DE SYSTEME :

Système : du grec
sustema : assemblage. EVOLUTION

Une des meilleures

définitions que l’on puisse
trouver est sans doute celle de
Saussure, l’un des pères
ENVIRON- FINALITE
fondateurs de la linguistique : un NEMENT
STRUCTURE

système ‘’ est une totalité

organisée, faite d’éléments
solidaires ne pouvant être définis
que les uns par rapport aux
autres en fonction de leur place ACTIVITE
dans cette totalité.
Malgré toutes les
remarques précédentes le LE SYSTEME CANONIQUE D'APRES J . L . LE MOIGNE
système sera défini par
cinq critères :
Il a une structure : formée par l’ensemble des éléments qui le constituent, avec
leurs relations participant à son organisation. C’est aussi l’ensemble des règles d’assemblage,
de liaison, d’interdépendance, de transformation, c’est donc l’invariant informel d’un
système (E. Morin ) ou sa partie stable. Les relations sont du type articulations,
combinaisons, associations , interactions , interrelations , interétroactions , interréactions .

Il a un environnement : à partir du moment ou l’on a défini sa frontière , ou

enveloppe , ou contenant , tout ce qui est à l’extérieur de cette dernière constitue son
environnement . On peut distinguer l’environnement actif, partie de l’environnement qui
peut agir sur le système et l’environnement passif, partie de l’environnement sur lequel le
système peut agir (un même élément de l’environnement peut être tantôt passif, tantôt actif
suivant le contexte, par exemple une rivière qui peut inonder ou être polluée.)

Il a une finalité c’est à dire qu’il produit quelque chose. Cette finalité est
souvent la traduction des propriétés émergentes d’un système. Ces dernières, énoncées déjà
par Goethe (le tout est supérieur à la somme des parties) signifient que le système constitué
fait apparaître des propriétés nouvelles par rapport à la somme de celles de ses constituants.
Pour un système artificiel, sa finalité peut être définie aussi par ses objectifs.

Il a une activité c’est à dire qu’il fonctionne d’une certaine manière que l’on
peut en général décrire. Cette activité se déroule dans le temps à travers des transformations
appelées processus.

Il évolue dans le temps c’est à dire qu’il se transforme, vieillit.

En systémique tout découpage étant artificiel, les critères ne sont pas

indépendants entre eux. Par exemple l’activité intervient sur la structure et peut entraîner un
changement de finalité. L’environnement fait évoluer la structure et peut jouer sur
l’activité......
La notion de système est donc une notion dynamique.

30
CHAQUE ELEMENT N ’EST PAS INDEPENDANT DES AUTRES ELEMENTS
.
Illustrons les
notions ci-dessus par un
exemple. Est choisie une
installation de dépotage de
EVOLUTION
propane dont le schéma et
4
C 4
les descriptifs sont joints
en annexe.
ENTREPRISE Si nous
1 3 examinons le dépotage
proprement dit, nous
ENVIRONNEMENT STRUCTURE FINALITE pouvons le modéliser
2 comme un système :
2 Structure :
Une entreprise confrontée à un changement tous les éléments qui le
d’environnement C va devoir changer de
structure 1 et probablement d’activité 2 ainsi
composent, leur
ACTIVITE que de finalité 3 ce qui l ’amène à évoluer 4 organisation, leurs
relations, interactions. Ce
n’est donc pas seulement
la partie matérielle .
Frontière : les enveloppes des éléments, le sol qui les supporte.
Environnement : tout ce qui est autour de la frontière. On peut distinguer un
environnement spécifique constitué par l’environnement actif : les ateliers, le parking, la
rivière (elle peut inonder le système ), la route, la voie de chemin de fer, les autres wagons
que celui en cours de dépotage, et par l’environnement passif : le bâtiment administratif, la
rivière, le parking, les ateliers, les autres wagons, la voie de chemin de fer, la route, les
lotissements ; et des environnements plus ou moins lointains ou environnements emboîtés : la
ville, la zone industrielle...
Finalité : alimenter la sphère de stockage de propane
Fonctionnement : on peut décrire comment l’installation fonctionne au
moment du remplissage et de l’alimentation de l’atelier.
Evolution : le système n’est pas toujours dans la même configuration. Il a des
phases de fonctionnement et de vie. Il peut subir des transformations, il se corrode.
Mais il est possible de découper le système en sous-systèmes, chacun de ceux-ci
répondant aux critères du système canonique. Il y a bien entendu plusieurs découpages
possibles. Exemple :
Sous-système 1 : la sphère avec son instrumentation
Sous- système 2 : les canalisations de remplissage et leurs appareillages
Sous-système 3 : la pompe et son instrumentation
Sous-système 4 : le bras mobile de liaison
Sous-système 5 : le wagon en cours de dépotage
Sous-système 6 : l’opérateur

Vérifions que chaque sous-système répond aux critères d’un système sur deux
exemples.
La sphère :
structure : les éléments qui la constituent et leurs relations
finalité : assurer le stockage de propane et alimenter les ateliers
frontière ou contenant: son enveloppe (elle a aussi un contenu,
comme tout système : le propane )

31
 environnement : ce qui entoure son enveloppe. Dans le système
de dépotage, les autres sous-systèmes constituent son environnement.
fonctionnement : il est possible à décrire
évolution : elle vieillit et se corrode, passe par différentes phases
et peut subir des transformations
L’opérateur :
structure : les milliards de cellules qui le composent et forment
des organes (sous-systèmes ), des ensembles d’organes (autres sous-systèmes à un niveau
différent ) et leurs relations. L’esprit fait aussi partie de la structure bien qu’immatériel. En
tant que sous-système, il a lui-même sa structure...
frontière : la peau
environnement : tout ce qui est en dehors de sa peau
finalité : vivre et produire des objets et des idées,
paradoxalement programmé pour mourir
fonctionnement : non complètement connu
évolution : vieillit et se transforme dans son corps et son esprit.

On voit donc bien cette modélisation du réel par emboîtement de systèmes,

dont il a été question ci-dessus

ATOMES

ETRE HUMAIN
VEHICULE AUTOMOBILE MOLECULES
ATOMES EMBOITEMENT DE SYSTEMES
échangeant Matière, Energie, Information
CELLULES

MOLECULES

MATERIAUX

ORGANES
ORGANES

VEHICULE

L’ETRE HUMAIN EMBOITEMENT DE SYSTEMES

échangeant Matière, Energie, Information

STRUCTURE ensemble des règles d’assemblage, de liaison,

D’UN SYSTEME d’interaction, d’interdépendance, de transformation,
d’organisation, des éléments d’un système.

Invariant informel d’un système

32
 Ces relations, en INTERACTIONS

général, ne sont
pas linéaires

INTEREACTIONS

INTERRELATIONS

RETROACTION
INTERRETROACTION

ARTICULATIONS - COMBINAISONS - ASSOCIATIONS DES ELEMENTS

D’UN SYSTEME
apparaissent dans différentes échelles de temps
à différentes échelles : entre les éléments d’un système
entre sous - systèmes
entre systèmes

3-3 LA NOTION DE PROCESSUS :

Un processus est toute transformation dans le temps, l’espace, la forme (ou

nature ) de matière, énergie, information. Un processus
ENVIRONNEMENT
s’établit entre un objet processeur, ou système processeur, SPECIFIQUE
ou source, ou système source et un objet processé, ou
système processé, ou puits, ou système cible, par échange SYSTEME SYSTEME
d’un flux de matière, énergie, information. SOURCE FLUX
CIBLE
Il est donc possible de modéliser le réel par MATIERE
OBJET PROCESSEUR
ENERGIE OBJET PROCESS2
INFORMATION
des systèmes emboîtés dont l’activité et les relations sont
gérées par des processus.

Remarque : il n’est pas nécessaire de connaître LE PROCESSUS

le fonctionnement d’un système pour modéliser son
activité. Il suffit de le mettre sous forme de Boite Noire sans chercher à savoir ce qui se passe
dans le système mais en identifiant ce qui entre dans le système (ses inputs ) et ce qui en sort
(son output ) et qui, dans les deux cas ne peut être que de la matière, de l’énergie, de
l’information

33
 Tout système étant un transformateur dans le temps, l’espace, la forme, de matière,
énergie, information et un véhicule automobile pouvant être modélisé comme un système, On peut aussi modéliser un Etre Humain sous forme de BOITE NOIRE
on peut aussi le représenter sous forme d’une boîte noire. On ne cherche plus à savoir ce qui est intéressant car on ne sait pas complètement comment il fonctionne
ce qui se passe à l’intérieur (c’est à dire que l’on peut s’affranchir de son
fonctionnement), mais on peut identifier qu’est-ce qui entre dans le système et qu’est-ce
qui en sort: de la matière, de l’énergie et de l’information.

Ce qui entre dans le Ce qui sort du système (output)

ALIMENTS DECHETS
système (input)
(matière + énergie) BOITE (matière)
DECHETS
COMBUSTIBLE ET (matière)
COMBURANT BOITE
NOIRE
(matière + énergie) ENERGIE THERMIQUE ENERGIE CINETIQUE
NOIRE ENERGIE CINETIQUE (gestes, marche.....)
(soleil)
ENERGIE THERMIQUE ENERGIE THERMIQUE
INFORMATION VEHICULE ETRE
(corps maintenu à 37°C)
(pilotage)
AUTOMOBILE INFORMATION
(par les sens) HUMAIN INFORMATION
INFORMATION
(directivité)
(gestes et langage)

La technique des boîtes noires est mise en œuvre dans la méthode MOSAR pour
déterminer les scénarios d’accidents possibles

MECONNAISSANCE DES RISQUES

SEQUENCES D’ACTION TROP RAPPROCHEES

MANQUE DE QUALIFICATION
ENERGIE ELECTRIQUE BOITE
ENERGIE CINETIQUE E1 ENERGIE CINETIQUE MAUVAISE DECISION
LIQUIDE +GAZ E2 LIQUIDE + GAZ
MAUVAISE COMMUNICATION
MATIERE : GAZ + LIQUIDE
NOIRE MATIERE : LIQUIDE CONTRAINTES ECONOMIQUES
+ GAZ ACTION NON CONFORME
SIGNAUX DE COMMANDE : MAUVAISE ORGANISATION
INFORMATION
POMPE SIGNAUX DES
ACTION DEVIEE
CAPTEURS : MAUVAISE IMAGE MENTALE DU CONTEXTE
INFORMATION ERREUR
SURCHARGE MENTALE OPERATEUR
BLESSURE
SURCHARGE PHYSIQUE
INTOXICATION
INCONSCIENCE

La pompe est un transformateur d'énergie électrique en énergie cinétique E2-E1 MANQUE DE FORMATION

et d'information STRESS

AGRESSION PHYSIQUE

AGRESSION CHIMIQUE

AGRESSION MENTALE

ABSCENCE DE CONSIGNES

CONTEXTE DANGEREUX

34
 3 – 4 - PROPRIETES DES SYSTEMES:

UN SYSTEME TECHNIQUE EST PILOTE PAR SA FINALITE:

il est déterminé on peut évaluer ou quantifier les risques

qu’il peut générer la sûreté de fonctionnement
C’est un système compliqué.

UN SYSTEME NATUREL REPOUSSE SA FINALITE (mort)

EN S’ADAPTANT A SON ENVIRONNEMENT
CONTINUELLEMENT CHANGEANT:

il est non déterminé, il innove et génère de l’inconnu, il

s’auto-organise.
C’est un système complexe.

3 – 4 – 1 - PROPRIETES D’EMERGENCE :

VEHICULE AUTOMOBILE
ATOMES EMBOITEMENT DE SYSTEMES
échangeant Matière, Energie, Information
SYSTEME COMPLIQUE
MOLECULES

POUR UN SYSTEME
ARTIFICIEL TEL MATERIAUX
QU’UN VEHICULE
AUTOMOBILE CHAQUE
NIVEAU D’ORGANISATION FAIT
APPARAÎTRE DES
PROPRIETES NOUVELLES ORGANES
QUI SONT LA SOMME DES
PROPRIETES DE S NIVEAUX
PRECEDENTS.
ON PARLE DE
PROPRIETES RESULTANTES
VEHICULE

UNE PROPRIETE RESULTANTE D’UN

VEHICULE AUTOMOBILE EST DE SE
DEPLACER DE MANIERE DIRECTIONNELLE,
propriété que ne possède aucun des éléments qui le constitue

35
 L’ETRE HUMAIN EMBOITEMENT DE SYSTEMES
ATOMES
échangeant Matière, Energie, Information
SYSTEME COMPLEXE
ETRE HUMAIN
MOLECULES

POUR UN ETRE VIVANT,

CHAQUE NIVEAU CELLULES
D’ORGANISATION
POSS7DE DES PROPRIETES
NOUVELLES QUI NE SONT
PAS LA SOMME DES
PROPRIETES DES NIVEAUX
PRECEDENTS.
ON PARLE DE¨
PROPRIETES D’EMERGENCE.

ORGANES

UN EXEMPLE DE PROPRIETE EMERGENTE

D’UN ETRE HUMAIN EST LA PENSEE REFLEXIVE

3 – 4 – 2 - NOTION D’AUTO-ORGANISATION ET D’ORGANISATION :

La variété d’un système est donnée par le nombre d’états qu’il peut prendre.
N ! = nombre maxi d’arrangements de ses éléments. Plus celui-ci est grand, plus
le système est riche de possibilités de transformations et donc d’évolutions et d’adaptation à
son environnement, plus il est complexe.
Cette complexité se mesure notamment dans la théorie mathématique de
l’information de Shannon par la quantité d’informations H qu’il contient.
Le contrôle d’un système de variété v ne peut être fait que par un système de
variété v’ > v. Traduit dans notre problématique ceci signifie que l’on ne pourra faire
l’analyse de risques d’un système donné que par une méthode plus complexe que le système

REDONDANCE AU SEIN D’UN SYSTEME

Les configurations d’un système créent des régularités

avec interdiction de certaines configurations

ceci permet de reconnaître des « formes »

ce sont des redondances

redondance R = 1 - H / Hmax
quantité d’information en absence de redondance
perturbations

Sources de L’auto-organisation d’un système nécessite

nouveauté un minimum de redondance au départ
Var , H
Fluctuations Hiérarchisation l’effet désorganisateur du
thermodynamiques
bruit à un niveau d’organisation devient
organisateur pour un autre niveau
36
 AUTO-ORGANISATION
Redondance (régularités structurantes)
Réduction de la variété
(configurations)

Antinomie apparente régulée

Mais augmentation des relations

Donc nouvelles configurations

Donc variété augmente

complexification
Emergence de propriétés nouvelles
L’évolution d’un système par adaptation à son environnement
(auto-organisation)

Un système peut être ouvert ou fermé sur son environnement, ce qui ne

l’empêche pas d’être ouvert ou fermé sur les autres systèmes. Ouvert, cela veut dire qu’il
échange matière, énergie, information. Un système qui n’échange plus rien est condamné à
mort. S’il échange, il génère obligatoirement des dysfonctionnements, autre manière de dire
que le risque zéro n’existe pas. Allons plus loin : pour vivre, un système doit obligatoirement
échanger donc générer des dysfonctionnements. C’est, dit d’une autre manière, son degré de
liberté, son degré d’innovation, lui permettant justement de maîtriser ces dysfonctionnements
souvent aléatoires. Donc non seulement le risque zéro n’existe pas, mais il ne faut pas qu’il
existe sinon le système est condamné à mort. Prenons le cas d’une installation industrielle.
Deux façons de la tuer. Premièrement, trop réglementer. On a des chances d’avoir un système
qui ne dysfonctionnera pratiquement plus mais qui sera incapable d’assurer sa finalité et donc
de fonctionner. Cela se traduit par exemple par une déresponsabilisation des acteurs et donc
leur décrochement du système. Deuxièmement, trop informatiser. On gère bien la routine,
mais en cas de dérive rien ne peut plus innover pour récupérer les situations dégradées. Pas
l’informatique puisqu’elle ne gère que ce que l’on y a introduit et l’on ne connaît que peu de
situations de dérive. Pas les opérateurs puisqu’ils ont été démotivés car ‘’remplacés ‘’ et ont
perdu la connaissance de l’installation (dépossédés de celle-ci ). D’où l’importance de les
maintenir actifs et en alerte avec notamment maintenant les entraînements par simulation. Car
l’être humain reste encore pour longtemps le système le plus complexe connu et donc capable
de dysfonctionnements mais aussi capable de les maîtriser car innovant et anticipant les
situations.

37
 NON SEULEMENT LE RISQUE ZERO PERTURBATION
Perturbation
N’EXISTE PAS MAIS IL NE DOIT PAS (désordre)
(désordre)
EXISTER

AUTO-ORGANISATION
destructurants
Dysfonctionnements RISQUE
nécessaires
destructeurs

VARIETE REDONDANCE
(ordre)

SYSTEME
ENVIRONNEMENT
MAITRISE DES RISQUES :
- éviter qu’un dysfonctionnement destructurant
deviennent destructeur (mais qu’au contraire
il soit restructurant)
- éliminer les dysfonctionnements destructeurs

L’organisation est souvent confondue avec l’organigramme, qui est en fait

l’organisation statique. La systémique parle d’organisa(c)tion pour bien marquer qu’elle
s’intéresse à la dynamique des organisations ou organisation active.
L’organisation peut être définie comme l’arrangement de relations entre
composants d’un système. ( E. MORIN, idem pour la suite )
Il y a émergence de propriétés nouvelles. Par exemple c’est l’effet de
synergie du travail de groupe, mis à profit dans le ‘’ brain storming ‘‘.
La solidité et la solidarité des relations entre les éléments permettent au
système d’assurer sa durée face aux perturbations aléatoires internes et externes. Autrement
dit, plus un système a une structure solide et des éléments solidaires plus il pourra résister aux
aléas. Cela va d’un Etat, solide et solidaire qui résistera aux perturbations internes et à celles
du contexte international, à une organisation de travail et sa résistance aux situations
accidentelles.
L’organisation active est un entrelacs d’événements désorganisateurs
et organisateurs. Une bonne organisation a des degrés de liberté, d’initiative, qui vont
justement lui permettre de s’adapter aux aléas, donc de la désorganisation nécessaire. Mais
elle a aussi, bien entendu de l’organisation qui va lui permettre de faire face à tous les
événements qu’elle peut gérer.
C’est aussi un complexe de variété et d’ordre répétitif pour les mêmes
raisons que ci-dessus. C’est donc un compromis, une conjugaison entre un maximum de
variété et un maximum de redondance.

38
 DE STRUCTURE ARRANGEMENT DE RELATIONS ENTRE COMPOSANTS
UN ETAT
DE FONCTION
ORGANISATION A LA FOIS
Emergence de propriétés nouvelles
ET UN PROCESSUS ORGANISA(C)TION
Solidité de la structure et solidarité des composants
OU
assurent la durée face aux perturbations
ORGANISATION aléatoires
DIFFERENT D’UN AGREGAT ACTIVE
ENTRELAC D’EVENEMENTS ORGANISATEURS ET
DESORGANISATEURS
SYNCHRONIE Vision d’un système à
un instant t
Vision d’un système COMPLEXE DE VARIETE ET D’ORDRE REPETITIF
DIACHRONIE
dans son évolution
COMPROMIS ENTRE UN MAXIMUM DE VARIETE
CONJUGAISON ET UN MAXIMUM DE REDONDANCE

3 – 4 – 3 - NOTION DE COMPLEXITE :

Le compliqué est l’enchevêtrement extrême entre des relations. C’est

un constituant de la complexité. C’est une réduction de cette dernière. On peut dire que les
systèmes techniques sont des systèmes simplement compliqués. Un système compliqué ne
devrait pas générer d’inconnu car il est entièrement déterminé. Ceci signifie qu’il est
théoriquement possible de déterminer tous les dysfonctionnements techniques d’un système
compliqué du type technique ou artificiel (construits par des êtres humains ) si on y passe
suffisamment de temps et dans la limite des connaissances scientifiques et techniques.

Le complexe caractérise un système richement organisé, générateur

d’inconnu car capable d’innover pour s’adapter à ses propres évolutions et à celles de son
environnement. Sa complexité va lui permettre de s’adapter au désordre et même de créer de
l’ordre à partir de celui-là. Il est capable d’autonomie qu’il construit en permanence. Les
systèmes vivants sont des systèmes complexes et notamment les êtres humains. Les systèmes
industriels sont donc des interférences relationnelles entre :
-des systèmes compliqués : les systèmes techniques
- des systèmes complexes : les opérateurs qui ont besoin d’un certain degré de
liberté pour s’organiser.
L’interface système opérateur -système matériel accroît le niveau de complexité.

39
 COMPLIQUE

ENCHEVETREMENT EXTREME ENTRE DES RELATIONS

UN CONSTITUANT DE LA COMPLEXITE, mais simplifier le

complexe en compliqué est une mutilation du complexe

COMPLEXITE DESORDRE
ADAPTATION
en s’auto-organisant
INCOMPLETUDE liée à l ’auto-organisation du système

INCERTITUDE AU SEIN DES SYSTEMES RICHEMENT ORGANISES

ANTAGONISME (irruption au cours de phénomènes s’organisant)

PARADOXES

3 – 4 – 4 - NOTION DE HAZARD :

HAZARD IMPUISSANCE A FAIRE DES PREDICTIONS DEVANT

LES PHENOMENES DESORDONNES

EVENEMENT NON REGULIER

NON REPETITIF
SINGULIER
INATTENDU

ACCIDENT PERTURBATION ENTRE UN OU PLUSIEURS

PHENOMENES ORGANISES ET UN OU PLUSIEURS
EVENEMENTS

RENCONTRE EVENEMENTIELLE ENTRE DEUX OU

PLUSIEURS PHENOMENES ORGANISES

3 – 4 – 5 - PROPRIETES STRUCTURELLES :

Tout système peut aussi être modélisé comme fait de trois grands sous systèmes
en relation entre eux et avec l’environnement du système : un sous- système opérant qui
produit, un sous- système de pilotage qui dirige, oriente, les deux autres sous-systèmes, un
système d’information qui informe les deux autres. On peut identifier des risques spécifiques
à chacun d’eux : les risques liés à la production pour le premier (métier spécifique
correspondant : ingénieur de sécurité ), les risques liés à l’information pour le deuxième
(métier spécifique : ingénieur sécurité des systèmes d’information ), les risques liés au
management pour le troisième (métier spécifique: risk manager ). Dans notre installation de
dépotage de propane, le s/système opérant, c’est la ligne wagon - canalisations - pompe -
sphère, le s/système de pilotage, c’est le contrôle- commande de la ligne précédente, le
s/système d’information, c’est l’informatique de gestion du contrôle - commande. Si l’on se

40
 place au niveau de l’ensemble de l’usine (système dont l’unité de dépotage propane devient
un s/système ), le s/système opérant, c’est la fabrication ; le s/système de pilotage, c’est la
direction de l’usine ; le s/système d’information, c’est la structure informative de l’usine
(informatique, notes... )

SYSTEME
SYSTEME
CENTRE
DECISIONNEL

Relation mécanique ou informative

S/ SYSTEME
D'INFORMATION

ENTREE SYSTEME OPERANT ENTREE S/SYSTEME OPERANT SORTIE

SORTIE

SYSTEME COMPLIQUE : AUTOMATISMES , ROBOTIQUE ,INFORMATIQUE

SYSTEME SIMPLE : MACHINE CLASSIQUE

S/SYSTEME
DE PILOTAGE
SYSTEME
Centre d'imagination

mémoire
mémoire
SYSTEME Centre de finalisation
Centre de finalisation (survie, mort) S/SYSTEME

D'INFORMATION
Centre décisionnel
S/SYSTEME
S/SYSTEME DE PILOTAGE
D'INFORMATION
Centre décisionnel Conscience de soi

S/SYSTEME OPERANT
ENTREE SORTIE
S/SYSTEME OPERANT
ENTREE SORTIE

SYSTEME COMPLEXE ( ETRE VIVANT AUTRE QUE L’HOMME) SYSTEME TRES COMPLEXE ( OPERATEUR , ORGANISATION , ENTREPRISE )

3 – 4 – 6 - CATEGORISATION DES SYSTEMES :

Enfin, on peut définir une catégorisation des systèmes (E. MORIN ) :

Système : manifeste autonomie et émergence par rapport à son environnement.
C’est le cas du système de dépotage.
S/Système : tout système subordonné à un système dont il fait partie. C’est le
cas de la pompe s/système du système de dépotage.
Suprasystème : tout système contrôlant d’autres systèmes sans les intégrer en
lui. C’est de cas de la DRIRE qui contrôle le système de dépotage en tant qu’Installation
Classée.

41
 Métasystème :
SYSTEME Manifeste autonomie
système résultant des TYPOLOGIE
et émergence
interrelations mutuellement DES
transformatrices et englobantes Sous-systèmes SYSTEMES
s1 s3
(subordonnés
de deux systèmes antérieurement S
au système)
c s2 s4
indépendants. Ce serait le cas de
l’usine si elle intégrait un jour S1 S3
une de ses entreprises sous- c
Suprasystème C= contrôle
traitantes. S2
c
Ecosystème :
ensemble systémique des s1 Ecosystème
interrelations et interactions S s2
constituant l’environnement du s3 Métasystème
système qui s’y trouve englobé.
i
C’est le cas de l’environnement S1 S2
S1 S2
de l’usine. i i=interrelations transformatrices et englobantes

3 – 5 – EN RESUME :

SYSTEME EN INTERACTION AVEC SON ENVIRONNEMENT

COMMENT RECONNAITRE UN SYSTEME?
- Besoin d’aléas - Emergence d’une organisation et de propriétés nouvelles.
parmi ceux-ci, aléas destructurants . Ils obligent le
système à se restructurer. Bien conduite, cette restructuration est - Association forte entre structure et activité.
positive pour le système car elle est génératrice de nouveauté.
aléas destructeurs (ceux qu’il faut - Définition d’un environnement.
éviter)
- Finalité vers un objectif.
- Cascades d’événements Pour un système complexe, aboutissement d’une évolution créatrice
d’auto-organisation
équilibre métastable danger Théorie mathématique des
catastrophes (THOM).
Chaos déterministe.
- Autonomie / environnement. Sensibilité aux
- Vision « fractale » conditions initiales.
même structure pour anomalie, incident, accident, - Stabilité dynamique.
Attracteurs étranges.
Théorie des avalanches
catastrophe (loi en 1/f).
Évolution de la structuremémoire
dynamique non linéaire

3 – 6 - CONSTAT :

Les systèmes industriels avec leurs opérateurs (tous les acteurs qui les gèrent et
les exploitent ) sont des systèmes complexes. Maîtriser leurs risques nous amène à pénétrer
dans le domaine de la complexité. La systémique nous propose une double démarche :
premièrement, sa modélisation par les systèmes nous permet de simplifier, sans être
réducteur, le complexe pour tenter de le comprendre et de le maîtriser tout en étant conscient
que le simple est un moment arbitraire arraché aux complexités (E. MORIN 19 ).
Ceci nous conduira notamment à découper le réel, car nous ne savons pas faire
autrement pour analyser, mais ceci nous conduira aussi à remettre en relation ce que nous

42
aurons découpé. Le systématique est inclus dans le systémique. Deuxièmement, le principe
de complexité s’articule à travers deux caractéristiques :
La globalité qui nous fait considérer l’objet à connaître comme une partie
immergée et active dans son environnement.
La pertinence qui nous fait considérer qu’un objet se définit par rapport aux
intentions (implicites ou explicites ) du modélisateur .

La systémique nous aide à regarder la complexité pour pouvoir s’orienter .

Elle est une éducation du regard et une hygiène de l’intelligence.

43
 4 - DE LA SYSTEMIQUE A LA SCIENCE DU DANGER :
(33)
Qu’est-ce qu’une science ?
C’est un ensemble cohérent de connaissances relatives à certaines
catégories de faits, d’objets (physiques et symboliques) ou de phénomènes,
obéissant à des lois et vérifiés par les méthodes expérimentales. Une science :

- s’intéresse à un objet. La physique s’intéresse à la nature, la

chimie aux matériaux, la biologie aux êtres vivants......
- développe des modèles de ces objets (modèles de l’atome)
- organise la connaissance autour de ces modèles.
- vérifie que ces modèles sont reproductibles par l’expérience et
opérationnels, c’est à dire qu’ils permettent de prévoir certains des phénomènes.
Si l’on veut pouvoir parler de science du danger, il faut donc :
- définir son objet
- développer des modèles du danger
- montrer que la connaissance s’organise autour de ces
modèles
- montrer que ces modèles permettent de prévoir des
ENS
La finalité de cette science est triple :
- Culturelle : accroître le niveau de connaissance des risques en
les modélisant
- Pédagogique : pouvoir faire l’objet d’enseignements structurés
autour des modèles et de l’organisation des connaissances qu’ils permettent
- Opérationnelle : pouvoir mettre en œuvre les modèles dans
une méthodologie et des méthodes et outils pour prévoir et prévenir les ENS.

4 - 1 -OBJET DE LA SCIENCE DU DANGER :

Nous appelons Science du Danger le corps de connaissances

transversales qui a pour objet d’appréhender des Evénements Non Souhaités
.
Nous appelons Evénements Non Souhaités les dysfonctionnements
susceptibles de provoquer des effets non souhaités sur un ou des INDIVIDUS,
une ou des POPULATIONS, un ou des ECOSYSTEMES, un ou des SYSTEMES
MATERIELS OU SYMBOLIQUES. Ils sont issus de et s’appliquent à la structure,
l’activité, l’évolution des systèmes naturels et artificiels.

Nous appelons installation tout établissement humain fixe ou mobile :

44
 - établissement industriel
-établissement urbain
- établissement agricole
- établissement collectif
- moyen de transport..........
Le terme appréhender recouvre les opérations suivantes :

- représenter donc modéliser

- Identifier, évaluer, maîtriser les risques
- les gérer et les manager (avoir des stratégies )

4 - 2 - LE MODELE MADS ( Méthodologie d’Analyse de Dysfonctionnement

des Systèmes) : (33)

ENVIRONNEMENT
SPECIFIQUE

Champs de
dangers

Effets des champs de

Processus initiateur Processus renforçateur
interne au système source dangers interne au système cible
externe ( environnement ) externe ( environnement )

Système Système
Source Cible
SOURCE DE
FLUX DE EFFET DU FLUX
DANGER DE DANGER
Flux de danger

Un modèle a été développé par le groupe de réflexion MADS.

Il modélise le danger et donc le risque comme un ensemble de processus au sens
systémique du terme.
Le danger est l’ensemble des processus qui conduisent à un processus principal
pouvant être généré par un système source de danger. Le flux de danger est généré par une
source de flux de danger à partir du système source de danger et il est constitué de matière,
énergie, information. Si ce flux peut atteindre un système cible et avoir des effets sur ce
dernier on parle alors de risque. L’ensemble des processus est situé dans un environnement
spécifique (partie de l’environnement qui le concerne) générateur de champs processant des
effets sur ces processus. La source de flux de danger est générée par un processus initiateur
d’origine interne ou externe (et donc provenant de l’environnement spécifique ).
Symétriquement, il peut y avoir un processus renforçateur du flux sur la cible, d’origine
interne ou externe (et donc provenant de l’environnement spécifique). Certains champs sont
plus spécifiquement des champs de danger dans la mesure où ils génèrent des processus
origines ou renforçateurs des autres processus de danger.

45
 LE DANGER EST UN ETAT D ’EQUILIBRE METASTABLE

L’ENS est la rencontre du CARACTERISE PAR UN ENSEMBLE DE PROCESSUS

processus principal avec un système
cible. POTENTIELS POUVANT SE DEROULER AVEC UNE

CERTAINE PROBABILITE.
Ce modèle de processus de
danger et de risque est un modèle Son facteur de déclenchement est un événement initiateur.
général qui permet :
Le risque n’apparaît que s’il y a entrée d’une cible dans
d’organiser la
le champ, avec les effets des processus sur cette cible.
connaissance
de donner une cohérence
aux enseignements de cindynique
de modéliser la
méthodologie générale d’analyse de risques.

En effet, si l’on définit les processus comme des événements, le modèle peut se
représenter comme suit :
si l’on appelle :
Evénement Initial, la Source de Flux de Danger
Evénement Principal, le Flux
Evénement Final, l’impact du flux sur la cible
Etats de la cible, les états qu’elle va prendre dans le temps
Evénements induits ou Effets induits, les Effets de Champs avec
notamment l’événement initiateur issu du processus initiateur et événement renforçateur
l’événement issu du processus renforçateur,
Le modèle montre l’enchaînement des événements qui, partant de l’événement

CHAMPS

Effets de champs
( Evénements induits )
Evénement initiateur Evénement renforçateur
interne ou externe interne ou externe

SYSTEME SYSTEME

SOURCE FLUX CIBLE

Etats de la cible
dans le temps
Evénement
initial Evénement Impact du flux sur
principal la cible ou événement
final
EVENEMENT NON SOUHAITE = ENCHAINEMENT D'EVENEMENTS

initiateur, conduit aux différents états de la cible.

46
 Si l’on se réfère au schéma précédent que faudra-t-il faire pour analyser à priori
les risques ?
Il faudra :

1 - Identifier les processus de dangers c’est à dire l’enchaînement d’événements issus

de systèmes sources de danger et pouvant conduire à des ENS.
Pour ce faire, nous mettrons en œuvre le modèle MADS (méthodologie d’Analyse
de Dysfonctionnement des Systèmes ) qui constitue une forme de théorisation de l’AMDE.

2 - Construire et représenter l’enchaînement des événements conduisant à l’ENS.

Ceci nécessite l’élaboration de scénarios pour laquelle nous utiliserons aussi la
démarche systémique.
La probabilité d’enchaînement des événements est une probabilité composée comme
le montre le schéma ci-dessous.

PROBABILITE DE PROBABILITE DE
L'EVENEMENT L'EVENEMENT
INITIATEUR P1 RENFORÇATEUR P5
Champs de

danger
PROBABILITE DES
EFFETS INDUITS
Système Système
source P4 cible
PROBABILITE D'ETATS
DE LA CIBLE DANS
LE TEMPS P7
PROBABILITE DE PROBABILITE DE PROBABILITE
L'EVENEMENT L'EVENEMENT D'IMPACT SUR

INITIAL P2 PRINCIPAL P3 LA CIBLE P6

P évènement non souhaité = P1 x P2 x P3 x P4 x P5 x P6 x P7

APPROCHE PROBABILISTE

Ce modèle montre bien la difficulté de l’évaluation probabiliste de l’ENS qui

nécessite la connaissance de la probabilité de chaque événement.
Les outils de représentation et d’évaluation probabiliste sont du type arbres logiques
comme les arbres de défaillances qui font appel à l’algèbre de BOOL, ou de type réseaux
comme les réseaux de Pétri ou les chaînes de Markov qui font appel au calcul matriciel.

3 - Evaluer l’effet des ENS sur les cibles, qui se traduira par un impact immédiat et
parfois par un impact différé. Ces impacts induisent des états de la cible dont certains seront
donc différés et difficiles à prévoir.

4 - La détermination de l’acceptabilité se fait par négociation de tous les acteurs

comme nous l’avons vu ci – avant.

5 – La recherche des moyens de neutraliser les événements conduisant à l’ENS

constitue la prévention des risques et consiste à identifier les barrières de prévention au niveau

47
du système source, de l’événement principal et des effets induits, et les barrières de protection
au niveau des systèmes cibles.

BARRIERES DE BARRIERES DE
NEUTRALISATION NEUTRALISATION
DES EVENEMENTS DES EVENEMENTS
INITIATEURS Champs de RENFORÇATEURS

danger
BARRIERES DE
NEUTRALISATION
Système Système
DES EVENEMENTS
source INDUITS cible

BARRIERES DE BARRIERES DE BARRIERES DE

NEUTRALISATION DE NEUTRALISATION PROTECTION
L'EVENEMENT INITIAL DE L'EVENEMENT DE LA CIBLE
PRINCIPAL

APPROCHE DETERMINISTE OU DE DIMENSIONNEMENT

Le modèle est directement opérationnel, à savoir qu’il permet d’identifier

l’enchaînement des événements conduisant à un ENS.

Il est alors possible d’illustrer cette propriété sur un exemple concret.

Prenons le cas d’une sphère de stockage de propane liquéfié (celle de l’installation
de dépotage décrite en annexe ). Cette sphère est génératrice de dangers liés au fait qu’elle
est sous pression. Il peut apparaître notamment une fissure sur son enveloppe (le contenant )
due à un événement initiateur interne (une corrosion par exemple ) ou externe (un choc dû à
un coup de foudre initié par un orage qui est un processus de l’environnement ). L’événement
principal est une émission de matière, énergie, information. Pour déterminer quelles cibles
seront atteintes, il sera nécessaire d’évaluer les caractéristiques de l’événement principal et de
connaître la distance entre source et cible.
Cet exemple montre qu’il est possible de mettre en œuvre le modèle Mads
pour identifier à priori les dangers d’un élément d’installation et par conséquent les
risques si l’on connaît les cibles dans un contexte donné. En construisant des typologies
des différents éléments du modèle dans le contexte (typologie des systèmes sources,
typologie des systèmes cibles, typologie des champs, typologie des flux de danger) on
peut s’y référer pour identifier de manière systématique les dangers et les risques.
C’est cette construction qui est mise en œuvre dans la méthode MOSAR.

48
 EXEMPLE : La sphère de propane en tant que système source de danger lié à la
pression
initiè par un processus de
l'environnement : orage EVENEMENT FINAL :
EVENEMENT INITIATEUR :
. impact de l'onde de pression surles
.externe : choc
objets rencontrés
.interne : corrosion
. formation d'un mélange explosif
EVENEMENT INITIAL : propane - air
fissuration

EFFET RENFORCATEUR :
la rencontre , par le nuage de
mélange , d'une énergie
d'allumage présente dans une
SPHERE DE cible rencontrée , déclenche
SYSTEME une explosion
SOURCE PROPANE
EVENEMENT PRINCIPAL:
DE émission : SYSTEMES CIBLES
P à t ° amb = 8 bars
DANGER . de matière : gaz et , ou liquide
. d'énergie : onde de pression POSSIBLES :
. d'information : dépend des capteurs , ceux situés dans l'environnement plus ou
comme par exemple le bruit , le capteur étant moins proches :
l'oreille . individus ( opérateurs )
. populations ( lotissements )
. écosystèmes ( rivière )
. matériels ( wagons , ateliers ..)
ceux pouvant être atteints sont fonction :
. des caractéristiques de l'évènement
ENVIRONNEMENT : principal ( quantités de matières émises ,
tapissé de processus : . circulation de trains énergie de l'onde ....)
. fonctionnement de l'atelier . de leur distance au système - source
circulation sur la route

CHAMPS :
. règlementaire : la sphère est soumise à des contraintes règlementaires de construction et de surveillance et l'éloignement
cibles peut être aussi règlementé
. économique : la politique de maintenance joue sur l'état de la sphère . Le champ économique peut être un champ de danger s ’il intervient
négativement.
- physico-chimique: La corrosivité de l ’air qui est un champ de danger.

4 - 3 LE DEVELOPPEMENT DE TYPOLOGIES :

Le modèle permet de décrire et développer :

Des typologies des systèmes sources de danger propres à chaque contexte

Des typologies des cibles
Une typologie générale des événements principaux
Une typologie générale des champs. Parmi ces derniers apparaissent des champs
cindynogènes (de danger), développés notamment dans les travaux de l’Institut Européen de
Cindynique (voir ci - après).
La structure des champs dépend des couples systèmes sources - systèmes cibles.

4 - 3 - 1 Typologie des systèmes sources de danger :

Deux exemples sont donnés en annexe. L’un concerne les systèmes sources de
dangers concernant le milieu industriel. Cette typologie, qui constitue une grille de référence
dans l’analyse de risques, est le résultat d’une vingtaine d’années d’applications. Elle est
maintenant bien stabilisée mais reste cependant ouverte. L’autre concerne les systèmes
sources de danger en milieu urbain. Elle a la même structure que la première mais des
contenus différents.
Il est possible de développer des typologies propres à des contextes spécifiques ou
à des risques spécifiques.

4 - 3 - 2 Typologie des systèmes cibles :

Elle concerne :

Un ou des individus

49
 Une ou des populations (ensembles d’individus de même espèce )
Un ou des écosystèmes (association d’individus ou de populations d’espèces
différentes ou de même espèce )
Un ou des systèmes matériels ou symboliques (savoirs et savoir-faire)

4 - 3 - 3 Typologie des flux, ou événements principaux :

Le danger étant modélisé comme TYPOLOGIE DES FLUX

un processus, le flux sera de la matière, de
l’énergie, de l’information. Cette dernière dans
sa caractérisation, dépend des capteurs, les FORME ESPACE TEMPS
capteurs humains permettant notamment de Nature Caractéristiques
spatiales
Caractéristiques
temporelles
caractériser des bruits, odeurs, flux
thermiques...... Dans l’espace le flux sera Matière Energie Informa Ponctuel Diffus
Chroni
Limité
dans le
que
ponctuel ou diffus. Dans le temps, il sera tion temps

chronique ou à effet limité.

Dans un champs de dangers spécifique
Les flux sont situés dans des
champs spécifiques dont certains sont des champs de danger.
Exemples :
L’émission de gaz sous pression sera de la matière et de l’énergie (onde de
pression ) qui diffuseront dans l’espace. Elle sera limitée dans le temps. La vitesse du vent
dans le contexte de l’émission sera un effet de champs de danger qui interviendra sur la
dispersion et donc sur ses effets sur les cibles.
Un rayonnement sera de l’énergie (onde) et de la matière (corpuscule associé) qui
diffuseront dans l’espace ou seront ponctuels (rayonnement collimaté). Ils seront limités dans
le temps car si l’on neutralise leur source d’émission, ils disparaissent. La réflexion, la
réfraction, l’absorption de ce rayonnement dans le contexte de son émission sont des éléments
de champs de danger qui interviendront sur ses caractéristiques et donc sur ses effets sur les
cibles.
Une contamination chimique ou radioactive sera de la matière, associée à de
l’énergie pour la contamination radioactive (rayonnement). Elle sera chronique car il est
impossible de décontaminer complètement une surface contaminée.

L’environnement est tapissé de processus de différentes natures, générateurs et

soumis à des champs. Parmi ces derniers, certains sont des champs cindynogènes qui ont été
développés par l’Institut Européen de Cindynique (1). Les interactions de ces processus sont
la source d’événements participant à la genèse d’ENS. Ce sont aussi ces interactions qui
constituent les scénarios d’ENS, notamment les scénarios dits de proximité ou scénarios
dominos.

50
 P1 C1
P2 C2
C3 C4 L'ENVIRONNEMENT
TAPISSE DE PROCESSUS
P1 , P2 , P3 , P4 , DE
DIFFERENTES NATURES
SS SC ( production , danger ,
économiques , sociaux ,
psychologiques , naturels ,
réglementaires ......)
C1 C2 C3 GENERATEURS ET
P3
SOUMIS A DES CHAMPS
P4 C1 , C2 , C3, C4

C1
C2
STRUCTURATION DU CHAMP ET DE
L'ENVIRONNEMENT MADS/INSTN AEG/IUT BORDEAUX

D’autre part le modèle est réversible car un système source peut devenir un
système cible et vice-versa. Ceci permet de faire apparaître des scénarios par enchaînement de
processus de danger et de rassembler ces scénarios dans la construction d’arbres logiques
centrés sur un même ENS. Cette technique est mise en œuvre dans la méthode MOSAR.

I1

ENVIRONNEMENT
SPECIFIQUE P1 C1 EVENEMENT
P2 C2
PRIMAIRE

CHAMPS C3 C4
DE DANGER E1
Effets des champs C ’est la recherche des
de danger interactions entre ces
SS SC différents processus qui
permet de construire des
scénarios ( d ’accidents,
SYSTEME SYSTEME d ’agression).
SOURCE CIBLE C1 C2 C3
P3
EVENEMENT SECONDAIRE
P4
Flux de danger

C1
C2

LE MODELE MADS EST REVERSIBLE

On a donc là une dimension diachronique du risque.

51
 Scénarios courts

EVENEMENT
FINAL

Scénarios longs

CONCATENATION DES SCENARIOS

L’application du modèle MADS conduit ainsi à la mise en œuvre de l’outil arbre logique

4 – 3 – 4 Typologie des champs :

La typologie générale des champs est la suivante :

Champs physico-chimiques naturels ou artificiels (scientifiques et techniques)

Champs psychologiques
Champs économiques
Champs sociologiques
Champs politiques
Champs juridico-réglementaires (ce sont des champs transversaux)
Champs culturels
Champs organisationnels

En entrant dans les champs on entre aussi dans un domaine de complexité.

L’Institut européen de Cindyniques a développé une approche qui revient à
structurer les champs. Pour la comprendre modélisons les activités de l’homme,
sources de processus en interaction, n’ayant pas des finalités cohérentes et pas les mêmes axes
de valeurs, et générateurs de champs.

52
 LES SYSTEMES D’ACTIVITES DE L’HOMME, SOURCES DE PROCESSUS, EN INTERACTION, N’AYANT PAS
V1 DES FINALITES
V3 (valeur) V2 COHERENTES F
SYSTEMES
ET PAS LES
POLITIQUES
MEMES AXES
SYSTEMES DE VALEURS V
JURIDICO-ETHIQUES
ET GENERATEURS
C1 (champ) F1 (finalité) DE CHAMPS C
F2
C2
SYSTEMES
ECONOMIQUES

C5 SYSTEMES CULTURELS

F3 C3
SYSTEMES
F5 SOCIOLOGIQUES F7

Les éléments ne sont pas SYSTEMES C7

indépendants F4 SCIENTIFIQUES
C6 C4
F6
SYSTEMES
TECHNIQUES
SYSTEMES PSYCHOLOGIQUES

F8 F9
C8 C9 SYSTEMES ORGANISATIONNELS

Limiter les dysfonctionnements revient aussi à organiser les processus vers des
finalités cohérentes ayant les mêmes références de valeurs, ce qui constitue un idéal pour le
moins utopique.

Pour limiter les dysfonctionnements, organisation des

processus vers des finalités cohérentes et les mêmes
références de valeurs
Chaque axe est un champ Processus S
politiques UR
GESTION DE LA CITE A LE
V
REGLES
Processus
Les éléments ne sont juridico-éthiques
pas indépendants CULTURES
Cohérence de finalité
centrées sur les mêmes
valeurs
Processus
GESTION DES MOYENS culturels
Processus
Processus
économiques
organisationnels
ORGANISATIONS
Processus Processus
psychologiques techniques

Processus
Processus scientifiques MOYENS TECHNIQUES
sociologiques

PSYCHOLOGIE SOCIOLOGIE
CONNAISSANCES
SCIENTIFIQUES - MODELES

53
 En réduisant cette modélisation à cinq axes et cinq plans et en la centrant plus
spécifiquement sur la cindynique ou science du danger, on arrive à la modélisation de
l’Hyperespace du Danger de Georges-Yves KERVERN (de l’Institut Européen de
Cindyniques). (61)

E D
Axe épistémique Axe déontologique
(modèles) (règles)

Plan pratique Plan politique

(les processus (les processus
Plan cindynométrique technico-scientifiques de politiques Plan éthique
(les processus modélisation du risque) de gestion du (les processus juridico-éthiques
technico-scientifiques risque) de gestion du risque)
de mesure du risque)
T
Axe téléologique
(finalités)
Plan programmatique
(les processus d’organisation Plan écologique
de la maîtrise du risque) (les processus d’organisation
S de la maîtrise du risque en
Axe statistique (et mnésique) A
fonction de la vision
(mémoire des faits et des chiffres) Axe axiologique
homme/nature)
(valeurs)

UNE VISION DES CHAMPS SOUS LA

FORME DE CINQ AXES ET CINQ PLANS
Les processus génèrent des champs L ’HYPERESPACE DU
et chaque axe est un champ DANGER
d’après G.Y. KERVERN

E D
Axe épistémique Axe déontologique
(modèles) (règles)

Plan pratique Plan politique

Plan cindynométrique Plan éthique

T
Axe téléologique
(finalités)
Plan programmatique
Plan écologique

S
Axe statistique (et mnésique) A
(mémoire des faits et des chiffres) Axe axiologique
(valeurs)

L ’HYPERESPACE DU
DANGER
d’après G.Y. KERVERN

54
Dans les applications, G.Y Kervern en déduit les déficits systémiques cindynogènes, les
dissonances cindynogènes (visions différentes du même contexte par des acteurs différents
assimilables en première analyse aux ‘’images mentales’’), et les ambiguités cindynogènes.

E D
Axe épistémique Axe déontologique
(modèles) (règles)

Plan pratique Plan politique

Plan cindynométrique Plan éthique

T
Axe téléologique
(finalités)
Plan programmatique
Plan écologique

S
Axe statistique (et mnésique) A
(mémoire des faits et des chiffres) Axe axiologique
(valeurs)
Sur chaque axe ou plan, on note:
les absences ou lacunes
les oublis
les disjonctions
les blocages L ’HYPERESPACE DU DANGER
les dégénérescences d’après G.Y. KERVERN
soit au total 27 déficits systémiques cindynogènes
Les déficits systémiques cindynogènes

D
Axe épistémique Axe déontologique
(modèles) (règles)
E2 E1 D2 D1
E D

A
T A1
S1 S Axe téléologique
(finalités)

S2 A2

Axe statistique (et mnésique)

(mémoire des faits et des chiffres) Axe axiologique
(valeurs)
E dissonance épistémique
S dissonance statistique
T dissonance téléologique

D dissonance déontologique L ’HYPERESPACE DU DANGER

(d’après G.Y. KERVERN)
A dissonance éthique
Les dissonances cindynogènes

55
 Ambiguïté épistémique Ambiguïté déontologique

Ambiguïté téléologique

Ambiguïté mnésique
Ambiguïté axiologique

L ’HYPERESPACE DU DANGER
(d’après G.Y. KERVERN)
Les ambiguïtés cindynogènes

Il est donc possible d’intégrer cette modélisation des champs au modèle MADS.

ENVIRONNEMENT
SPECIFIQUE

Typologie
des champs
de danger
E D
T
S
A Evénement renforçateur
Evénement initiateur interne au système cible
interne au système source
externe ( environnement )
externe ( environnement )

Système Système
Source Cible
SOURCE DE
FLUX DE EFFET DU FLUX
DANGER DE DANGER
Flux de danger

LE MODELE MADS

56
 4 – 4 – QUELQUES DEVELOPPEMENTS ET APPLICATIONS :

4 – 4 – 1- l’hyperespace du danger :

la rupture de l’axe des finalités (les techniciens n’ont pas les mêmes finalités que les
sociologues) apparaît clairement dans la plupart des affaires récentes (vache folle, ogn.... )
D’après Claude Frantzen, Président de l’Institut Européen de Cyndinique lors de l’Ecole d’Eté
d’Albi en Septembre 1999.

E D E D
Domaine Domaine RUPTURE
technique des sciences DE L’AXE
humaines TELEOLOGIQUE
T T
A
S S A
modèles
D
TECHNICIEN:
YAKA!
SOCIOLOGUE:
ILS SONT COMME CA !
faits
A

L ’HYPERESPACE DU DANGER
La rupture de l ’axe téléologique
dans les récentes affaires
(d’après C. FRANTZEN)

4 – 4 – 2 – Le modèle MADS et ses développements applicatifs:

La décomposition d’un système complexe en trois sous-systèmes (SS de pilotage, SS

d’information et SS opérant) conduit à une vision ‘’fractale’’ du modèle MADS.

CHAMPS

SSD SC

SP SP

M
E
I
SO SI SO SI

Le Modèle MADS sous sa forme systémique développée ou forme « Fractale »

Applic

57
 ation à la décomposition systémique d’une installation.
Intéressons-nous à la décomposition de l’installation de dépotage de propane à
différents niveaux.

Pour le sous-système pompe:

1 - Quel est son sous-système opérant ?
Réponse : alimentation électrique, moteur, corps de pompe avec sa turbine.
SS DE 2 - Quel est son sous-système de pilotage ?
PILOTAGE Réponse : l ’ordinateur de contrôle-commande.
la direction 3 - Quel est son sous-système d ’information ?
de l ’atelier Réponse : la disquette de programme

IN ST A L L AT IO N D E DE PO T A G E brides Programme
s oupap e

sphère

bras mobile
tuyau s ouple

opér ateur
canalisations f ixes
wagon

S yst èmes d e
con nexio n
pompe
V anne tr ois voies p our p ré lève ment
contrôle qualité
Corps de pompe
avec sa turbine
SS OPERANT SS D ’INFORMATION
le dépotage alimentant le contrôle-commande
l ’atelier
Moteur Ordinateur de contrôle-commande
Alimentation
Socle électrique

L ’ATELIER DECOMPOSE EN TROIS SOUS-SYSTEMES PRINCIPAUX

LA POMPE ET SA COMMANDE DECOMPOSES EN TROIS SOUS - SYSTEMES

Application du modèle MADS, avec les champs modélisés en hyperespace de

danger, à deux accidents : Ténerife et Flixborough.

SP
CERVEAU ENVIRONNEMENT
SPECIFIQUE
PILOTE PISTE ET BRETELLES
AUTRES AVIONS
MATERIELS UTILITAIRES
ET DE SECURITE
SO SI
SYSTEME
ORGANISME
NERVEUX

E D
T
S TYPOLOGIE DES
A
CHAMPS DE DANGER
SP SP
ORDINATEUR CENTRAL TOUR DE CONTROLE
PILOTE
SYSTEME COMMANDE TECHNOLOGIE
SO
AVION
SI SI
SO
MECANISMES
SYSTEME
MOTEURS MATERIELS COMMUNICATIONS
CONTRÖLE
DE COMMUNICATION RADIOS
RADARS INFO RADARS

ACCIDENT DE TENERIFE : modélisation

58
 Brouillard
Encombrement (période
SP d’attentats)
CERVEAU ENVIRONNEMENT
SPECIFIQUE
PILOTE A Sur de lui
PISTE ET BRETELLES
AUTRES AVIONS
MATERIELS UTILITAIRES
ET DE SECURITE
SO SI
SYSTEME
ORGANISME
NERVEUX

E D
T
S TYPOLOGIE DES A
CHAMPS DE DANGER
SP SP surchargée

ORDINATEUR CENTRAL TOUR DE CONTROLE

PILOTE
SYSTEME COMMANDE TECHNOLOGIE
SO
AVION
SI SI
SO
MECANISMES
SYSTEME
MOTEURS
CONTRÖLE
Matériels MATERIELS COMMUNICATIONS
éclairage DE COMMUNICATION RADIOS 2/3 fréquences
pistes hors RADARS INFO RADARS hors service
service

ACCIDENT DE TENERIFE : modélisation des déficits cindynogènes

Brouillard
Encombrement (période
SP d’attentats)
CERVEAU ENVIRONNEMENT
Connaît la piste SPECIFIQUE
PILOTE B n’en fait qu ’à sa tête PISTE ET BRETELLES
AUTRES AVIONS
MATERIELS UTILITAIRES
ET DE SECURITE
SO SI
SYSTEME
ORGANISME
NERVEUX

E D
T
S TYPOLOGIE DES
A
CHAMPS DE DANGER
SP SP surchargée

ORDINATEUR CENTRAL TOUR DE CONTROLE

PILOTE
SYSTEME COMMANDE TECHNOLOGIE
SO
AVION
SI SI
SO
MECANISMES
SYSTEME
MOTEURS
CONTRÖLE
Matériels MATERIELS COMMUNICATIONS
éclairage DE COMMUNICATION RADIOS 2/3 fréquences
pistes hors RADARS INFO RADARS hors service
service

ACCIDENT DE TENERIFE : modélisation des déficits cindynogènes

59
 PILOTE A Règles Règles
Modèles Ne répète pas PILOTE B Règle enfreinte:
les ordres Modèles pilote n’obéit
pas à la tour de
contrôle.
Ne répète pas les
ordres.
Finalité: rattraper le retard Finalité : rattraper le retard

Finalité Finalité

Pilote Ethique
Données sur de lui: Données Ethique
n’écoute pas
le co-pilote
Règles

Modèles TOUR DE CONTROLE Ne fait pas

répéter les
ordres
Finalité : limiter la surcharge

Finalité
Ethique
Données

ACCIDENT DE TENERIFE : modélisation des champs de danger

CHAMPS

E D

SSD T
SC
USINE S
A

SP
Direction INDIVIDUS : personnels
POPULATIONS :habitants
M Missiles
ECOSYSTEMES: champs
E Onde
arbres
d’explosion
animaux
I Bruit entendu MATERIELS : usine
SO SI à 50 km
maisons
Chaîne Service de
de réacteurs maintenance Événements
renforçateurs:
- source d ’allumage
- laminage de la flamme
par les structures
- trop de naphta stocké
Le Modèle MADS sous sa forme systémique développée ou forme « Fractale »
appliqué à l’accident de Flixborough

60
 ACCIDENT DE FLIXBOROUGH : Le système source de danger

SSD USINE
SP DIRECTION

Impératifs
SP Directeur de production
Décision de modification

hiérarchie SO SI organisation
règles internes

SO CHAINE DE REACTEURS SI SERVICE ENTRETIEN

EXPLOSION
SP Ingénieur SP Chef Intérim peu
d’exploitation service qualifié dans la
maintenance
réacteurs SO SI Contrôle- SO SI
commande
Ingénieurs Documents techniques
et techniciens normes Non utilisés
événement initiateur Chef entretien
interne : petite fuite Rupture Émission surchargé
événement initiateur de soufflets de cyclohexane
externe : erreur de modification
(canalisation coudée)

Modèles mécaniques
modèles non mis en œuvre
Pas de schémas ni calculs
Absence de modélisation
Infraction aux règles
règles de stockage (2 millions de litres de
naphta au lieu de 40000 l)

Plan pratique : Plan politique:

Plan cindynométrique :
- pas de mesure du danger
- pas de conscience du danger
- pas d’analyse de la cause des
fissures
- formation insuffisante - politique de production
- tube 500 au lieu de 700 - pas de politique d’inspection
- pas de test
- pas de vérification Plan éthique : pas d’éthique formulée

finalités Produire avant tout

Sous - production

Plan programmatique :
Plan écologique :
- pas d’organisation suffisante
pas d’objectif
- pas d’essai
- pas de maintenance systématique

données On ne tient pas compte éthique

des fuites (alertes) Sécurité non prioritaire

ACCIDENT DE FLIXBOROUGH : les champs de danger

61
 Un exemple d’application du modèle MADS à la modélisation des efforts faits
pour diminuer les accidents de circulation et de transport.

CHAMPS DE DANGER

AMELIORATION CAMPAGNES MEDIATIQUES

DE L ’INFRASTRUCTURE DE SENSIBILISATION
ROUTIERE

ELEMENTS D ’ABSORPTION
D ’ENERGIE ET DE MATIERE
(glissières et barrières,
ceinture de sécurité) SYSTEME CIBLE
SYSTEME SOURCE
CONDUCTEUR
VEHICULE
MATERIEL (autre
MATIERE
véhicule)
ENERGIE

Caractéristique de AIRBAG
l’énergie ( limitation de AMELIORATION
AMELIORATION (absorption FORMATION
vitesse) DU VEHICULE
DU VEHICULE d ’énergie
d ’impact)

AMELIORATION DES CONDITIONS DE SECURITE ROUTIERE

CHAMPS DE DANGER

AMELIORATION
DE L ’INFRASTRUCTURE
ROUTIERE INFORMATION
DU PUBLIC
CHOIX DES PARCOURS
CONNAISSANCE
DES CONDITIONS
METEOS

SYSTEME SOURCE
SYSTEMES CIBLES
VEHICULE
CONDUCTEUR
MATIERE
ENERGIE POPULATIONS
INFORMATION

EVALUATION FORMATION
MEILLEURE
DE DIFFUSION DES CONDUCTEURS
CONNAISSANCE
DE L ’IMPACT
AMELIORATION BALISAGE (doses ou concentrations/effets)
DU VEHICULE DU PRODUIT

AMELIORATION DES CONDITIONS DE TRANSPORT DE MATIERES

DANGEREUSES PAR LA ROUTE

62
 REMARQUES :
La prise en compte du temps dans le modèle MADS fait apparaître par symétrie
deux notions intéressantes : sur le système source, la prise en compte des états du système
source. C’est l’approche par exemple d’EDF pour un système complexe comme un réacteur
nucléaire. Sur le système cible, c’est la mise en évidence du principe de précaution.

ENVIRONNEMENT
SPECIFIQUE

Champs de
dangers

E D

T A
Evénement initiateur S Evénement renforçateur
interne au système source interne au système cible
externe ( environnement ) externe ( environnement ) L’application du
modèle Mads conduit ainsi à
Système Système la mise en œuvre de l’outil
Source Cible réseaux.
SOURCE DE
FLUX DE EFFET DU FLUX
DANGER DE DANGER
Flux de danger
Impact immédiat

LESYSTEME SOURCE PREND LE SYSTEME CIBLE

DES ETATS DANS LE TEMPS PASSE PAR DES ETATS
(analyse par états) DANS LE TEMPS DONT CERTAINS
SONT DIFFICILEMENT PREVISIBLES
(d ’où le principe de précaution)

LE MODELE MADS ET LE TEMPS

Il serait aussi
intéressant de mettre en
ENVIRONNEMENT évidence les effets réversibles
SPECIFIQUE de chacun des éléments du
CHAMPS
modèle. Par exemple le système
source subit l’influence des
champs notamment de danger
mais aussi d’autres champs qui
ne sont pas spécifiquement de
danger et réciproquement il peut
SYSTEME
SOURCE
SYSTEME influencer voire modifier ces
CIBLE
champs. Il en est de même pour
le système cible et le flux.
Flux de danger
On voit bien à la
fois la complexité de ces
approches et la puissance des
modèles systémiques.

63
 5 - TYPOLOGIE DES ETUDES DE
DYSFONCTIONNEMENTS :

La symétrie de structure des systèmes sources et des systèmes cibles fait qu’un
système source peut devenir système cible et vice-versa.
Il est donc possible de former des couples entre système source et système cible
qui permettent d’obtenir une première organisation des mots, donc des contenus
correspondants, donc des métiers qui se sont développés avec ces contenus.
Cette première vision est appelée point de vue.
Par exemple, les points de vue de la relation installation - opérateur ne sont pas les
mêmes que ceux de la relation opérateur - installation.

SYSTEME SOURCE SYSTEME CIBLE POINTS DE VUE

INSTALLATION INSTALLATION Sûreté de fonctionnement

Sécurité des biens
INSTALLATION OPERATEUR Ergonomie
Sécurité des installations
OPERATEUR INSTALLATION Fiabilité humaine
Malveillance interne
INSTALLATION POPULATION Hygiène et santé publiques
Hygiène et sécurité de
l’environnement
POPULATION INSTALLATION Malveillance externe
Sécurité publique
INSTALLATION ECOSYSTEME Hygiène et sécurité de
l’environnement
Ecologie appliquée
Génie sanitaire
ECOSYSTEME INSTALLATION Risques naturels, étude de
site, urbanisme.
D’autre part, pour chaque point de vue il existe un ‘’ angle d’attaque, dit aussi
‘’ angle d’observation ‘‘, différent suivant que l’on privilégie la source ou la cible.
Par exemple, dans l’étude de l’impact d’une installation sur un opérateur, si l’on
privilégie l’installation, on fait de la sécurité des installations ; si l’on privilégie l’opérateur,
on fait de l’ergonomie. Dans la relation inverse, c’est à dire dans l’étude de l’influence d’un
opérateur sur une installation, si l’on privilégie l’opérateur, on fait de la fiabilité humaine ; si
l’on privilégie l’installation, on fait de la malveillance interne.
Ceci est une autre façon de montrer que la connaissance s’organise autour du
modèle. Les mots présentés en vrac dans le prologue participent maintenant à la structure du
modèle et prennent leur signification.

64
 Champs de Champs de
danger danger

Système Système Système Système

source cible source cible
Flux de danger Flux de danger
INSTALLATION OPERATEUR
OPERATEUR INSTALLATION

Sécurité des installations Ergonomie

Fiabilité humaine Malveillance interne

Champs de
Champs de
danger
danger
Système Système
Système Système
source cible
Flux de danger source cible
Flux de danger
INSTALLATION POPULATION
POPULATION INSTALLATION

Sécurité industrielle Hygiène et santé publiques Sécurité publique Malveillance externe

Génie sanitaire Epidémiologie

Champs de
danger Champs de
danger
Système Système
source cible Système Système
Flux de danger source cible
Flux de danger
INSTALLATION ECOSYSTEME ECOSYSTEME INSTALLATION

Hygiène et sécurité de l'environnement Etude de site

Ecologie appliquée Risque naturel
Génie sanitaire ( implantation ) , urbanisme

POPULATION

INSTALLATION
Hygiène et santé publiques

Génie sanitaire

ECOSYSTEME

Ecologie appliquée

65
 6 - LE CORPS DE CONNAISSANCES TRANVERSALES :

La modélisation du danger et du risque permet de définir le corps de

connaissances transversales nécessaire à sa compréhension et à sa gestion, en faisant
apparaître les articulations entre Science du Danger, Techniques du Danger, Disciplines
Appliquées et Disciplines Fondamentales
1 Techniques du danger
0 Science du danger
Sécurité des installations
Sûreté nucléaire
1 Techniques du danger Protection physique
Ergonomie
Ecologie appliquée
Hygiène et santé publiques
2 Disciplines appliquées Hygiène et sécurité de l'environnement
Sûreté de fonctionnement

3 Disciplines fondamentales
3 Disciplines fondamentales
2 Disciplines Appliquées

Physiologie du travail Physiologie

Ecologie Toxicologie Economie
Ingéniérie Médecine Biochimie
Epidémiologie Psycho-sociologie du travail Physique Droit
Sociologie des organisations
Droit du travail Chimie Psychologie
Droit des établissements classés Sociologie
Droit nucléaire Gestion Mathématiques

La Science du Danger s’articule avec

des Techniques du Danger qui se sont développées dans l’histoire.

Les Techniques du Danger ont fait appel

aux Disciplines Appliquées qui ont fait appel aux Disciplines Fondamentales

Chaque Technique du Danger peut être caractérisée par sa Définition et ses Objectifs, les
ENS auxquels elle s’intéresse, sa Problématique, ses Outils et Méthodes, l’origine de ses
Outils et ses Mots Clés.

66
 SECURITE DES INSTALLATIONS

SECURITE ET SURETE NUCLEAIRES

PROTECTION PHYSIQUE DES INSTALLATIONS

DEFINITION ET Aptitude du système de production à fonctionner sans porter

OBJECTIFS atteinte aux quatre cibles pendant toute sa durée de vie

Accidents et/ou maladies professionnelles des opérateurs

ENS Accidents majeurs
Agression, malveillance, vol de matières statégiques

PROBLEMATIQUE
Centrée sur l’installation, Technico-juridique et normative
Approche traditionnelle : obligation de moyens
Approche systémique : obligation de résultats

METHODES MOSAR

Analyse de sûreté Nucléaire pour les installations nucléaires

ORIGINE DES Droit, Norme

OUTILS Règles de l’art, Ingénierie
Mathématiques et informatique

MOTS CLES Installation, danger, risque, malveillance, réglementation,

normalisation, phases de vie
obligation de résultats.

67
 ERGONOMIE, CONDITIONS DE TRAVAIL

DEFINITION ET Analyser le travail humain pour l’adapter à l’homme, améliorer

OBJECTIFS ses conditions de travail et la qualité des produits

ENS Mauvaises conditions de travail, astreinte, fatigue des opérateurs,

accidents dus à la fatigue.
Accidents et/ou maladies dues à l’activité professionnelle

PROBLEMATIQUE Centrée sur l’activité de l’opérateur et sur les conditions de cette

activité
Systémique, psycho-socio-technique et économique, non
normative

METHODES Méthode ergonomique (de l’analyse de la demande au diagnostic)

ORIGINE DES Psychologie, Physiologie, Ingénierie.

OUTILS Sociologie des organisations

Activité, tâche, régulation de l’activité, contrainte, astreinte,

MOTS CLES processus et organisation du travail, conception et correction.

68
 HYGIENE ET SANTE PUBLIQUES

DEFINITION ET Protéger les conditions de vie et la santé de la population

OBJECTIFS

ENS Pollutions, nuisances, accidents, catastrophes impliquant les

populations

PROBLEMATIQUE Anthropocentrique, technico-juridique, normative

Approche technique et médico-sociale

METHODES Etudes d’impact sur les populations

Epidémiologie

ORIGINE DES Physico-chimie, Microbiologie, Toxicologie

OUTILS Mathématiques/Statistiques
Génie sanitaire

MOTS CLES Pollution, réglementation, campagnes d’information, risques

diffus, épuration ........

69
 ECOLOGIE APPLIQUEE

DEFINITION ET Protéger les conditions d’existence de tous les êtres vivants

OBJECTIFS (homme compris)

ENS Pollutions, nuisances, impacts sur les écosystèmes,

Accidents, catastrophes écologiques

PROBLEMATIQUE Centrée sur l’analyse de l’interaction biotope-biocénose et sur les

effets provoqués par la pollution sur cette interaction.
Naturocentrique (l’homme est dans la nature)

METHODES Etude d’impact sur l’écosystème

Méthodes écologiques

ORIGINE DES Physico-chimie, Biologie, Ecologie

OUTILS Génie sanitaire

MOTS CLES Pollution, impact, stabilité, régulation de l’écosystème

70
 HYGIENE ET SECURITE DE L’ENVIRONNEMENT

DEFINITION ET Protéger l’environnement (populations, écosystèmes) des

OBJECTIFS établissements humains

ENS Pollutions, nuisances, incendies, explosions,

Accidents, catastrophes, effets directs sur les populations ou
indirects via les écosystèmes)

PROBLEMATIQUE Centrée sur l’analyse de l’installation dangereuse,

Anthropocentrique, technico-juridique et normative

METHODES Etude d’impact,

Etude de danger,
Ecobilan

ORIGINE DES Physico-chimie

OUTILS Mathématiques, informatique

MOTS CLES Risque, danger, pollution, déchet, épuration, risques majeurs et

diffus

71
 SURETE DE FONCTIONNEMENT

DEFINITION ET Aptitude d’un objet technique à assurer un service spécifié pendant

OBJECTIFS son cycle de vie sans porter atteinte aux quatre cibles

ENS Dysfonctionnement
Accident

PROBLEMATIQUE Centrée sur l’objet et sa fiabilité

Technico-juridique et normative
Obligation de résultats

METHODES Amdec, Hazop, Arbres logiques, Réseaux de Pétri, Chaînes de

Markov....(qui sont plutôt des outils)

ORIGINE DES Ingénierie, Règles de l’art,

OUTILS Norme,
Mathématiques et informatique

MOTS CLES Objet technique, disponibilité, fiabilité, maintenabilité, danger,

risque, normalisation, obligation de résultats, cycle de vie

72
 ANNEXES

ANNEXE 1 – quelques éléments d’information sur l’histoire de la

systémique.

ANNEXE 2 - Grille 1 : - systèmes sources de danger dans la

fabrication, le stockage, le transport ; de matière, énergie, information.

- Grille des systèmes sources de danger en milieu urbain.

ANNEXE 3 - Présentation générale de l’usine alimentée par

l’installation de propane.

ANNEXE 4 – quelques informations concernant le groupe MADS.

73
 ANNEXE 1

Quelques informations concernant l’histoire de la systémique :

ORIGINE DE LA SYSTEMIQUE
PARMI LES PRECURSEURS :
PARMI LES DEVELOPPEURS
Héraclite (5ème S. av. J.C.)
Pascal (17ème) EN BIOLOGIE:
Goethe (18ème)
Trentowski (Pologne 1850) Cybernétique. H. Laborit 1974
J. de Rosnay 1975
A. Bogdanov (Russie 1913) Tectologie ou systémique générale.
H. Atlan 1972
M. Petrovitch (Russie 1921)
P. Delattre . 1975. Biologie

PARMI LES FONDATEURS : DANS LES AUTRES SCIENCES

N. Wiener (E.U. 1947 mathématicien) Cybernétique. I. Prigogine et I. Stengers 1979. Thermodynamique

L. Von Bertallanfy (E. U. 1943. 1968.) Biologie - Systémique. J. Von Neumann . 1968. Automatismes
R. Ashby (E. U. 1956) Biologie - Systémique.
Warren Mac Culloch (E. U. 1956) Biologie - Systémique. EN ECONOMIE
Jw. Forrester (E. U. 1949 M.I.T.) Théorie de l’entreprise.
C. E. Shannon et W. Weaver (E. U. 1960) Théorie mathématique de F. Perroux. 1977
l’information) J. Lesourne. 1977
H. Simon (E. U. 1969) Economie

EN ORGANISATION DE L’ENTREPRISE

J.L. Le Moigne 1977

J. Mélèze. 1968
M. Crozier. 1977

EN PSYCHO - SOCIOLOGIE

Watzlawick. 1972
Bateson . 1979

EN EPISTEMOLOGIE SYSTEMIQUE

E. Morin. 1977
J. L. Le Moigne. 1977

74
 ANNEXE 2

GRILLE 1
SYSTEMES SOURCES DE DANGER

dans la fabrication, le stockage, le transport ; de matière, énergie, information

A - SYSTEMES SOURCES DE DANGERS D’ORIGINE MECANIQUE

A - 1 - SYSTEMES SOUS PRESSION

- de gaz ou vapeur
- hydraulique

A - 2 - SYSTEMES SOUS CONTRAINTES MECANIQUES (autres que la pression

)

A - 3 - SYSTEMES EN MOUVEMENT

- solides
- liquides
- gaz

A - 4 - SYSTEMES NECESSITANT UNE MANUTENTION

- manuelle
- mécanique

A - 5 - SYSTEMES SOURCES D’EXPLOSIONS D’ORIGINE PHYSIQUE

( autres que A1 )
- implosion
- flash électrique
- BLEVE
- mélange de liquides à des températures très différentes
- caléfaction

A - 6 - SYSTEMES SOURCES DE CHUTE DE HAUTEUR (éléments en hauteur

et accès en hauteur )

A - 7 - SYSTEMES SOURCES DE CHUTE DE PLAIN-PIED (encombrement au

sol, dénivellations.....)

A - 8 - AUTRES SYSTEMES SOURCES DE BLESSURES (objets coupants,

piquants, contondants......)

A - 9 - SYSTEMES SOURCES DE BRUIT ET DE VIBRATIONS

75
B - SYSTEMES SOURCES DE DANGER D’ORIGINE CHIMIQUE
( produits utilisés, produits de réaction, contacts avec matériaux )

B - 1 - SYSTEMES SOURCES DE REACTIONS CHIMIQUES

B - 2 - SYSTEMES SOURCES D’EXPLOSIONS

- en milieu condensé
- en phase gazeuse

B - 3 - SYSTEMES SOURCES DE TOXICITE ET D’AGRESSIVITE

B - 4 - SYSTEMES SOURCES DE POLLUTION ET D’ODEURS

B - 5 - SYSTEMES SOURCES DE MANQUE D’OXYGENE

C - SYSTEMES SOURCES DE DANGER D’ORIGINE ELECTRIQUE

C - 1 - SYSTEME METTANT EN OEUVRE DE L’ ELECTRICITE A COURANT

CONTINU OU ALTERNATIF

C - 2 - SYSTEMES SOURCES D’ELECTRICITE STATIQUE

C - 3 - SYSTEMES CONDENSATEURS DE PUISSANCE ELECTRIQUE

C - 4 - SYSTEMES GENERATEURS DE HAUTES FREQUENCES

D - SYSTEMES SOURCE DE DANGER DE DEVELOPPEMENT

D’INCENDIE

D - 1 - SYSTEMES SOURCES D’ALLUMAGE (nature, type, puissance)

D - 2 - SYSTEMES SOURCES LIES AUX CLOISONNEMENTS (présence ou non

présence, type, résistance au feu, distances entre sous-systèmes)

D - 3 - SYSTEMES SOURCES LIES AUX MATERIAUX (nature, mise en œuvre,

réaction au feu, charge thermique)

D - 4 - SYSTEMES SOURCES LIES A LA VENTILATION (présence ou non

présence, nature, débit)

D - 5 - SYSTEMES SOURCES LIES A L’EXTINCTION (présence ou non

présence, nature)

76
E - SYSTEMES SOURCES DE DANGERS LIES AUX RAYONNEMENTS

E - 1 - SYSTEMES SOURCES DE DANGERS LIES RAYONNEMENTS

IONISANTS

- systèmes sources d’irradiation

- systèmes sources de contamination
- systèmes sources de criticité nucléaire
- systèmes sources liés à l’évacuation d’énergie radioactive

E - 2 - SYSTEMES SOURCES DE RAYONNEMENTS UV - IR - VISIBLE

E - 3 - SYSTEMES SOURCES DE RAYONNEMENT LASER

E - 4 - SYSTEMES SOURCES DE RAYONNEMENT MICROONDES

E - 5 - SYSTEMES SOURCES DE CHAMPS MAGNETIQUES INTENSES

F - SYSTEMES SOURCES DE DANGER DE NATURE BIOLOGIQUE

F - 1 - SYSTEMES SOURCES DE DANGER LIES AUX MICROORGANISMES

( VIRUS, BACTERIES ), et aux PRIONS

F - 2 - SYSTEMES SOURCES DE DANGER LIES AUX MODIFICATIONS

GENETIQUES ANIMALES ET VEGETALES

F - 3 - SYSTEMES SOURCES DE DANGER LIES AUX ANIMAUX

F - 4 - SYSTEMES SOURCES DE DANGER LIE AUX VEGETAUX

F - 5 - SYSTEMES SOURCES DE DANGER LIES AU COMPORTEMENT

HUMAIN
- en situation normale (on modélise l’opérateur comme un
sous- système d’une installation )
- en situation de malveillance (il faut connaître le scénario )

H - SYSTEMES SOURCES DE DANGER LIES A L’ENVIRONNEMENT

ACTIF

H - 1 - SYSTEMES SOURCES DE DANGER LIES A L’ENVIRONNEMENT

ACTIF ARTIFICIEL
- modes de transports
- installations industrielles
- barrages

77
 H - 2 - SYSTEMES SOURCES DE DANGER D’ORIGINE NATURELLE
- géologiques :
- séismes
- glissements de terrain
- volcanisme

- climatiques :
- avalanches
- Tempêtes, cyclones, tornades, ouragans, coups de vent
- brouillard
- sécheresse
- inondations
- feux de forêts
- foudre
- gel
- irradiation solaire

- déséquilibres écologiques

- Epidémies, pandémies

I - SYSTEMES SOURCES DE DANGER D’ORIGINE ECONOMIQUE

ET SOCIALE

- finances
- migrations
- conflits
- criminalité - violence
- grands rassemblements
.

78
 GRILLE 1
SYSTEMES SOURCES DE DANGER

EN MILIEU URBAIN

A - SYSTEMES SOURCES DE DANGERS D’ORIGINE MECANIQUE

A - 1 - SYSTEMES SOUS PRESSION

- Stockages sous pression aériens

- Canalisations d’eau souterrains

A - 2 - SYSTEMES SOUS CONTRAINTES MECANIQUES (autres que la pression

)
- Pylônes – Lignes électriques – Câbles de téléphériques -
- Structures diverses – Echafaudages –
Ponts – Excavations souterraines
- Carrières
- Structures en construction
- Chapiteaux

A - 3 - SYSTEMES EN MOUVEMENT

- Circulations véhicules de transport

- Fluides
- Engins de manutention et de travaux publics

A - 4 - SYSTEMES NECESSITANT UNE MANUTENTION

- Manutention mécanique

A - 5 - SYSTEMES SOURCES D’EXPLOSIONS D’ORIGINE PHYSIQUE

( autres que A1 )
- Lignes haute tension aériennes et souterraines
- Transformateurs électriques
- Stockages sources de BLEVES

A - 6 - SYSTEMES SOURCES DE CHUTE DE HAUTEUR (éléments en hauteur

et accès en hauteur )
- Immeubles
- Clochers
- Minarets
- Balcons suspendus et éléments en surplomb

79
 A - 7 - SYSTEMES SOURCES DE CHUTE DE PLAIN-PIED (encombrement au
sol, dénivellations.....)
- Dénivellations et circulations
- Tranchées et excavations
- Escaliers
- Encombrement des circulations

A - 8 - AUTRES SYSTEMES SOURCES DE BLESSURES (objets coupants,

piquants, contondants......)
- Equipements des passages souterrains
- Poteaux, Panneaux,.......

A - 9 - SYSTEMES SOURCES DE BRUIT ET DE VIBRATIONS

- Circulations
- Travaux
- Sonos

B - SYSTEMES SOURCES DE DANGER D’ORIGINE CHIMIQUE

( produits utilisés, produits de réaction, contacts avec matériaux )

B - 1 - SYSTEMES SOURCES DE REACTIONS CHIMIQUES

- Egouts

B - 2 - SYSTEMES SOURCES D’EXPLOSIONS

- Gaz - Gazoducs
- Liquides dans égouts
- Stockages de produits inflammables et de produits explosifs
- Transports de matières dangereuses

B - 3 - SYSTEMES SOURCES DE TOXICITE ET D’AGRESSIVITE

- Egouts
- Stockages
- Transports

B - 4 - SYSTEMES SOURCES DE POLLUTION ET D’ODEURS

- Rejets
- Chauffages
- Transports
- Industries
- Fermentations

B - 5 - SYSTEMES SOURCES DE MANQUE D’OXYGENE

- Egouts
- Structures de fermentation
- Grottes volcaniques
- Mines souterraines
- Puits

80
C - SYSTEMES SOURCES DE DANGER D’ORIGINE ELECTRIQUE

C - 1 - SYSTEME METTANT EN OEUVRE DE l’a ELECTRICITE A COURANT

CONTINU OU ALTERNATIF

- Câbles aériens ou enterrés

- Transformateurs
- Trolleys

C - 4 - SYSTEMES GENERATEURS DE HAUTES FREQUENCES

- Radars
- Emetteurs THF

D - SYSTEMES SOURCE DE DANGER DE DEVELOPPEMENT

D’INCENDIE

D - 1 - SYSTEMES SOURCES D’ALLUMAGE

- Toute source d’énergie thermique

D - 2 - SYSTEMES SOURCES LIES AUX CLOISONNEMENTS

- Distance entre immeubles

- Pare - feu

D - 3 - SYSTEMES SOURCES LIES AUX MATERIAUX

- Forêts, immeubles, maisons, herbe sèche, stockages

- ERP

D - 4 - SYSTEMES SOURCES LIES A LA VENTILATION

- Vent

E - SYSTEMES SOURCES DE DANGERS LIES AUX RAYONNEMENTS

E - 1 - SYSTEMES SOURCES DE DANGERS LIES RAYONNEMENTS

IONISANTS

- systèmes sources d’irradiation

- Gammagraphies d’ouvrages

E - 2 - SYSTEMES SOURCES DE RAYONNEMENTS UV - IR – VISIBLE

- Eclairages puissants

81
 E - 3 - SYSTEMES SOURCES DE RAYONNEMENT LASER

- Lasers décoratifs

E - 4 - SYSTEMES SOURCES DE RAYONNEMENT MICROONDES

- Ondes radio

E - 5 - SYSTEMES SOURCES DE CHAMPS MAGNETIQUES INTENSES

- Lignes HT

F - SYSTEMES SOURCES DE DANGER DE NATURE BIOLOGIQUE

F - 1 - SYSTEMES SOURCES DE DANGER LIES AUX MICROORGANISMES

( VIRUS, BACTERIES ), et aux PRIONS

F - 2 - SYSTEMES SOURCES DE DANGER LIES AUX MODIFICATIONS

GENETIQUES ANIMALES ET VEGETALES

F - 3 - SYSTEMES SOURCES DE DANGER LIES AUX ANIMAUX

F - 4 - SYSTEMES SOURCES DE DANGER LIE AUX VEGETAUX

F - 5 - SYSTEMES SOURCES DE DANGER LIES AU COMPORTEMENT

HUMAIN

- en situation de malveillance (terrorisme, bagarres )

H - SYSTEMES SOURCES DE DANGER LIES A L’ENVIRONNEMENT

ACTIF

H - 1 - SYSTEMES SOURCES DE DANGER LIES A L’ENVIRONNEMENT

ACTIF ARTIFICIEL
- aéroports, voies ferrées, canaux, fleuves navigables, routes et autoroutes,
autres modes de transport
- installations industrielles
- barrages

82
 H - 2 - SYSTEMES SOURCES DE DANGER D’ORIGINE NATURELLE
- géologiques :
- séismes
- glissements de terrain, éboulements, chutes de rochers
- volcanisme

- climatiques :
- avalanches
- Tempêtes, cyclones, tornades, ouragans, coups de vent
- brouillard
- sécheresse
- inondations
- feux de forêts
- foudre
- gel
- irradiation solaire

- déséquilibres écologiques

- Epidémies, pandémies

I - SYSTEMES SOURCES DE DANGER D’ORIGINE ECONOMIQUE

ET SOCIALE

- finances
- migrations
- conflits
- criminalité - violence
- grands rassemblements
.

83
 ANNEXE 3
Etude de risques d’une installation d’alimentation en propane
d’une usine de fabrication de tuiles en terre cuite
--------
PRESENTATION GENERALE DE L’USINE ALIMENTEE PAR
L’INSTALLATION DE PROPANE
--------------

1 – INTRODUCTION :

Cette usine fabrique des tuiles en terre cuite . Elle date de 1960. Les fours de séchage
et de cuisson des tuiles sont actuellement chauffés au fuel. Une étude d’investissement a
montré que le remplacement du fuel par le propane était techniquement possible et
financièrement rentable. L’établissement qui n’était auparavant soumis qu’à une simple
déclaration d’exploitation doit aujourd’hui demander une AUTORISATION d’exploitation,
pour la partie stockage et dépotage du propane. Cette demande, conformément à la
réglementation des Installations Classées pour la Protection de l’Environnement est adressée
au PREFET qui la fait instruire par la DRIRE.
Afin de constituer son dossier de demande, l’entreprise doit réaliser une ETUDE DE
DANGER de l’installation de dépotage, de stockage et de distribution de propane.

2 – SITUATION GEOGRAPHIQUE :

L’usine est située dans la zone industrielle d’une petite agglomération du Sud-Est de la
France. Cette zone s’étend entre la voie ferrée et la rivière sur quelques hectares. Un
lotissement a été construit de l’autre côté de la voie ferrée dans les années 1970. Le centre
ville est situé plus à l’Ouest à environ 2km.

3 – CONDITIONS CLIMATIQUES :

Climat tempéré à tendance continentale. Pluviométrie dans la moyenne nationale.

Direction principale du vent : Est . Zone non classée zone sismique.

4 – ENVIRONNEMENT DE L’USINE :

Au Nord : Voie ferrée du Sud-Est puis un lotissement.

Au Sud : Route nationale puis rivière.
A l’Est : une entreprise de mécanique.
A l’Ouest : une usine désaffectée.

5 – DESCRIPTIF DE L’USINE :

Elle comprend :
Un bâtiment administratif de type léger, construction métallique bardée.
Un atelier de fabrication de tuiles de même type que le bâtiment administratif.
Une sphère de stockage de 1000 tonnes de propane liquéfié.
Une station de dépotage des wagons.
Un parking de 60 places pour le personnel de l’usine.

84
 Une canalisation d’alimentation de l’usine en propane gazeux.
La zone de stockage et de dépotage sera située à l’Ouest des installations existantes
sur un terrain qui a été acheté dernièrement par l’entreprise. Seule cette partie nouvelle fait
l’objet de l’étude de danger.

6 – DESCRIPTION DU PROJET DE NOUVELLE INSTALLATION :

La sphère :
Capacité : 1000 tonnes de propane liquéfié.
Equipée d’un jeu de soupapes de sécurité, d’une cuvette de rétention, d’un
système d’arrosage, d’un piquage inférieur de 3 pouces, d’un piquage supérieur de 2 pouces et
d’une instrumentation de mesure de pression et de température.
La partie dépotage comprend :
Une pompe en phase liquide.
Un bras de chargement articulé.
Une cuvette de rétention.
Un ensemble de rails et aiguillage.
Le wagon de dépotage.
Une ligne 3 pouces pour la phase liquide et une ligne 2 pouces pour la phase
gazeuse.
Le wagon est la propriété de la société qui fournit le propane. Sa conception, son équipement
et son entretien sont sous la responsabilité de son propriétaire et doivent être conformes à la
Réglementation des Transports de Matières Dangereuses.

7 – CARACTERISTIQUES DU PROPANE :

Formule brute : C3H8

Formule semi-développée : CH3 – CH2 – CH3
PROPRIETES :
Etat à 20°C gaz incolore marqué par un odorant
Température de fusion - 189,9 °C
Température d’ébullition - 44 °C
Température critique 96,8 °C
Pression critique 42 bars
Température limite de surchauffe 93 °C
Tension de vapeur 8,5 bars à 20 °C, 19,2 bars à 50 °C
Masse volumique du liquide 502 kg / m3 à 20 °C
Masse volumique du gaz 1,87 kg / m3 à 20 °C
Solubilité très peu soluble dans l’eau : 6,5 vol pour
100 vol d’eau à 17,8 °C et 753 mm de Hg
Dissout les graisses, les huiles, les vernis et
provoque un fort gonflement du caoutchouc naturel.
Chaleur Spécifique gaz : 0,346 kcal/kg/°C à 15 °C avec P et T constants
liquide : 0,576 kcal/kg/°C à 0 °C
Chaleur de vaporisation 83,5 cal/g à 20 °C
Chaleur de combustion 11900 cal/g à volume constant.
Limite Inférieure d’Explosivité 2,2 %
Limite Supérieure d’Explosivité 10 %
Température d’autoinflammation 470 °C

85
 SCHEMA D ’IMPLANTATION
N
DE L ’INSTALLATION
Lotissement Lotissement
W E

S
30 m

Voie ferrée

45 m
120 m

Dépotage

Ateliers

250 m
Parking

90 m
Bâtiment administratif
70 m

30 m
Route 20 m
10 m

Rivière

86
 INSTALLATION DE DEPOTAGE

soupape

sphère

bras mobile
tuyau souple

opérateur
canalisations fixes
wagon

pompe
Systèmes de Vanne trois voies pour prélèvement
connexion contrôle qualité

BRAS MOBILE Assure la liaison entre les canalisations fixes et le wagon et le tranfert du propane du wagon à la sphère

Tuyaux souples
Raccord

Tuyauteries fixes

Dispositif de
branchement
Colonne mobile
sur le wagon
( phase gazeuse) La connexion se fait par mise en
place du bras par rotation et
branchement des deux dispositifs
sur le wagon

Le bras se corrode et s’use dans le

Dispositif de temps , surtout le tuyau mobile
branchement
Pivot
sur le wagon
( phase liquide ) Le dessin constitue l’enveloppe
Socle de l’appareil

87
 ANNEXE 4
QUELQUES INFORMATIONS CONCERNANT LE GROUPE MADS (33)

Le modèle MADS est issu d'un groupe de travail qui comprenait :

Trois enseignants de l’IUT de BORDEAUX TALENCE : Jean DOS SANTOS alors
directeur de l’IUT Hygiène, Sécurité, Environnement, Michel LESBATS, Yves DUTUIT,
enseignants dans cet IUT.
Trois ingénieurs du Commissariat à l'Energie Atomique : Jean-Michel PENALVA,
Laurent COUDOUNEAU, Pierre PERILHON.
Ce modèle a été à l'origine de l'atelier logiciel SAGACE qu'a développé
J.M PENALVA avec Laurent COUDOUNEAU. Il a été repris par J.L ERMINE (CEA) qui a
développé un modèle de capitalisation de connaissances : MKSM (les Systèmes de
Connaissances. HERMES 1996 ). Il a permis à P.PERILHON de restructurer la méthode
MOSAR.

Publication principale : GROUPE MADS. Développement d'un Modèle de Référence en

Science du Danger. 1er Colloque International de Cindinyques. CANNES 1993.

La systémique fait l'objet d'une bibliographie abondante dont une partie est regroupée en fin
d’ouvrage. L'un des ouvrages auxquels nous nous sommes beaucoup référés est celui de J.L
LE MOIGNE : Introduction à la Théorie du Système Général. PUF

88
 Chapitre 2

_____

UNE METHODE D’ANALYSE DE

RISQUES : MOSAR

Méthode Organisée et Systémique

d’Analyse de Risques

89
1 – BREF HISTORIQUE DE LA METHODE :

Cette méthode est née d’un travail de terrain d’une vingtaine d’années. Il
s’agissait d’intégrer la maîtrise des risques à tout ce qui se faisait dans un centre de recherche.
Ce dernier, le Centre d’Etudes Nucléaires de GRENOBLE (appartenant au Commissariat à
l’Energie Atomique), contrairement à ce que son nom pourrait laisser entendre, pouvait être la
source des risques les plus divers (depuis les risques mécaniques, chimiques, électriques, en
passant par les risques biologiques et bien sûr les risques nucléaires) dans ses installations de
différents types allant des laboratoires aux installations d’essais et aux pilotes de nature
industrielle.
A partir des années 1970, l’enseignement de la Maîtrise des Risques, tout
d’abord en interne, puis dans différentes institutions en 1978 (Université de GRENOBLE et
Ecoles d’Ingénieurs), oblige à structurer la démarche. Ainsi se construit progressivement
l’organisation de la méthode.
Dans les années 1980, le travail se poursuit de plusieurs manières.
Tout d’abord un essai de développement d’un Système Expert avec Jean-Michel
PENALVA (CEA) montre toute la difficulté d’une telle solution.
La rencontre avec l’équipe d’enseignants de l’IUT Hygiène et Sécurité de
BORDEAUX (Université de BORDEAUX-TALENCE) et notamment de Jean Dos Santos
amène la création du Groupe de réflexion MADS . C’est à partir du travail de ce dernier que
la méthode, par un va et vient entre les applications de terrain, notamment en milieu
industriel, l’enseignement et la réflexion, s’organise complètement et se stabilise. Ceci est
mis en œuvre notamment dans un projet pilote européen COMMET2 qui lui donne un label
européen et dans un projet européen TEMPUS avec la BULGARIE. Une deuxième tentative
de développement d’un système expert avec Jean-Louis ERMINE et l’IUT de BORDEAUX
se solde aussi par un abandon.
En 1994 l’idée de réaliser un Multimédia apparaît. Elle se concrétise en 1996 par
la commande de l’INRS pour un CEDEROM d’aide à l’enseignement de la Maîtrise de
Risques dans les Ecoles D’Ingénieurs. Une première version de ce dernier fait l’objet en 1997
d’un test dans une dizaine d’écoles avec suivi et synthèse des résultats par l’Ecole des Mines
de Saint-Etienne et la version opérationnelle est diffusée en 1999.
En 1995 l’EDF choisit la méthode pour l’analyse de risques des 150 installations
d’essais et de tests de ses trois centres (Chatou, les Renardières et Clamart).
En 1998, la SNECMA (Société Nationale d’Etude et de Construction de Moteurs
d’Avions), a décidé de tester l’application de la méthode sur les bancs d’essais de son
établissement de Melun-Villaroche. Elle se l’est appropriée à partir de formation d’une
dizaine de ‘’garants’’et la met en œuvre dans ses installations.

2 – PROBLEMATIQUE DE L’ANALYSE DE RISQUES D’UNE

INSTALLATION :

2 – 1- Définition :

Tout d’abord qu’est-ce qu’une METHODE ?

C’est un ensemble ordonné de manière logique, de principes, de règles, d’étapes,

permettant de parvenir à un résultat.

90
« La méthode, pour être mise en œuvre, nécessite stratégie, initiative, invention, art. »

Ce commentaire d’Edgar MORIN , montre que la logique ne suffit pas pour appliquer une
méthode et qu’il est nécessaire de faire appel à toutes les ressources du cerveau :
La stratégie est soutenue par la logique.
L’initiative est soutenue par des choix de chemins dans la stratégie.
L’invention est soutenue par l’innovation et donc l’introduction d’éléments
nouveaux.
L’art est soutenu par l’imagination et donc la transgression dans des domaines
différents d’appréhension du réel.

Nous avons vu que la Science du Danger a pour objet l’Evénement Non Souhaité.
L’analyse de risques va donc consister essentiellement à prévoir et prévenir ces ENS.

« L’événement est à la limite où le rationnel et le réel communiquent et se séparent. »

Cette autre phrase d’Edgar Morin renforce l’insuffisance de la logique et la

nécessité d’aller plus loin qu’une simple application de cette dernière dans toute méthode qui
veut appréhender le réel.

2 – 2 – Problématique de l’analyse de risques d’une

installation :

Le premier problème rencontré est celui de la prise en compte de l’évolution d’une

installation.

INSTALLATION
INSTALLATION

Diachronie
d’une
installation :
Installation au Evolution de l’instant Installation au
t1 à l’instant t2
temps t1 : temps t2 :
Coupe synchronique coupe synchronique

Il est possible d’imaginer faire l’analyse de risques d’une installation à un instant donné, par
exemple à t1 ou à t2. On dira que l’on a travaillé dans une coupe synchronique de
l’installation. Mais entre t1 et t2, l’installation a évolué (diachronie), autrement dit pendant
que l’on fait l’analyse à t1, l’installation évolue vers t2 et lorsque l’analyse est terminée,
l’installation n’est plus dans le même état. Il est donc impossible de faire l’analyse de risques
d’une installation dans sa diachronie. Tout au plus pourra-t-on la pratiquer à certains moments
discrets de cette dernière, que nous allons identifier, et éventuellement mettre en évidence des
risques de transition entre ces moments.

91
 Ces moments de vie d’une installation ou phases de vie, sont les suivants :

CONCEPTION (CO). C’est le travail de bureau d’études qui

définit un cahier des charges, un dossier d’appel d’offre, un descriptif, un dossier de
réalisation. Il est évidemment très intéressant d’analyser les risques en conception car on peut
intégrer leur maîtrise dès le départ et cela coûte bien moins cher que de modifier par la suite
l’installation pour des raisons de sécurité.
MONTAGE (MO). C’est la phase de réalisation qui
correspond au chantier avec des risques très spécifique notamment de manutention.
ESSAIS (ES) ou RECETTE. C’est la phase qui permet de faire
les vérifications de conformité par rapport au cahier des charges. Elle est souvent l’objet de
risques spécifiques car les éléments de l’installation peuvent être testés jusqu’à leurs
performances maximales.
EXPLOITATION. Cette phase correspond aux périodes de
mise en œuvre de l’installation. On peut la diviser en :
FONCTIONNEMENT NORMAL (on la
symbolisera par EX) : l’installation fonctionne dans ses caractéristiques nominales. Elle peut
alors générer des nuisances et être la source d’accidents.
MAINTENANCE avec :
ENTRETIEN (EN), préventif ou
curatif.
DEPANNAGE (DE)
ARRET (AR). L’installation peut
présenter des dangers spécifiques à l’arrêt.
TRANSFORMATION. Cette phase concerne les
transformations générant des risques spécifiques liés aux chantiers nécessaires pour les
réaliser ou liés à l’installation transformée.
DEMANTELEMENT (DEM) ou Déconstruction. Cette phase
correspond aussi à une phase de chantier très spécifique.

Il est donc nécessaire de préciser dans quelle phase de vie de l’installation on fait l’analyse. Il
est aussi possible de se situer dans une phase et de faire apparaître les risques principaux des
autres phases.
Une vision systémique consiste par exemple à prévoir et à maîtriser les risques apparaissant
dans les autres phases dès la phase de conception.
Comment se pose le problème de cette analyse ?

92
 M2 O2
M1

O1
M3

O3 O4

L'INSTALLATION PEUT ÊTRE MODELISEE COMME UN SYSTEME COMPOSE ESSENTIELLEMENT DE MATERIELS

M1, M2, M3 ET D'OPERATEURS O1, O2,O3,O4 , EN INTERACTION ENTRE EUX ET AVEC LEUR ENVIRONNEMENT.
LES MATERIELS ( MACHINES, STOCKAGES , APPAREILS .....) PEUVENT ÊTRE EN INTERACTION DE MANIERE
SEQUENTIELLE ( SEQUENCES LINEAIRES OU PARALLELES OU EN RESEAU ) LORSQU'ILS CONSTITUENT DES
CHAINES DE FABRICATION , OU ISOLES.
LES OPERATEURS SONT TOUS LES ACTEURS DE L'INSTALLATION DEPUIS LE RESPONSABLE JUSQU'A
L'EXECUTANT. ILS PEUVENT AUSSI ÊTRE ISOLES OU EN RELATION A TRAVERS DES HIERARCHIES LINEAIRES
OU PARALLELES , DES GROUPES EN RESEAU OU DES STRUCTURES DIVERSES.

M2 O2
M1

O1
M3

O3
O4

ANALYSER LES RISQUES D'UNE INSTALLATION VA CONSISTER ESSENTIELLEMENT A IDENTIFIER LES

DYSFONCTIONNEMENTS DE NATURE TECHNIQUE , OPERATOIRE ( OPERATIONNELLE, RELATIONNELLE ,
ORGANISATIONNELLE),DONT L'ENCHAINEMENT PEUT CONDUIRE A DES EFFETS NON SOUHAITES SUR LES
QUATRE CIBLES.
CES DYSFONCTIONNEMENTS PROVIENNENT DES MATERIELS ET DE LEURS LIAISONS AINSI QUE DE LEUR
PROXIMITE , ET DES OPERATEURS ET DE LEURS LIAISONS ENTRE EUX ET AVEC LES MATERIELS.

93
 M1 DANGER DE..........
M2 O2
M1

O1 M3
M3 DANGER DE ..........

O3
O4
O4 DANGER DE .........

L'ANALYSE DE RISQUES PEUT SE FAIRE D'UNE MANIERE PRAGMATIQUE , AUTREMENT DIT AVEC LE BON SENS,
AUTREMENT DIT AUSSI D'UNE MANIERE PEU OU PAS ORDONNEE. LE RISQUE EST EVIDEMMENT D'OUBLIER DES
CHOSES ET NOTAMMENT DES CHOSES ESSENTIELLES

Définition du contexte de l’ANALYSE :

Le contexte peut être défini par deux situations principales :

1. On s'intéresse à un objet par exemple un avion, un véhicule
automobile, une machine ......
2. On s'intéresse à un milieu plus complexe par exemple un atelier de
fabrication, une usine, une installation de type industrielle , agricole , urbaine .... Celui-ci
comportera bien sûr des objets tels que les machines, les stockages, les alimentations en
fluides .....
Les méthodes et outils mis en œuvre pour l'analyse de risques ne seront pas les
mêmes dans chacun des deux cas. Dans le premier cas ce sont plutôt les outils classiques de la
Sûreté de fonctionnement qui seront utilisés. Dans le deuxième cas ces outils seuls ne
permettront qu'une analyse parcellaire notamment des objets de l’installation et il sera
nécessaire de disposer de méthodes, c'est à dire de démarches complètes ( incluant bien sûr
les outils mais capables d’en organiser la mise en œuvre ) telles que la méthode MOSAR.

Les outils disponibles peuvent se classer en deux catégories :

1 - Des outils semi-empiriques tels que l'AMDE et l'AMDEC ( bien que normalisé il
reste dans cette catégorie ) , HAZOP , l'Analyse Fonctionnelle

94
 M1

AMDEC
M2

M3
M2 O2
M1

O1
M3
O1 ARBRE DE DEFAILLANCE
O3
O4
O2

O3

O4

RESEAU

L'ANALYSE DE RISQUES PEUT SE FAIRE EN UTILISANT DES OUTILS CONNUS TELS

QUE L'AMDEC , LES ARBRES DE DEFAILLANCE, VOIRE LES RESEAUX.
CEPENDANT , LA PLUPART DU TEMPS , CES OUTILS SONT MIS EN OEUVRE DE
MANIERE FRAGMENTAIRE , SANS DEMARCHE GUIDE.

2 - Des outils logiques tels que les arbres logiques (Arbre des causes, Arbres causes-
conséquences, Arbres d’événements) et des outils de type Réseaux tels que les chaînes de
MARKOF ou les réseaux de PETRI . Tous ces outils permettent des approches par le calcul
notamment en matière de probabilité.
Leur mise en œuvre présente un certain nombre de difficultés. Ce sont en
effet pour la plupart des outils dont l'origine est liée à l'analyse de fiabilité " d'objets "ou
d'éléments "d'objets " et leur adéquation à l'analyse de risques n'est pas totale. D'autre part
leur mise en œuvre nécessite de l'information et l'outil en lui-même n'est pas générique de
cette dernière.

On voit donc apparaître une double nécessité :

1 - essayer de rationaliser les outils à caractère empirique. Le modèle
MADS (Méthode d’Analyse de Dysfonctionnement des Systèmes) tente de répondre à ce
besoin.
2 - construire des méthodes qui assurent à la fois une cohérence dans le
déroulement de la démarche analytique, qui facilitent et articulent la mise en œuvre des outils
précités , et qui participent à la genèse de l'information nécessaire à la bonne utilisation de ces
derniers. MOSAR essaie de répondre à ces contraintes.

2 – 3 – Problématique de MOSAR :
La PROBLEMATIQUE de MOSAR est essentiellement la suivante :

Identifier, évaluer, maîtriser à priori les risques d’une installation.

Négocier des objectifs et donc faire apparaître l’acceptabilité des risques par les acteurs
concernés.
Intégrer les réglementations spécifiques c’est à dire ne pas se contenter de simplement les
appliquer ou de se cacher derrière (sécurité parapluie), mais aller souvent plus loin que ce
qu’elles imposent (car elles sont toujours apparues après des accidents) tout en vérifiant
que les mesures de prévention et de protection les satisfont.

95
 Intégrer l’approche déterministe et l’approche probabiliste lorsque cette dernière est
possible.
Mettre en œuvre des concepts logiques, systématiques, systémiques. Les premiers entrent
comme nous l’avons vu dans le déroulement et la stratégie de la méthode. Les seconds se
traduisent par des découpages divers auxquels il n’est pas possible d’échapper et par des
identifications systématiques en référence à des typologies (par exemple à la typologie des
sources de dangers en milieu industriel). Les troisièmes apparaissent tout d’abord dans les
points de vue qui sont pris en compte. Le point de vue principal est celui de l’installation
mais celui de l’opérateur est aussi en partie pris en compte ainsi que celui des autres
cibles. La systémique nous apprenant que tout découpage est artificiel, la méthode par des
combinaisons de grilles et la mise en œuvre d’outils tels que les boîtes noires, permet de
remettre en relation ce qui a été découpé et de faire apparaître ainsi des rapprochements et
combinaisons événementiels qui autrement n’auraient pas été vus.
Constituer une démarche participative. Il s’agit en effet de réaliser un travail de groupe.
Bien sûr, il est toujours possible d’effectuer un travail isolé d’“expert”, mais le caractère
transversal des connaissances nécessaires et la nécessité de faire apparaître l’acceptabilité
des risques par les acteurs concernés imposent une démarche participative et notamment si
possible avec les acteurs de l’installation. Ceci peut se faire dans cette dernière si elle
existe et présente des vertus pédagogiques évidentes chacun découvrant les risques et leur
maîtrise avec son point de vue et celui des autres. C’est aussi une démarche systémique
avec la prise en compte du point de vue de chacun. Pour une installation existante on
fera donc un diagnostic de son niveau de sécurité. Pour une installation nouvelle ou une
modification importante d’une installation existante la meilleure manière de faire est de
pratiquer l’analyse dans le Bureau d’Etudes qui est chargé du projet, si possible avec
participation des futurs acteurs de l’installation. Ceci constituera alors ce que l’on peut
appeler la sécurité intégrée à la conception d’une installation.
Mettre en œuvre des outils classiques de types grilles de référence et tableaux et organiser
l’utilisation des outils connus de la Sûreté de Fonctionnement tels que l’AMDEC,
HAZOP, les Arbres Logiques comme les Arbres de Défaillances ainsi que les approches
provenant d’autres points de vue comme la prise en compte du facteur humain dans les
analyses d’activité.
Avoir deux visions de l’installation et de la démarche méthodique :

Une vision macroscopique :

Dans celle-ci on ne cherche pas à entrer dans le fonctionnement détaillé de l’installation. On
recherche les risques de proximité, c’est-à-dire les risques qui apparaissent du fait que les
éléments de l’installation sont à proximité les uns des autres et que les processus de danger
que peut générer chaque source de danger peuvent s’enchaîner les uns les autres pour donner
les scénarios d’accidents principaux que l’on appelle dans certains cas scénarios dominos.
Le module A de MOSAR permet d’identifier ces scénarios et de les neutraliser.

Une vision microscopique :

On entre alors dans le fonctionnement détaillé de l’installation, aussi bien au niveau technique
qu’au niveau opératoire. Pour rechercher les dysfonctionnements issus de ces deux niveaux on
met en œuvre les outils de la sûreté de fonctionnent cités ci-dessus.

96
 Une Méthode pour:

À partir d ’une
IDENTIFIER
modélisation de LES SOURCES
DE DANGER
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS ET LES
EVALUER

NEGOCIER DES
OBJECTIFS ET
LES
HIERARCHISER
DEFINIR LES
MOYENS DE
A DEUX NIVEAUX: PREVENTION ET
LES QUALIFIER
MACROSCOPIQUE: On analyse globalement
l ’installation en traitant les risques principaux.
C ’est le MODULE A de MOSAR GERER LES RISQUES
AVEC LES PLANS
MICROSCOPIQUE: On analyse finement l ’installation D ’INTERVENTION
en détaillant les risques avec des outils connus.
C ’est le MODULE B de MOSAR

97
 3 – STRUCTURE DE LA METHODE :

Pour répondre aux critères de l’analyse macroscopique et de l’analyse microscopique, la

méthode est structurée en deux modules symétriques. Le déroulement complet de la démarche
consiste en fait à parcourir deux fois le schéma précédent à travers cinq étapes chaque fois.

A partir MODULE A
d ’une IDENTIFIER LES Analyse principale de risques ou
modélisation SOURCES DE
DANGER
Analyse des risques principaux
de VISION MACROSCOPIQUE DE L ’INSTALLATION
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS

EVALUER LES
SCENARIOS DE
IDENTIFIER LES
RISQUES
RISQUES DE
FONCTIONNEMENT
NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
EVALUER LES LES SCENARIOS
RISQUES EN
CONSTRUISANT DES
ADD ET EN LES DEFINIR LES
QUANTIFIANT MOYENS DE
PREVENTION ET
NEGOCIER DES LES QUALIFIER
OBJECTIFS PRECIS
DE PREVENTION

MODULE B AFFINER LES

Analyse des risques de fonctionnement ou MOYENS DE
PREVENTION
Sûreté de fonctionnement
VISION MICROSCOPIQUE DE L ’INSTALLATION GERER
LES
RISQUES

4 – DESCRIPTION PAR APPLICATION SUR UN EXEMPLE :

MODULE A
ETAPE PRELIMINAIRE : modéliser l’installation

CHOISIR LE SYSTEME A ETUDIER:

Nous travaillerons sur l’installation de dépotage de propane décrite dans le premier chapitre.
La première question à se poser concerne la définition du système sur lequel va porter
l’analyse.
Dans cette installation plusieurs systèmes peuvent en effet faire l’objet d’une analyse de
risques :
Le dépotage proprement dit
La sphère de stockage seule
L’ensemble du contexte
Les manières de découper ce dernier sont donc multiples mais il faut remarquer que pour un
découpage donné définissant le système à analyser, le reste du contexte se trouve dans
l’environnement du système. Ainsi quelle que soit la situation de la frontière retenue entre le
système et son environnement la somme des deux redonne toujours l’ensemble du contexte.

98
 SCHEMA D ’IMPLANTATION
N
DE L ’INSTALLATION
Lotissement Lotissement
W E

S
30 m

45 m
Voie ferrée
120 m

Dépotage

Ateliers

250 m
Parking

90 m
Bâtiment administratif
70 m

30 m
Route 20 m
10 m

Rivière

Le système le plus dangereux dans ce contexte est l’installation de dépotage de propane. Elle
sera donc le système sur lequel va porter l’analyse

INSTALLATION DE DEPOTAGE

soupape

sphère

bras mobile
tuyau souple

opérateur
canalisations fixes
wagon

pompe
Systèmes de Vanne trois voies pour prélèvement
connexion contrôle qualité

99
 DECOMPOSITION EN SOUS-SYSTEMES :

La décomposition en sous-systèmes n’est pas obligatoire. Il existe des installations pour

lesquelles une telle décomposition n’a pas d’intérêt, voire même est impossible. C’est le cas
par exemple d’un laboratoire qui comprend une multitude d’objet sans sous-systèmes
clairement identifiables.
Elle permet cependant de générer des scénarios d’interférence ou de proximité entre les sous-
systèmes si ces derniers peuvent être identifiés.
Il existe plusieurs manières de décomposer une installation en sous-systèmes :
Décomposition hiérarchique en fonction des relations des éléments de
l’installation entre eux.
Décomposition topologique en fonction de la position des éléments de
l’installation dans l’espace.
Décomposition fonctionnelle de par la situation des éléments de l’installation
dans la chaîne de fonctionnement de cette dernière.

Nous utiliserons une association des deux dernières en répondant à deux conditions :
Les sous-systèmes répondent aux cinq critères d’un système
Chacun doit être homogène
Leur nombre doit être le plus limité possible, en tout cas < 10

Dans le cas de l’installation de propane ceci conduit à sept sous-systèmes :

SS1 Sphère et ses équipements SS2 Tuyauteries d ’équilibrage et de remplissage

SS5 wagon et ses équipements SS4 Bras mobile SS3 Pompe

100
 SS6 OPERATEURS

ROUTE

PARKING

LOTISSEMENTS

ATELIERS
SS7 ENVIRONNEMENT

BATIMENT ADMINISTRATIF

VOIE FERREE

RIVIERE

MODELISER L’INSTALLATION

Pour modéliser l ’installation:

- Dans le contexte de départ on choisit le système sur lequel on va faire porter l ’analyse. Celui-ci
devient le système principal.
En principe on prend le système le plus dangereux à priori. Par exemple dans l ’installation propane on
sélectionne l ’installation de dépotage proprement dite. Tout le reste devient son environnement.
- On considère que l ’on a alors trois sous-systèmes en interaction:
1 -les opérateurs, que l ’on globalise en un sous-système
2 - l ’environnement
3 - le système principal retenu.
- On décompose alors le système principal en X sous-systèmes.

On obtient ainsi X sous-systèmes + le sous-système opérateurs + le sous-système environnement.

Pour décomposer en sous-systèmes la règle générale est d ’avoir des sous-systèmes homogènes au point de
vue fonctionnel et topographique. Un sous-système répond ainsi aux quatre critères d ’un système (structure,
fonctionnement, finalité, évolution, environnement
Par exemple, la sphère et son instrumentation:
est homogène au point de vue fonctionnel et topographique ( c’est un tout)
a sa propre structure
a son propre environnement
a sa propre finalité dans le système principal
a son propre fonctionnement
a sa propre évolution (ne serait-ce que ses différends états)

101
 Système
analysé: Sous-système
devient un
sous-système opérateur
du contexte

CONTEXTE
Sous-système

environnement

Choix du système à analyser ou système principal

EXEMPLE DE L’INSTALLATION
N
PROPANE
Lotissement Lotissement
W E

S
30 m

45 m
Voie ferrée
120 m

Dépotage

Ateliers
Sous-système principal
250 m

choisi
Parking

90 m
Bâtiment administratif
70 m

30 m

Route 20 m
10 m

Rivière

102
 L’ENVIRONNEMENT N
Lotissement Lotissement
W E

S
30 m

Voie ferrée

45 m
Ateliers

250 m
Parking

Bâtiment administratif

30 m
Route 20 m
10 m

Rivière

SS1 SS4
Système
SS5 SS2
choisi
Sous-système
SS3 principal

Sous-système
Sous-système opérateur
SS6
environnement
SS7

DECOMPOSITION DU SYSTEME CHOISI EN SOUS-SYSTEMES

103
 Système analysé: Sous-système
IN S T A L L A T IO N D E D E P O T A G E
opérateurs
s oupa p e

s phère

b r as m o bi l e
tu y a u s o u p le

op é r a t e u r
c a n a l i sa t i o n s f i x e s
w a gon

S y st è m e s d e po m pe V a n n e tr o is v o ie s p o u r p r é lè v e m e n t
c o n ne x i on c on tr ô l e q u a l ité

CONTEXTE Sous-système
environnement
L’EN V IRON NEM EN T N

Lot isse ment Lotisseme nt

W E

30 m

45 m
V oie f e rr ée

A teliers

250 m
Park ing

Bâtim en t adm in ist ratif

30 m
R oute 20 m
10 m

R iviè re

Choix du système à analyser ou système principal

Système analysé: Sous-système

opérateurs
SS 1 Sphè re e t se s équi peme nts SS 2 Tuyauterie s d ’é quil ibra ge et de rem plissa ge

SS 5 wagon e t se s équi peme nts SS 4 Bras mobile SS 3 Pom pe

CONTEXTE Sous-système
environnement
L’EN V IRON NEM EN T N

Lotisse me nt Lotisse me nt
W E

S
30 m

Voie fe rr ée
45 m

A te lie rs
250 m

Park ing

Bâtim en t adm in istratif

30 m

Route 20 m
10 m

Riviè re

Décomposition du système à analyser ou système principal

104
1ère ETAPE MODULE A : IDENTIFICATION DES SOURCES DE DANGER :

1er NIVEAU : identification des sources de danger de chaque sous-

système (ou identifier en quoi chaque sous-système peut être source de danger :

Pour effectuer ce travail, on lit chaque sous-système à travers la grille de typologie des
systèmes sources de danger jointe en annexe du chapitre 1

GRILLE DE A1
TYPOLOGIE Le sous- A2
DES Système x A3
SSx est source
SYSTEMES A4
de danger
SOURCES
DE
DANGER

On remplit la colonne 1 du tableau A repris ci-après.

En faisant cette identification pour tous les sous systèmes, on obtient donc une liste
exhaustive des dangers de l’installation.

PHASES DE VIE : TABLEAU A

ETABLISSEMENT DES PROCESSUS DE DANGER DU SOUS - SYSTEME :

CONCEPTION CO INFLUENCE DES CHAMPS :

MONTAGE MO Conditions météo Réglementation
ESSAIS ES Corrosivité de l’air Maintenance
EXPLOITATION : EX Productivité Organisation des équipes
ENTRETIEN EN Qualité de formation du personnel
DEPANNAGE DE
ARRET AR EVENEMENTS RENFORCATEURS :
TRANSFORMATION TR Sources d’allumage Densité de circulation de trains et de véhicules
DEMANTELEMENT DEM Densité de populations

TYPES DE Phas
SYSTEMES
es EVENEMENTS INITIATEURS EVENEMENTS INITIAUX EVENEMENTS
SOURCES DE
DANGER ( 1 ) de (3) (2) PRINCIPAUX
Application de la
grille 1 vie
EXTERNES INTERNES LIES AU LIES AU
( environnement CONTENANT CONTENU
actif )
A 1 Sphère et EX choc corrosion rupture fuite de propane :
corrosion surpression fissure gaz
ses
flux thermique dysf. soupape surpression liquide
équipements
A 2 Support EX corrosion corrosion rupture déformation
surcharge déformation effondrement ,
renversement
A 3 Propane EX Erreur de débit trop grand sphère trop pleine
remplissage
choc , givrage dysfonct.vanne blocage fuite
Vannes ,
obstacle prélèvement
soupape

105
 A 4 Vannes , EN choc manutention déformation fuite
MO en cours de fissuration
soupape
montage ou de
remontage
A 5 Sphère EX énergie thermique diminution de montée en BLEVE
résistance température
mécanique
A 6 Sphère EN pluie structure accès en hauteur
DE gel glissante dangereux
EX maladresse accès hauteur
A 7 Cuvette de EN maladresse dénivellement circulation à pied
DE fatigue dangereuse
rétention
EX
A8 EN possibilité de blessures
DE maladresse aspérités
Equipements
EX
B 2 Sphère EX entrée d’air explosion explosion de la sphère

D 3 Propane EX électricité fuite fuite enflammée

statique
E 2 Electricité EX mauvaise mise à déplacement électricité statique
la terre propane
statique

La colonne phases de vie permet de préciser certains dangers. Par exemple dans le cas de la
sphère, si l’on fait l’analyse dans la phase exploitation normale, il n’y a pas de danger de
manutention. Par contre, dans les phases montage et entretien il apparaît un danger de
manutention avec les organes tels que les vannes et la soupape.
Il est donc possible de faire l’analyse soit phase par phase, soit en cherchant à identifier les
principaux dangers apparaissant dans les différentes phases.

REMARQUE :

Deux phrases mnémotechniques pour s’aider à trouver des réponses dans la recherche
des processus de danger et stimuler son imagination :
- Qu’est-ce qui est et qui pourrait ne pas être ? Par exemple, il y a du courant
électrique et il pourrait ne pas y en avoir.
- Qu’est-ce qui n’est pas et qui pourrait être ? Plus difficile. Par exemple il n’y
a pas de fuite mais il pourrait y en avoir une.

2ème NIVEAU: Identification des processus de danger :

Ce travail se fait ligne par ligne en recherchant les événements qui constituent les processus
de danger. On utilise le tableau A en commençant par la colonne 2 c’est à dire par la
recherche des événements initiaux. Ces derniers peuvent provenir soit du. contenant c’est à
dire de l’enveloppe du système source, soit de son contenu.
On recherche ensuite les événements initiateurs qui peuvent engendrer les événements
initiaux et on les note dans la colonne 3 du tableau A. Ces événements peuvent être d’origine
interne ou externe au système source de danger. Dans ce dernier cas il sont générés par les
champs.
La chaîne événements initiateurs - événements initiaux génère des événements
principaux que l’on note dans la dernière colonne à droite du tableau A.

est source A1 événements initiateurs événements initiaux événements principaux

de A3 événements initiateurs événements initiaux événements principaux
SS 1 B2
danger
-----

106
 Remarques :

- Cette technique nous donne un outil de génération d’un ensemble

d’événements. Ce n’est qu’un outil qu’il faut utiliser comme tel. Il nous
aide à faire apparaître des événements et leurs enchaînements pouvant avoir
des effets non souhaités sur des cibles qui, à ce niveau, ne sont pas encore
identifiées. Il appartient à l’analyste de se servir des identifications
d’événements pour construire des chaînes plus ou moins longues
d’enchaînements.
Par exemple l’événement surpression apparaît à deux endroits différents
dans la recherche des processus de danger liés à la pression :
Dans la colonne 3 c’est un événement initiateur interne d’une rupture ou
d’une fissure de l’enveloppe; dans la colonne 2 c’est un événement initial
interne dont l’événements initiateur interne est un dysfonctionnement de
soupape et l’événement initiateur externe un flux thermique. La chaîne
complète devient :

Flux thermique surpression interne fissure

Dysf. soupape rupture

- Dans l’identification des événements principaux il faut prendre garde à ne

pas noter des interférences avec les autres sous systèmes sinon la
génération de scénarios deviendra confuse par la suite.
Par exemple ne pas écrire explosion dans l’événement principal du
processus de danger lié à la pression. Encore faut-il que la nappe de
propane générée par la fuite rencontre une source d’allumage (dans une
cible) pour qu’il y ait explosion. De la même manière ne pas écrire chute
de hauteur dans le processus de danger lié à l’accès en hauteur de la sphère
car encore faut-il qu’un opérateur ait à accéder sur la sphère pour que cela
entraîne sa chute.
- On ne tient pas compte des barrières de prévention et de
protection existantes notamment pour une installation en
fonctionnement. En effet, si l’on veut pouvoir juger de la pertinence des
barrières prévue (projet) ou existantes ( diagnostic), il est nécessaire de faire
un point zéro sans barrières.

2ème ETAPE : IDENTIFIER LES SCENARIOS DE DANGERS :

Dans beaucoup de cas on admet que les scénarios d’accidents sont connus notamment grâce
au retour d’expérience. Il est cependant intéressant, voire indispensable de pouvoir générer
des scénarios d’accidents possibles (ou plus généralement des scénarios d’ENS) et notamment
de faire apparaître les principaux. Ceci permet en effet :
- de démontrer leur genèse
- d’identifier leurs multiples variantes
- d’identifier des scénarios insoupçonnés
- d’en faire par la suite l’ossature des arbres logiques montrant
l’enchaînement de tous les événements conduisant à un ENS.

107
La technique développée ci-après permet de faire ce travail.

3ème NIVEAU : Mettre chaque sous système sous forme d’une boîte noire :

En reprenant chaque sous système dans les tableaux A on les représente sous forme de boîtes
noires dont les entrées sont les événements initiateurs d’origine interne ou externe et les
sorties sont les événements principaux.

EVENEMENTS EVENEMENTS
INITIATEURS
INTERNES OU SS1 PRINCIPAUX
EXTERNES

Ce travail est une simple compilation des tableaux A

Pour le sous système sphère on obtient la boîte noire ci-après .

On peut remarquer :
- Que dans les événements d’entrée on retrouve des dysfonctionnements
d’origine technique comme par exemple dysfonctionnement de vanne ou dysfonctionnement
de soupape et des dysfonctionnements opératoires comme par exemple erreur de remplissage
ou maladresse.
- Que dans les événements de sortie on trouve des événements qui peuvent
atteindre différentes cibles comme par exemple BLEVE qui peut atteindre toutes les cibles ou
accès en hauteur dangereux qui peut atteindre les opérateurs.

108
 CHOC FUITE PROPANE
CORROSION DEFORMATION SUPPORT
FLUX THERMIQUE EFFONDREMENT SUPPORT
DYSF. SOUPAPE SS1 RENVERSEMENT SPHERE
SURPRESSION INTERNE SPHERE TROP PLEINE
SPHERE ET
SURCHARGE
SES BLEVE
DYSF. VANNE EQUIPEMENTS ACCES EN HAUTEUR DANGEREUX
GIVRAGE CIRCULATION A PIED DANGEREUSE
ERREUR REMPLISSAGE EXPLOSION SPHERE
OBSTACLE FUITE ENFLAMMEE
PLUIE ELECTRICITE STATIQUE
GEL

MALADRESSE
FATIGUE
ENTREE D'AIR
ELECTRICITE STATIQUE

4ème NIVEAU : Génération de scénarios courts et de scénarios

d’autodestruction :

Pour l’instant nous n’avons, dans la génération de processus du tableau A, fait apparaître que
des liaisons directes entre les événements d’entrée et de sortie des boîtes noires

PROCESSUS
SS1 DE DANGER

Il faut maintenant combiner les événements d’entrée entre eux, les événements de sortie entre
eux et identifier les retours en bouclage des événements de sortie et des événements d’entrée.
Les deux premières opérations mettent en évidence des scénarios courts et la dernière des
scénarios qui entraînent une autodestruction du sous système.

109
 Scénario court Scénario d’autodestruction
Pour le sous système sphère voici quelques exemples de ces scénarios :

CHOC FUITE PROPANE

CORROSION DEFORMATION SUPPORT
FLUX THERMIQUE EFFONDREMENT SUPPORT
DYSF. SOUPAPE SS1 RENVERSEMENT SPHERE
SURPRESSION INTERNE SPHERE TROP PLEINE
SPHERE ET
SURCHARGE BLEVE
SES
DYSF. VANNE EQUIPEMENTS ACCES EN HAUTEUR DANGEREUX
GIVRAGE CIRCULATION A PIED DANGEREUSE
ERREUR REMPLISSAGE EXPLOSION SPHERE
OBSTACLE FUITE ENFLAMMEE
PLUIE ELECTRICITE STATIQUE
GEL

MALADRESSE
FATIGUE
ENTREE D'AIR
ELECTRICITE STATIQUE

Quelques-uns des scénarios ainsi générés sont les suivants :

1 Pluie
Accès en hauteur dangereux
Gel
Etincelle électrostatique
2 givrage fuite de propane fuite enflammée
dysfonctionnement vanne prélèvement

flux thermique BLEVE

3 surcharge effondrement du support

Pour éviter de se perdre très rapidement dans un fouilli de flèche, il est nécessaire d’écrire les
scénarios au fur et à mesure qu’ils sont construits.

110
 5ème NIVEAU : Génération de scénarios longs, validation de ces derniers et
construction d’arbres logiques sur les accidents principaux ainsi identifiés:

Si l’on met toutes les boîtes noires sur une même page, il est possible de relier les sorties de
certaines boîtes qui sont de même nature (repérées en principe par les même mots) que les
entrées d’autres boîtes.
On obtient ainsi des scénarios longs d’enchaînements d’événements ou scénarios de
proximité ou aussi scénarios principaux d’ENS (accidents).

SS1 SS2 SS3

SS4 SS5 SS6

Pour l’installation propane nous avons toutes les boîtes noires suivantes :

FUITE PROPANE
CHOC
DEFORMATION SUPPORT CHOC
CORROSION DEFORMATION CHOC

FLUX THERMIQUE

DYSF. SOUPAPE SS1

EFFONDREMENT SUPPORT

RENVERSEMENT SPHERE
SURPRESSION SS2 FUITE
CAVITATION

BLOCAGE
SURPRESSION INTERNE SURALIMENTATION
SPHERE TROP PLEINE ELECTRIQUE
FOUDRE
SURCHARGE

DYSF. VANNE
BLEVE
TUYAUTERIES
RUPTURE
SURPRESSION
SS3 SURDEBIT

ACCES EN HAUTEUR CAVITATION

GIVRAGE SPHERE ET DANGEREUX FIXES FUITE CORROSION
FUITE
ERREUR REMPLISSAGE SES D'EQUILIBRAGE ENFLAMMEE
OBSTACLE EQUIPEMENTS
CIRCULATION A PIED
DANGEREUSE
CORROSION
ET DE VIBRATIONS POMPE RUPTURE

PLUIE
EXPLOSION SPHERE
REMPLISSAGE FOUETTEMENT
GEL FOUDRE
FLUX THERMIQUE ECLATEMENT
MALADRESSE FUITE ENFLAMMEE
FATIGUE
ENTREE D'AIR
ELECTRICITE STATIQUE
ELECTRICITE STATIQUE

DERAILLEMENT EXPLOSION TRAIN

COLLISION SUR ROUTE EXPLOSION NAVIGATION
ACCIDENT PENICHE SS7 EXPLOSION CAMION SUR ROUTE
ACCIDENT SUR PARKING INCENDIE SUR PARKING
INCIDENT DANS ATELIER
environnement INCENDIE ATELIER

FUITE
CHOC

DEFORMATION
CHOC ELECTRICITE STATIQUE

SS4 SURCHARGE STRESS

SS6
MOUVEMENT WAGON FUITE
EFFONDREMENT
CHASSIS
SS5 CHOC
INCONSCIENCE GESTE MALADROIT

MAUVAIS BRANCHEMENT BLEVE

RUPTURE
FATIGUE
FLUX THERMIQUE
ACTION NON CONFORME
FLUX THERMIQUE MOUVEMENT INTEMPESTIF
MAUVAISE FORMATION
FOUETTEMENT FOUDRE
CORROSION
BRAS SURPRESSION
WAGON ET SES
RENVERSEMENT
ABSENCE CONSIGNES
BLESSURE

VIBRATIONS MOBILE ELECTRICITE

INTERNE
EQUIPEMENTS
DEBORDEMENT
CONTEXTE DANGEREUX OPERATEUR
STATIQUE
ENTREE D'AIR EXPLOSION INTERNE

111
Ce qui permet de générer quelques exemples de scénarios suivants :(en ne tenant pas compte
de l’environnement)

FUITE PROPANE
CHOC
DEFORMATION SUPPORT CHOC
CORROSION DEFORMATION CHOC

FLUX THERMIQUE

DYSF. SOUPAPE SS1

EFFONDREMENT SUPPORT

RENVERSEMENT SPHERE
SURPRESSION SS2 FUITE
CAVITATION

BLOCAGE
SURPRESSION INTERNE SURALIMENTATION
SPHERE TROP PLEINE ELECTRIQUE
SURCHARGE

DYSF. VANNE
BLEVE
FOUDRE

TUYAUTERIES
RUPTURE
SURPRESSION
SS3 SURDEBIT

GIVRAGE
ACCES EN HAUTEUR CAVITATION
FUITE FUITE
SPHERE ET DANGEREUX FIXES CORROSION
ERREUR REMPLISSAGE ENFLAMMEE
D'EQUILIBRAGE
OBSTACLE SES CIRCULATION A PIED
DANGEREUSE
CORROSION
ET DE VIBRATIONS POMPE RUPTURE

PLUIE EQUIPEMENTS REMPLISSAGE FOUETTEMENT

GEL EXPLOSION SPHERE FOUDRE
FLUX THERMIQUE ECLATEMENT
MALADRESSE FUITE ENFLAMMEE
FATIGUE
ENTREE D'AIR
ELECTRICITE STATIQUE ELECTRICITE STATIQUE

FUITE
CHOC

DEFORMATION
CHOC ELECTRICITE STATIQUE

SS4 SURCHARGE STRESS

SS6
MOUVEMENT WAGON FUITE
EFFONDREMENT
CHASSIS
SS5 CHOC
INCONSCIENCE GESTE MALADROIT

MAUVAIS BRANCHEMENT BLEVE

RUPTURE
FATIGUE
FLUX THERMIQUE
ACTION NON CONFORME
FLUX THERMIQUE MOUVEMENT INTEMPESTIF
MAUVAISE FORMATION
FOUETTEMENT FOUDRE
CORROSION
BRAS SURPRESSION
WAGON ET SES
RENVERSEMENT
ABSENCE CONSIGNES
BLESSURE

VIBRATIONS MOBILE ELECTRICITE

INTERNE
EQUIPEMENTS
DEBORDEMENT
CONTEXTE DANGEREUX OPERATEUR
STATIQUE
ENTREE D'AIR EXPLOSION INTERNE

S1 étincelle électrostatique
Mauvaise formation action non mauvais branchement fuite propane
opérateur conforme bras articulé

Fuite enflammée flux thermique BLEVE wagon onde de choc choc

sur wagon

Fuite enflammée flux thermique BLEVE

sur sphère sur sphère sphère

112
S2
Fatigue geste maladroit maladresse accès en hauteur contexte
sphère dangereux dangereux

CHUTE DE HAUTEUR
DE L’OPERATEUR

A ces scénarios viennent s’ajouter à l’entrée choc sur la sphère les scénarios générateurs de
chocs et provenant de l’environnement :
FUITE PROPANE
CHOC
DEFORMATION SUPPORT CHOC
CORROSION DEFORMATION CHOC

FLUX THERMIQUE

DYSF. SOUPAPE SS1

EFFONDREMENT SUPPORT

RENVERSEMENT SPHERE
SURPRESSION SS2 FUITE
CAVITATION

BLOCAGE
SURPRESSION INTERNE SURALIMENTATION
SPHERE TROP PLEINE ELECTRIQUE
FOUDRE
SURCHARGE

DYSF. VANNE
BLEVE
TUYAUTERIES
RUPTURE
SURPRESSION
SS3 SURDEBIT

ACCES EN HAUTEUR CAVITATION

GIVRAGE SPHERE ET DANGEREUX FIXES FUITE CORROSION
FUITE
ERREUR REMPLISSAGE SES D'EQUILIBRAGE ENFLAMMEE
OBSTACLE EQUIPEMENTS
CIRCULATION A PIED
DANGEREUSE
CORROSION
ET DE VIBRATIONS POMPE RUPTURE

PLUIE
EXPLOSION SPHERE
REMPLISSAGE FOUETTEMENT
GEL FOUDRE
FLUX THERMIQUE ECLATEMENT
MALADRESSE FUITE ENFLAMMEE
FATIGUE
ENTREE D'AIR
ELECTRICITE STATIQUE
ELECTRICITE STATIQUE

DERAILLEMENT EXPLOSION TRAIN

COLLISION SUR ROUTE
ACCIDENT PENICHE
SS7 EXPLOSION NAVIGATION
EXPLOSION CAMION SUR ROUTE
ACCIDENT SUR PARKING
INCIDENT DANS ATELIER
environnement INCENDIE SUR PARKING
INCENDIE ATELIER

FUITE
CHOC

DEFORMATION
CHOC ELECTRICITE STATIQUE

SS4 SURCHARGE STRESS

SS6
MOUVEMENT WAGON FUITE
EFFONDREMENT
CHASSIS
SS5 CHOC
INCONSCIENCE GESTE MALADROIT

MAUVAIS BRANCHEMENT BLEVE

RUPTURE
FATIGUE
FLUX THERMIQUE
ACTION NON CONFORME
FLUX THERMIQUE MOUVEMENT INTEMPESTIF
MAUVAISE FORMATION
FOUETTEMENT FOUDRE
CORROSION
BRAS SURPRESSION
WAGON ET SES
RENVERSEMENT
ABSENCE CONSIGNES
BLESSURE

VIBRATIONS MOBILE ELECTRICITE

INTERNE
EQUIPEMENTS
DEBORDEMENT
CONTEXTE DANGEREUX OPERATEUR
STATIQUE
ENTREE D'AIR EXPLOSION INTERNE

A partir des scénarios longs et des scénarios courts on peut construire, en les concaténant
( rassemblant) sur un même événement, un arbre logique qui est la première représentation
des événements s’enchaînant pour générer un ENS.

Par exemple, pour l’installation propane, on peut rassembler quelques scénarios conduisant au
BLEVE de la sphère :
On retient :
Le scénario S1 page 113
Le scénario court 2 page 110
Les scénarios générés par l’environnement ( voir schéma ci-dessus)

Déraillement
Collision sur route explosion Choc sphère
Accident péniche

Des scénarios courts générés par le bras mobile (voir la boîte noire bras mobile dans le
schéma ci-dessus)

113
 Chocs
Corrosion Déformation du bras
Vibration

On obtient l’arbre logique suivant :

Mauvaise formation FLUX

MAUVAIS BRANCHEMENT FUITE THERMIQUE
opérateur
DU BRAS SUR WAGON ENFLAMMEE SUR WAGON

ETINCELLE BLEVE
CHOCS CHOC
WAGON
CORROSION
VIBRATIONS DEFORMATION

FUITE BLEVE
NON ENFLAMMEE SPHERE
DEFAUT INTERNE
DISPOSITIF DE ETANCHEITE SPHERE
BRANCHEMENT

déraillement ETINCELLE
EXPLOSION CHOC
collision sur route
EXTERNE SPHERE
accident péniche

FUITE
SPHERE

OBSTACLE DYSFONCTIONNEMENT
GIVRAGE
VANNE PRELEVEMENT

ARBRE LOGIQUE BLEVE

REMARQUES :
- l’événement initiateur considéré peut conduire à plusieurs, voire à une
multitude de processus. On est donc placé là devant l’incertitude et la difficulté de
prévisibilité des risques. Nous pouvons distinguer l’incertitude paramétrique liée à une
imprécision des paramètres des processus et l’incertitude systémique liées à l’identification
des processus possibles et à l’ambiguité des enchaînements et des combinaisons possibles de
ces processus. Les outils présentés nous aident à résoudre partiellement ces problèmes.

- Le nombre de scénarios construits avec les boîtes noires n’est pas infini mais
il peut être très grand. Pour éviter une explosion combinatoire et guider le travail on peut
choisir les événements majeurs qui apparaissent à la sortie des boîtes noires en tant
qu’événements principaux, et rechercher quels sont les scénarios qui aboutissent à cet
événement. On raisonne alors par déduction. C’est le cas par exemple du BLEVE mais aussi
de BLESSURE DE L’OPERATEUR..

- La liaison entre les sorties et les entrées des boîtes noires est en théorie une
liaison directe (on relie les mêmes mots correspondant aux mêmes types de processus, par
exemple ‘’choc’’ généré par le wagon de différentes manière et ‘’choc ‘’ à l’entrée de la
sphère correspondant à différents types de chocs). Cette vision idéale est cependant rarement

114
opérationnelle. Il faut donc se servir ici de son imagination, de son intuition et de son
expérience pour relier des entrées et sortie qui n’apparaissent pas à priori comme directement
connectables. C’est le cas par exemple du scénario S1. Le mauvais branchement du bras
articulé est une des actions non conformes que peut générer l’opérateur. Une étincelle
électrostatique et une fuite de propane génèrent une fuite enflammée. C’est un nouveau
processus qu’il faut prendre en compte. Le blève du wagon génère une onde de choc, donc un
choc..... Il faut donc interpréter et vérifier bien sûr que les enchaînements sont plausibles. Ici
aussi la technique des boîtes noires est un outil qui nous aide à mettre en relation des
processus et à en faire apparaître d’autres. Nous sommes toujours dans une vision systémique.

- On obtient des scénarios PLAUSIBLES. Pour décider s’ils sont possibles il

est nécessaire de vérifier si les enchaînements sont possibles. Pour cela il faut évaluer
quantitativement ou qualitativement les distances qui peuvent être franchies par les
événements, les impacts entre les sous systèmes et leurs effets. Ceci fait appel à l’évaluation
des scénarios que nous verrons plus en détail ci-après. Il faut aussi évaluer si la probabilité des
enchaînements d’événements est possible. Cependant il faut se méfier des scénarios qui
pourraient apparaître comme fantasques parce que très peu probables. Le retour d’expérience
montre que l’enchaînement d’événements est souvent fantastiquement long et il vaut sans
doute mieux travailler sur ces scénarios et vérifier qu’ils sont maîtrisables plutôt quqe de les
éliminer à priori.

3ème ETAPE : EVALUATION DES SCENARIOS DE RISQUES:

6ème NIVEAU : évaluation quantitative ou qualitative :

Comme nous l’avons vu en partie ci-dessus, cette étape permet d’évaluer

quantitativement si c’est possible (par le calcul éventuellement à l’aide de logiciels) ou
qualitativement par travail de groupe ou le jugement d’experts si le calcul n’est pas possible,
les caractéristiques des différents événements identifiés et leurs interactions avec les sous-
systèmes. Il existe de nombreux logiciels que l’on peut mettre en œuvre à ce niveau de
l’analyse pour calculer des diffusions atmosphériques de produits, calculer les
caractéristiques de formations de nappes de produits toxiques et établir l’évaluation de
leurs effets en fonction de la distance des cibles, calculer les caractéristiques de
formation de nappe de produits inflammables ou explosifs et déterminer leur effets en
fonction de la distance des cibles.
Il est aussi nécessaire d’évaluer quelles cibles les événements principaux vont pouvoir
atteindre et quel sera leur impact sur ces cibles. L’atteinte des cibles ainsi que leur nature (une
ou plusieurs des quatre possibles) dépend des caractéristiques évaluées des scénarios et de
leur distances par rapport aux événements finaux.
Dans l’installation de propane :

115
 FLUX
S1Mauvaise
opérateur
formation
MAUVAIS BRANCHEMENT FUITE THERMIQUE
DU BRAS SUR WAGON ENFLAMMEE SUR WAGON

ETINCELLE CHOC BLEVE

CHOCS WAGON
2 CORROSION
VIBRATIONS DEFORMATION

FUITE BLEVE
NON ENFLAMMEE SPHERE
DEFAUT INTERNE
ETANCHEITE
3 DISPOSITIF DE
BRANCHEMENT
SPHERE

déraillement ETINCELLE
CHOC
4 collision sur route
accident péniche
EXPLOSION
EXTERNE SPHERE

FUITE
SPHERE

OBSTACLE
DYSFONCTIONNEMENT
5 GIVRAGE
VANNE PRELEVEMENT

Si l’on reprend l’arbre logique BLEVE, on peut faire les constats suivants :

- Tous les scénarios ont la même gravité puisque c’est le BLEVE final. Ceci
n’est pas valable pour tous les cas et dépend des événements finaux choisis.
Dans certains cas la gravité est fonction de scénarios.
- Tous les scénarios atteignent les quatre cibles possibles.
- Pour évaluer leurs caractéristiques le calcul est possible : calcul des débits
de fuite en phase gaseuse ou liquide ou en double phase, calcul de diffusion
du propane gazeux dans l’air et des caractéristiques des nappes formées,
calcul des caractéristiques d’explosions et de leurs effets, calcul des
caractéristiques des BLEVES et de leurs effets. Il existe des logiciels
permettant de conduire tous ces calculs.
- Les scénarios se distinguent les uns des autres par leur probabilité
différente. Par exemple le scénario 1 est bien moins probable que le
scénario 3 ou le scénario 5. A ce niveau de l’analyse on ne peut pas
cependant calculer ces probabilités. D’où l’intérêt de pouvoir disposer
d’une grille permettant de hiérarchiser les scénarios, ce que nous allons voir
dans l’étape suivante.
- On peut aussi évaluer le coût des accidents.

4ème Etape : NEGOCIATION D’OBJECTIFS ET HIERARCHISATION DES

SCENARIOS :

7ème NIVEAU : Négociation de grilles gravité x probabilité :

116
Jusqu’ici nous n’avons pas situé le travail d’analyse par rapport à des objectifs. La mise en
évidence de scénarios de risques et leur évaluation permet de mieux définir ces objectifs.
Dans un premier temps, il est nécessaire de construire un outil qui permettra de concrétiser
ces objectifs. Celui choisi est la grille gravité x probabilité. On peut en construire une par
cible.
Prenons le cas d’une grille pour les opérateurs :
La première chose à faire est de négocier les niveaux des deux axes de la grille. En principe
on construit des axes à 4, 6 ou 8 niveaux (toujours en nombre pair pour éviter la tendance à se
situer dans un niveau médian).
La deuxième chose à faire est de situer dans la grille la frontière entre ce qui est considéré
comme acceptable et ce qui est considéré comme inacceptable. Ceci constitue un deuxième
niveau de négociation.

P
P

P1 P1

P2 INACCEPTABLE
P2

P3 P3

P4
P4
ACCEPTABLE

G1 G2 G3 G4
G1 G2 G3 G4 G G

PREMIER NIVEAU DE NEGOCIATION: DEUXIEME NIVEAU DE NEGOCIATION:

NEGOCIATION DES ECHELLES PASSAGE DE LA FRONTIERE ENTRE
L'ACCEPTABLE ET L'INACCEPTABLE

NEGOCIATION DE GRILLES GRAVITE-PROBABILITE ET SITUATION DES SCENARIOS

DANS CES GRILLES

Pour l’installation de propane la grille ci-après est une grille possible pour situer les risques
pour les opérateurs. Admettons bien sûr qu’elle ait été négociée par les acteurs concernés et
notamment avec les opérateurs.
8ème NIVEAU : Situation des scénarios dans les grilles GxP et hiérarchisation de
ces derniers:

Il est alors possible d’y situer le scénario S2 page 113 qui est au niveau 2 en probabilité et au
niveau 4 en gravité.

117
 G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P

NIVEAU

TRES IMPORTANT
4
MORT D'HOMME
S2
IMPORTANT
EFFETS
IRREVERSIBLES
INACCEPTABLE 3
ACCIDENT AVEC
IPP
PEU IMPORTANT
EFFETS
REVERSIBLES
ACCIDENT AVEC 2
AT SANS IPP
MINEUR
BLESSURES ACCEPTABLE
LEGERES
ACCIDENT SANS 1
AT

TRES PEU
IMPROBABLE PROBABLE
IMPROBABLE PROBABLE P = PROBABILITE
0 FOIS PEUT-ETRE PLUS DE L'EFFET
RISQUE
UNE FOIS UNE FOIS D' UNE FOIS
dansla durée devie
de l'installation ou de l'expérience
NUISANCE
NUISANCE TRES NUISANCE NUISANCE
EXCEPTIONNELLE
TEMPORAIRE TEMPORAIRE PERMANENTE
<1 1 2 3 4 NIVEAU

De la même manière on peut construire une grille GxP pour les autres cibles et situer les
scénarios du BLEVE dans cette dernière .

118
 P 1 2 3 4 5 6
BLESSURES BLESSURES DESTRUCTION DE
MORT DE PERSONNE
REVERSIBLES IRREVERSIBLES PLUSIEURS CIBLES

6 PROBABILITE
INCONNUE

FREQUENT

5 > 1/an
I
POSSIBLE
4 10-2<P<1:an
3 5

3
RARE

10-4<P<10-2/an
A 2

extrêmement

2
RARE 1
10-6<P<10-4/an

1 IMPROBABLE 4
P<10-6/an

CONSEQUENCES CONSEQUENCES
NULLES MINEURES. Pas de
CONSEQUENCES
SIGNIFICATIVES
CONSEQUENCES
CRITIQUES
CATASTROPHIQUE CATASTROPHIQUE
NIVEAU 1 NIVEAU 2
G
blessures de personne

REMARQUE : on peut aussi construire des grilles concernant le coût des accidents en
prenant en compte par exemple le coût de la perte de production ou de la perte de l’outil de
travail en fonction du temps ce qui permet de hiérarchiser les scénarios en fonction de cette
perte.

5ème Etape : DEFINITION DES MOYENS DE PREVENTION ET DE

PROTECTION ET QUALIFICATION DE CES MOYENS :

9ème NIVEAU : Identification des barrières de prévention et de protection :

Ces barrières vont permettre, comme nous l’avons vu au chapitre 1, de neutraliser les
scénarios identifiés.

119
 BARRIERES DE BARRIERES DE
NEUTRALISATION NEUTRALISATION
DES EVENEMENTS DES EVENEMENTS
INITIATEURS Champs de RENFORÇATEURS

danger
BARRIERES DE
NEUTRALISATION
Système Système
DES EVENEMENTS
source INDUITS cible

BARRIERES DE BARRIERES DE BARRIERES DE

NEUTRALISATION DE NEUTRALISATION PROTECTION
L'EVENEMENT INITIAL DE L'EVENEMENT DE LA CIBLE
PRINCIPAL

APPROCHE DETERMINISTE OU DE DIMENSIONNEMENT

Le schéma montre bien les différentes barrières nécessaires pour neutraliser l’enchaînement
des événements et donc des scénarios.
L’arbre logique montre, lui, qu’en principe il suffit de neutraliser les événements primaires
(ceux qui apparaissent les premiers) pour que le scénario correspondant n’ait pas lieu. Par
exemple sur l’arbre logique BLEVE le scénario 1 peut être neutralisé en s’assurant d’une
bonne formation des opérateurs. Pour renforcer la prévention on recherche aussi les barrières
possibles tout le long du scénario aussi bien sur les événements que sur leurs enchaînements.
Par exemple l’élimination des étincelles d’origine électrostatique par une bonne mise à la terre
et le renforcement des piquages des tuyauterie, partie fragile, pour éviter leur arrachement par
choc.
TYPES DE BARRIERES :
On distinguera deux types de barrières :
LES BARRIERES TECHNOLOGIQUES (BT) :
Elément ou ensemble technologique faisant partie intégrante de l’installation, qui s’oppose
automatiquement à l’apparition d’un événement préjudiciable à la sécurité et qui ne nécessite
pas d'intervention humaine.
Elle peut être statique ( exemples : écran fixe, capot de protection, enceinte de confinement)
ou dynamique (exemples : soupape de sécurité à ouverture automatique, éléments de contrôle
commande.

LES BARRIERES OPERATOIRES OU D’UTILISATION (BU) :

Action nécessitant une intervention humaine, reposant sur une consigne précise, activée ou
non par un élément ou un ensemble technologique. (exemples : procédure, mode opératoire,
application de règles, vanne à ouverture manuelle, protections individuelle)

Les BU sont souvent considérées comme étant plus faibles que les BT.

120
 Elles sont en fait très sensibles à la formation, et notamment à la formation
sécurité, des opérateurs.

L’identification des barrières se fait à l’aide d’un tableau : le TABLEAU B qui

facilite le travail. Ce tableau peut être construit en fonction du contexte. Est présenté ci-
après un exemple de tableau avec application à deux des scénarios de l’installation propane.

TABLEAU B

Scénario Phase 1-1 Conception 1 - 2 Ventilation 2 -1 Protection

ou individuelle
sous- du personnel
système
1 EX Bonne conception du
bras articulé ( Protection individuelle
page 22 branchement et Installation située en efficace contre le
débranchement faciles ) givrage et les effets
BT plein air mécaniques :
Clapets d’étanchéité gants , casques ,
sur les entrées lunettes ,
d’alimentation tablier cuir
BT BU
Renforcement au choc
des
piquages des wagons
BT
Mise du bras à la terre
BT
S2 EX Conception correcte de
MA l’accès en hauteur Chaussures de sécurité
Page 19 éventuellement antidérapantes
système BU
automatique antigel
BT
Echelles et platelages
antidérapants
BT

2 - 2 Surveillance 2 - 3 Formation 2-4 2 -5 2 -6

médicale du Habilitations Identification Comportement
personnel des facteurs humain
d’ambiance

121
1 Formation du Procédure Travail en plein Travail à confier
personnel pour le d’habilitation à air à des opérateurs
branchement et l’opération de confirmés
le débranchement branchement Risque de BU
du bras BU givrage
BU
Risque de stress
S2 Surveillance Formation Travail en plein Agents en bonne
de la fatigue minimale à air et par toutes forme physique
BU l’accès en conditions météo BU
hauteur
BU

122
3-1 Consignations Procédures 3-2 3-3 Contrôles 3-4
Consignes Réglementati et Télésurveillan
on vérifications ce
applicable techniques
1 Procédure de Procédure de
Consignes de consignation branchement Néant Contrôles Explosimètre
sécurité au en cas : et de périodiques
poste de d’incident débrancheme de l’état du BT
branchement de travaux nt dispositif
BU BU BU BU
S2 Procédures de
Consignes consignation Travail en Contrôles
d’accès en phase hauteur périodiques
BU incidentelle BU de
BU l’état d’accès
BU

3-5 Maintenance 5-1 Implantation Balisage - Accès 5-2 Influence FN AC

Circulations sur nuisan accid
ce
ent
l’environnement
1 Veiller aux accès et Risques de fuite
Maintenance à la circulation de propane ( pas X
préventive autour du de barrières
BT bras possible )
BU
S2 Meilleure Dispositifs d’accès
Maintenance implantation en hauteur X
préventive possible correctement
BT ( au Sud ) dimensionnés
BU BU

REMARQUES SUR LE TABLEAU B :

- Les premières barrières recherchées sont les barrières de conception. En effet

on commence toujours par travailler la prévention et la protection collectives, la protection
individuelle n’intervenant que si la protection collective est insuffisante car elle introduit des
nuisances. Ces barrières sont des BT.
- La ventilation est une barrière importante qui fait partie des barrières de
conception. On l’identifie à part. Elle intervient sur l’événement principal ou flux (c’est un
absorbeur de flux).
- L’habilitation est une procédure écrite ( avec cosignature de l’habiliteur et de
l’habilité) qui consiste à confier à un exécutant un travail décrit pour lequel l’habiliteur s’est
assuré que l’habilité a la connaissance des risques, les moyens et l’autorité d’assurer ce
travail.

123
 - L’identification des facteurs d’ambiance ne coduit pas forcément à une
définition de barrières mais il peut la faciliter. Il est une introduction à l’approche
ergonomique.
- Les consignations sont des procédures qui consistent à mettre en sécurité une
installation ou une partie d’installation de manière à ce que même si quelqu’un veut la
remettre en fonctionnement, il ne puisse pas le faire. Elles font l’objet de verrouillages avec
clef unique possédée par le consignateur seul.
- L’implantation consiste à définir quelle est la meilleure
implantation possible compte tenu des risques identifiés et de l’environnement.
- L’influence sur l’environnement permet de définir quelle est l’influence du
scénario sur l’environnement passif et de rechercher les barrières adéquates.
- Les deux dernières colonnes permettent de définir respectivement :
Pour FN, si le scénario se produit en fonctionnement normal auquel cas
c’est une nuisance et il entrera dans une étude d’impact..
Pour AC, si le scénario est accidentel auquel cas il entrera dans une
étude de danger.

10ème NIVEAU: Qualification des barrières de prévention et de protection :

Une fois les barrières définies, il faut s’assurer qu’elles ne présentent ou ne génèrent pas de
risques, et il faut les qualifier dans le temps c’est à dire s’assurer de leur pérennité.
Pour cela on constate que si l’on introduit chaque barrière dans le tableau B (baptisé alors
tableau C), un certain nombre de rubriques de ce tableau permettent de répondre aux deux
contraintes définies ci-dessus.
Illustrons ceci avec l’installation propane.

TABLEAU C
BARRIERES Scénar Typ Eléments de Contrôles et
DE: io e conception de ces vérifications Maintenance
1-1 Conception barrières ( grille 1 ) techniques

Bras articulé 1 BT A2 Note de calcul

de résistance
A3 Bon Déjà pris en Déjà pris en
équilibrage compte compte
A4 Manutention
facile
A9 Montage anti-
vibratoire
C1 Moteurs anti-
déflagrants

124
Clapets
d’étanchéité du 1 BT A1 Correctement Vérification Préventive (
branchement du calculés au dP périodique de bon corrosion)
bras mobile fonctionnement
Renforcement
au choc des 1 BT A2 Vérification
piquages des Dimensionnement périodique d’état
wagons correct

Mise à la terre 1 BU Bonne continuité Vérification Préventive

électrique . périodique de la (corrosion)
Résistance de terre résistance de terre
adaptée
Système antigel
de 1 BT A2 Eléments Vérification
l’accès en robustes périodique de bon
hauteur fonctionnement

Echelle et
platelage 2 BT Vérification
antidérapants périodique d’état

Le tableau montre que la colonne conception, combinée à la grille 1 permet de vérifier que les
barrières n’introduisent pas de nouveau risques et les autres colonnes permettent de les
qualifier dans le temps.

11ème NIVEAU : nouvelle situation des scénarios dans les grilles GxP :

Il est possible de vérifier comment les barrières font évoluer les scénarios dans leur
position dans les grilles G x P. Commençons par le scénario S2 :

125
 G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

GRILLE G X P

NIVEAU

TRES IMPORTANT
4
MORT D'HOMME

IMPORTANT
EFFETS
IRREVERSIBLES
INACCEPTABLE 3
ACCIDENT AVEC
IPP
PEU IMPORTANT
EFFETS
REVERSIBLES
ACCIDENT AVEC 2
AT SANS IPP
MINEUR
BLESSURES ACCEPTABLE
LEGERES
ACCIDENT SANS
S2 1
AT

TRES PEU
IMPROBABLE PROBABLE
IMPROBABLE PROBABLE P = PROBABILITE
RISQUE
0 FOIS PEUT-ETRE PLUS DE L'EFFET
UNE FOIS UNE FOIS D' UNE FOIS
dansla durée devie
de l'installation ou de l'expérience
NUISANCE
NUISANCE TRES NUISANCE NUISANCE
EXCEPTIONNELLE
TEMPORAIRE TEMPORAIRE PERMANENTE
<1 1 2 3 4 NIVEAU

On peut admettre, compte tenu des barrières envisagées, que gravité et probabilité seront
diminués et que cet ENS sera peu probable et avec des conséquences mineures. Cette décision
sera prise par le groupe de travail après discussion d’évaluation.

Pour ce qui concerne maintenant le BLEVE :

126
 P 1 2 3 4 5 6
BLESSURES BLESSURES DESTRUCTION DE
IRREVERSIBLES MORT DE PERSONNE
REVERSIBLES PLUSIEURS CIBLES

6 PROBABILITE
INCONNUE

FREQUENT

5 > 1/an I
POSSIBLE
4 10-2<P<1:an
RARE
3 10-4<P<10-2/an A
extrêmement
RARE
2 10-6<P<10-4/an

1 IMPROBABLE 1
P<10-6/an

CONSEQUENCES CONSEQUENCES
NULLES MINEURES. Pas de
CONSEQUENCES
SIGNIFICATIVES
CONSEQUENCES
CRITIQUES
CATASTROPHIQUE CATASTROPHIQUE
NIVEAU 1 NIVEAU 2
G
blessures de personne

Le scénario 1, après mise en place des barrières, garde le même niveau de gravité car, s’il
arrive aucune barrière ne peut en diminuer les effets mais sa probabilité est fortement
diminuée et il devient improbable.
Il s’agit alors d’un RISQUE RESIDUEL.

127
 Le MODULE A est terminé.
C’est en fait la partie la plus originale de MOSAR.

Nous avons fait une analyse principale de sécurité de l’installation ou une analyse des
risques principaux de l’installation.
Dans la plupart des cas cette analyse est suffisante. Mais il peut être nécessaire d’aller plus
loin soit parce qu’on le décide pour parachever l’analyse et aller jusqu’à la mise en place
d’une culture de sécurité, soit parce que une réglementation l’impose (Installations Classées
par exemple). On entrera alors dans le module B de la méthode.

TABLEAU B TABLEAU C
INSTALLATION
TABLEAU A
Dangers
et Arbres
processus logiques
A1
A2
B3 Qualification
D2 des barrières
C2
scénarios

GRILLE 1
BU

BT

barrières

Synthétisons cette partie de l’analyse en examinant les découpages et remises en relations

développées :
L’installation est tout d’abord découpée en sous systèmes. Chacun de ceux-ci est combiné
avec la grille 1 pour donner un découpage en dangers et en processus de danger. Les sous
systèmes et leurs processus de danger sont ensuite, par la technique des boîtes noires,
recombinés entre eux pour faire apparaître les différents types de scénarios. Ceux-ci sont
rassemblés dans les arbres logiques. Après négociation d’objectifs avec les acteurs, ce qui
consiste à combiner les scénarios avec leur point de vue, les scénarios des arbres logiques
sont combinés avec le tableau B pour donner un découpage en barrières. La combinaison des
éléments du tableau B donne le tableau C.
En combinant les barrières avec le tableau C, on les qualifie.

On voit donc bien ici que toute analyse conduisant à un découpage incontournable mais
réducteur, les principes de la systémique nous enjoignant de remettre en relation ce qui a été
découpé, ont été appliqués au maximum des possibilités.

128
 MODULE B
1ère Etape module B : IDENTIFIER LES RISQUES DE
FONCTIONNEMENT :

Reprenons l’arbre logique BLEVE de la page 114

Nous allons nous intéresser aux dysfonctionnements techniques et aux dysfonctionnements
opératoires qui constituent les événements initiaux de cet arbre et que dans un
DYSFONCTIONNEMENT

FLUX
Mauvaise formation MAUVAIS BRANCHEMENT FUITE
opérateur THERMIQUE
DU BRAS SUR WAGON ENFLAMMEE SUR WAGON

ETINCELLE BLEVE
CHOCS CHOC
WAGON
CORROSION
VIBRATIONS DEFORMATION

DYSFONCTIONNEMENT BLEVE
FUITE
NON ENFLAMMEE SPHERE
DEFAUT INTERNE
ETANCHEITE SPHERE
DISPOSITIF DE
BRANCHEMENT

déraillement ETINCELLE
EXPLOSION CHOC
collision sur route
EXTERNE SPHERE
accident péniche

FUITE
SPHERE

OBSTACLE
DYSFONCTIONNEMENT
GIVRAGE
VANNE PRELEVEMENT

ARBRE LOGIQUE BLEVE

premier temps, dans le module A, nous n’avons pas cherché à détailler et que nous avons
traité de manière globale.
A titre d’exemple, retenons le dysfonctionnement opératoire :
mauvaise formation mauvais branchement du bras
et le dysfonctionnement technique :
défaut interne du dispositif de branchement.
Nous allons chercher à préciser les événements initiateurs de ces événements.
Pour ce qui concerne les dysfonctionnements opératoires, le travail se fera par une
ANALYSE D’ACTIVITE.
Pour ce qui concerne les dysfonctionnements techniques, le travail se fera en
utilisant des outils tels que l’AMDEC ou HAZOP suivant les cas.
12ème NIVEAU : Identifier les dysfonctionnements opératoires détaillés :

129
 Cette partie de l’analyse consiste à prendre en compte aussi complètement que
possible le facteur humain.
Le principe général de l’ANALYSE D’ACTIVITE consiste à comparer
l’activité prescrite (dans les modes opératoires) et l’activité réelle et donc à observer
l’opérateur sans le perturber. L’activité réelle de l’opérateur, qui possède des savoirs faire et
sa propre image mentale, est différente de celle prévue par les concepteurs qui ont leur image
mentale de cette activité, surtout s’ils n’ont pas associé les opérateurs dans leur rédaction des
procédures.
De nombreuses méthodes (*) et sociétés spécialisées traitent de l’analyse d’activité.

Afin d’illustrer schématiquement cette étape, dressons un tableau simplifié des

opérations nécessaires pour le branchement du bras mobile sur le wagon :

OPERATIONS DYSFONCTIONNEMENTS POSSIBLES

CONSEQUENCES

1 – Vérification de Pas de vérification Bras peut se bloquer

mobilité du bras
2 – Mise en place du
bras par rotation
3 – Enclenchement du
bras dans le dispositif de
connexion du wagon
4 – Verrouillage du dispositif
5 – Vérification du verrouillage
et de l’étanchéité
6 – Vérification de continuité
de terre
Blocage du bras Pas de déplacement
possible
grippage du joint
Défaut du joint de rotule Fuite
Blocage du bras
Défaut du joint de rotule
Mauvais positionnement
Détérioration du clapet
Mauvais verrouillage
Détérioration du joint
Pas de vérification Fuite si dysfonctionnements
précédent
Pas de vérification génération d’électricité
statique sans écoulement
à la terre étincelles

Il est à noter que sont mis en évidence des dysfonctionnements de nature opératoire mais
aussi de nature technique.
Ces dysfonctionnements peuvent être représentés sous la forme d’un premier arbre de
défaillances de fonctionnement.

(*) voir notamment ‘’ l’Etat de l’art dans le domaine de la Fiabilité Humaine ‘’

ISDF – Edité par OCTARES 1994

130
 MAUVAIS
VERROUILLAGE

DETERIORATION
1
BLOCAGE DU BRAS DU CLAPET
AU COURS DU
DEPLACEMENT
2
DEFAUT
GRIPPAGE DE JONCTION

FUITE SUR
BLOCAGE DU BRAS DISPOSITIF
AU COURS D’UNE DE
DEFAUT JOINT
OPERATION BRANCHEMENT
DE ROTULE
PRECEDENTE DU BRAS MOBILE

MAUVAIS POSITIONNEMENT
DU BRAS

MAUVAISE FORMATION

PAS DE
VERIFICATION

STRESS

13ème NIVEAU : Identifier de manière détaillée les dysfonctionnements techniques :

Cette étape se fait en réalisant des AMDEC ou des HAZOP, suivant le cas, sur les éléments
techniques des sous systèmes. Par exemple on peut faire une AMDEC sur le clapet anti retour
du dispositif de connexion du bras mobile sur le wagon. Celui-ci se présente schématiquement
comme suit :

Pi Pour ouvrir le clapet à la connexion, il

faut exercer une force F1 telle que :
2
F1 + Patm x S2 > F + Pi S1

Pi = f ( température externe)

S1
1

Patm S2 F1
3

131
 Une petite analyse fonctionnelle donne le schéma suivant :
Pi S1 + F > Patm X S2
Ressort
Contact Pas de
exerce sa
Clapet étanche du sortie
force sur
guidé clapet de
le clapet
liquide
Ressort de rappel bien
taré

Ce qui permet de construire le tableau d’AMDEC :

Désigna fonction repère Mode de Cause de Effet de défaillance Détection Dispositif Probabilit Niveau Remar
tion de défaillance défaillance Effet local Effet de la de de de Ques
l’équip final défaillance remplacemdéfaillance criticité
ement ent

Clapet Assurer Non Mauvais Fuite de Formation Bruit Vanne Possible MAXI Maintenan
d’étanch l’étan étanchéité fonctionne propane d’un nuag Brouillard d’isolem ce
éité cheité du 2 ment de propan Odeur ent préventive
branchem et d’air Choix du
nt du bras métal
mobile (autolubri
iant)
Ressort de Appliquer Force Mauvais Non Fuite Bruit Vanne Possible MAXI Choix du
rappel le clapet insuffi tarage application Brouillard d’isolem métal
sur sa 1 sante ou Rupture du clapet Odeur Ent
portée nulle sur sa
portée
Guidage Guider le Coince Usure Non Fuite Bruit Vanne Possible MAXI Maintenan
du clapet déplace 2 Ment Grippage application Brouillard d’isolem ce
ment du Rupture Défaut du du clapet Odeur Ent préventive
clapet métal sur sa
portée
Contact Assurer Mauvais Défor Non Fuite Bruit Vanne Possible MAXI Vérifica
d’étan l’étan contact Mation application Brouillard d’isole tion de la
Chéité de chéité du 3 Présence Dépôt de du clapet Odeur Ment portée
la portée clapet d’obstacle matière sur sa avant
du clapet Objet portée branche
ment

qui permettra de construire un deuxième arbre de défaillance de fonctionnement :

Celui-ci se connecte en 1 sur l’arbre de défaillance précédent.

REMARQUES :

L’analyse d’activité et l’analyse des dysfonctionnements techniques est un travail de

spécialistes long et coûteux, surtout dans une installation industrielle.

Il se couple bien avec une analyse de défaillances qui rejoint la qualité et la maintenance.

132
 DEFORMATION

DEPOT DE
MAUVAIS
MATIERE
CONTACT
PRESENCE SUR PORTEE
D’OBSTACLES
OBJET

1
USURE
COINCEMENT
DEFAUT DE
GUIDAGE
GRIPPAGE DU CLAPET FUITE PAR
DETERIORATION
RUPTURE
DEFAUT DE METAL DU CLAPET

COINCEMENT
DEFAUT DU
RESSORT
DE RAPPEL
RUPTURE

P1 X S1+ F > Patm X S2

RESSORT
DE RAPPEL
SANS ACTION
RESSORT MAL TARE

–
2ème Etape du module B : EVALUER LES RISQUES EN CONSTRUISANT
DES ARBRES DE DEFAILLANCE ET EN LES QUANTIFIANT :

14ème NIVEAU: Construire des arbres de défaillance sur les risques

principaux :

A ce niveau de l’analyse, nous avons toute l’information pour construire des arbres de
défaillance sur les ENS principaux identifiés dans le module A.
En effet :
Les arbres logiques du module A sont les squelettes de ces arbres.
Les ADD construits sur les dysfonctionnements techniques et opératoires développent
les événements primaires des arbres logiques.
En construisant l’ADD on combine verticalement les événements qui ne l’étaient que
linéairement et on fait apparaître, dans les combinaisons, des événements nouveaux qui
n’étaient pas encore apparus. Si nous illustrons ceci à partir de l’arbre de défaillance BLEVE
de la sphère représenté de manière non complète ci-après, apparaissent dans la construction
logique de l’arbre à partir de l’arbre logique de la page114, par exemple, les événements
entraînant la rupture de l’enveloppe et ceux concernant l’intervention. On peut alors constater
qu’un flux thermique est un mode commun de défaillance, ce qui est assez évident, à la
rupture de l’enveloppe et au dépassement des conditions limites de surchauffe du propane.

133
 6 FLUX
THERMIQUE
P>PRESISTANCE
SPHERE
TROP
PLEINE DILATATION
PROPANE
LIQUIDE

SOUPAPE
PAS DE BLOQUEE RUPTURE
VIDANGE ENVELOPPE
POSSIBLE PAS DE
DEPRESSURISATION
FAIBLE DEBIT
SOUPAPE

INCENDIE SUR
5 CHOC ELEMENT PROCHE

FEU DANS
DYSF L ’ENVIRONNEMENT 6
FUITE SUR
4 VANNE BLEVE
SPHERE
PRELE SPHERE
VEMENT FLUX
FUITE THERMIQUE
ENFLAMMEE
SOURCE
3
d ’ALLUMAGE

RAYONNEMENT
TROP INTENSE t°>t° ls
INTERVENTION
NON EFFICACE
OU IMPOSSIBLE
MOYENS
INSUFFISANTS

RUPTURE
D ’ENVELOPPE

FUITE SUR
DISPOSITIF
2
DE
BRANCHEMENT
5
DU BRAS MOBILE
FUITE BLEVE
ENFLAMMEE WAGON

CHOC
SUR
SOURCE t°>t°ls
3 SPHERE
D ’ALLUMAGE
AUTRE
ORIGINE

134
 DISPOSITIF
DE MISE
A LA TERRE
NON BRANCHE 3
ETINCELLE
ELECTROSTATIQUE

SOURCE
D ’ALLUMAGE
DISPOSITIF
DE MISE
A LA TERRE
DEFECTUEUX
AUTRE

15ème NIVEAU : Quantifier les ADD :

La technique des ADD permet d’utiliser tous les avantages liés à leurs propriétés :
Visualisation de l’enchaînement combinatoire de tous les événements
Conduisant aux ENS.
Possibilité de neutraliser les ENS en inhibant les événements primaires.
Identification des modes communs.
Possibilité de réduire l’arbre (le simplifier) si l’on peut écrire son équation
en algèbre de BOOL.
Détermination des coupes de l’arbre ou des différents groupes de nombre
d’événements primaires se combinant pour générer l’ENS (ordre 1 : il suffit d’un événement
primaire pour générer l’ENS ; ordre 2 : il suffit de deux événements primaires pour générer
l’ENS......)
Quantification de l’arbre, c’est à dire calcul de la probabilité de l’ENS en
appliquant l’équation de l’arbre en algèbre de BOOL. Pour cela il est nécessaire de connaître
la probabilité des événements primaires. Si l’on examine les événements primaires de l’ADD
BLEVE, on remarque toute la difficulté de trouver ces dernières. Pour cette raison, il est rare,
en milieu industriel, de pouvoir calculer la probabilité des ENS.

Nous pouvons tourner cette difficulté en mettant en œuvre une technique exposée ci-après qui
va permettre de faire une allocation d’un nombre de barrières.

3ème Etape du module B :NEGOCIER DES OBJECTIFS PRECIS

DE PREVENTION :

135
 A ce niveau de l'analyse il est possible d'utiliser les propriétés des arbres de
défaillances pour allouer une répartition d'un nombre de barrières de prévention sur les ENS.
Il sera alors nécessaire de pratiquer une deuxième négociation pour fixer le nombre de
barrières en fonction de la Gravité des ENS.
Comme il est rare de pouvoir placer directement les barrières sur les ENS, on les répartit en
remontant l’arbre à l’envers.

16ème NIVEAU : Négocier une allocation de barrières :

Pour ce faire on construit un grille négociée entre les acteurs, qui fait correspondre un nombre de
barrières à chaque niveau de gravité défini dans la 4ème Etape du module A (page 116).
Prenons le cas de la grille G x P pour les cibles écosystèmes et populations de l’installation de
propane. On peut construire le tableau de correspondance suivant :

OBJECTIF EN NOMBRE DE BARRIERES

GRAVITE G

Technologiques D’Utilisation
4 2
6 ou
3 3
3 2
5 ou
3 3
3 1
4 ou
2 2
2 1
3 ou
1 2
1 1
2 ou
0 2
1 0
1 ou
0 1

A chaque niveau, le choix entre les deux possibilités n’est pas innocent .
L’un privilégie les BT et considère donc qu’on ne peut pas trop faire confiance aux opérateurs.
L’autre met une égale confiance dans la technique et dans les opérateurs, ce qui sous entend que
ces derniers sont bien formés notamment à la connaissance et à la maîtrise des risques.

17ème NIVEAU : Répartir les barrières sur les ADD :

136
A partir de l’allocation de barrières choisie sur l’ENS, on utilise la logique de l’arbre pour
remonter à une allocation sur les événements primaires de ce dernier .

2BU A

2BT
2BU
ENS
2BT C
2BT

2BT D
2ème configuration

2BT A

2BT
2BT A 2BU
ENS
2BU C 2BT
2BU
2BU ENS
2BU C B
2BU

D B
2BU 1ère configuration

2BU D
1ère configuration

Il y a donc plusieurs répartitions possible. Le schéma précédent n’en montre que deux.

4ème ETAPE : AFFINER LES MOYENS DE PREVENTION :

A partir des différents modes de répartition des barrières, on construit un tableau ou l’on
recense toutes les barrières qu’il est possible de mettre sur les événements primaires. Il est
évidemment fait appel aux barrières identifiées dans le module A, complétées avec celles
trouvées dans le module B.

137
On peut s’arrêter là et vérifier simplement que les barrières permettent de neutraliser
tous les événements sinon on fait apparaître de risques résiduels.
On peut aussi évaluer (ou on calcule si cela est possible) le coût des barrières.
On évalue l’avantage en matière de sécurité des configurations en nombre de barrières et
leur avantage en matière de coût. Il reste à trancher entre les deux lorsque les résultats sont
contradictoires.

Illustrons ce travail avec l’ADD BLEVE : 1 ère CONFIGURATION DE

REPARTITION DES BARRIERES :
1 BT + 1 BU 6 FLUX 1 BT + 1 BU
THERMIQUE
P>PRESISTANCE
SPHERE 1 BT + 1BU
1 BU TROP
PLEINE DILATATION
PROPANE
LIQUIDE 2 BT + 1 BU
SOUPAPE
PAS DE 1 BT BLOQUEE 1BT RUPTURE
VIDANGE ENVELOPPE
1 BT
POSSIBLE 1 BT PAS DE
DEPRESSURISATION
FAIBLE DEBIT
SOUPAPE
1 BT
INCENDIE SUR
1 BT + 1 BU
5 CHOC ELEMENT PROCHE
1 BT + 1 BU
1 BT FEU DANS 3 BT+ 3BU
DYSF L ’ENVIRONNEMENT 6
FUITE SUR
4 VANNE 1 BT + 1 BU BLEVE
SPHERE
PRELE 1 BT + 1 BU SPHERE
VEMENT FLUX
FUITE THERMIQUE
1 BT ENFLAMMEE
SOURCE
3
d ’ALLUMAGE
1 BU
RAYONNEMENT
1 BU
TROP INTENSE
1 BU
t°>t° ls
INTERVENTION 2 BU + 1 BT
NON EFFICACE
1 BU OU IMPOSSIBLE
MOYENS
INSUFFISANTS

1 ère CONFIGURATION

DISPOSITIF
DE MISE
A LA TERRE
NON BRANCHE 3
ETINCELLE
ELECTROSTATIQUE
1 BU
1 BU
SOURCE
D ’ALLUMAGE
DISPOSITIF
DE MISE 1 BU
A LA TERRE
DEFECTUEUX
AUTRE

1 BU
1 BU

1 ère CONFIGURATION

138
 NOUVELLE ALLOCATION LIEE AU FAIT QUE
RUPTURE LE BLEVE DU WAGON EST UN ENS
D ’ENVELOPPE
1 BT
1 BT + 1 BU
FUITE SUR
DISPOSITIF
2
DE
3 BT + 3 BU
BRANCHEMENT
5
DU BRAS MOBILE
FUITE BLEVE
ENFLAMMEE WAGON
1 BT
1 BT + 1 BU
CHOC
SUR
SOURCE t°>t°ls
3 SPHERE
D ’ALLUMAGE
1 BT + 1BU AUTRE
1 BU ORIGINE

1 BT

1ère CONFIGURATION

1 BT MAUVAIS
VERROUILLAGE

1 BT
DETERIORATION
1
BLOCAGE DU BRAS DU CLAPET
1 BT AU COURS DU
DEPLACEMENT
2
DEFAUT
DE JONCTION
GRIPPAGE
1 BT

FUITE SUR
BLOCAGE DU BRAS DISPOSITIF
1 BT AU COURS D’UNE DE
1 BT DEFAUT JOINT
OPERATION BRANCHEMENT
DE ROTULE
PRECEDENTE DU BRAS MOBILE

MAUVAIS POSITIONNEMENT
DU BRAS

1 BT MAUVAISE FORMATION

PAS DE
VERIFICATION

1 BT STRESS

1 ère CONFIGURATION

139
 1 BT DEFORMATION

DEPOT DE
1 BT MAUVAIS
MATIERE
CONTACT
PRESENCE SUR PORTEE
D’OBSTACLES
1 BT OBJET

1
1 BT USURE
COINCEMENT
DEFAUT DE 1 BT
GUIDAGE
1 BT GRIPPAGE DU CLAPET
DETERIORATION
RUPTURE DU CLAPET
DEFAUT DE METAL

1 BT
COINCEMENT
DEFAUT DU
1 BT RESSORT
DE RAPPEL
RUPTURE

1 BT

P1 X S1+ F > Patm X S2

1 BT RESSORT
DE RAPPEL
SANS ACTION
RESSORT MAL TARE

1 BT 1 ère CONFIGURATION

COMMENTAIRES :
Sur l’événement BLEVE WAGON il est nécessaire de faire une nouvelle allocation de
barrières puisqu’il s’agit d’un ENS majeur.
A partir de FUITE SUR LE DISPOSITIF DE BRANCHEMENT DU BRAS
MOBILE, événement pour lequel il est alloué une barrière, on alloue au moins une barrière à
tous les événements primaires.

2ème CONFIGURATION D’ALLOCATION DE BARRIERES :

Dans cette deuxième configuration, on fait une allocation différente de barrières et on la

répartit de la même manière que pour la première configuration sur les événements primaires.
L’allocation pour le BLEVE DU WAGON est aussi changée.
On constate en fait que le nombre de barrières finales sur certains événements
primaires, notamment ceux qui se trouvent en bout de scénarios très longs, ne change pas.

140
 1 BT + 1 BU 6 FLUX
THERMIQUE
P>PRESISTANCE
SPHERE 1 BT + 1 BU
TROP 1 BT + 1 BU
1 BU PLEINE DILATATION
PROPANE
LIQUIDE
2 BU +1 BT
SOUPAPE
1 BU
PAS DE BLOQUEE RUPTURE
1 BU
VIDANGE ENVELOPPE
1 BT
POSSIBLE PAS DE
DEPRESSURISATION
FAIBLE DEBIT
1 BU
SOUPAPE
1 BT
INCENDIE SUR
2 BT ELEMENT PROCHE
5 CHOC

1 BT 2 BT
FEU DANS 3 BT + 3BU
DYSF L ’ENVIRONNEMENT 6
FUITE SUR 2 BT
4 VANNE BLEVE
SPHERE
PRELE 2 BT
SPHERE
VEMENT FLUX
1 BT
FUITE THERMIQUE
ENFLAMMEE
SOURCE
3
d ’ALLUMAGE

1 BT RAYONNEMENT
1 BU TROP INTENSE 1 BU t°>t° ls
INTERVENTION 2 BT + 1 BU
NON EFFICACE
OU IMPOSSIBLE
MOYENS
1 BU
INSUFFISANTS
2 ème CONFIGURATION

141
 DISPOSITIF
DE MISE
A LA TERRE
NON BRANCHE 3
ETINCELLE
1 BT ELECTROSTATIQUE

1 BT SOURCE
D ’ALLUMAGE
DISPOSITIF
DE MISE 1 BT
A LA TERRE
DEFECTUEUX
AUTRE
1 BT
1 BT

2 ème CONFIGURATION

1 BU

RUPTURE
3 BT D ’ENVELOPPE

FUITE SUR
DISPOSITIF
2
DE 4 BT + 2 BU
4 BT
BRANCHEMENT
5
DU BRAS MOBILE
FUITE BLEVE
ENFLAMMEE WAGON

CHOC
SUR
SOURCE t°>t°ls
3 SPHERE
D ’ALLUMAGE
AUTRE
1 BU 1 BT
1 BT ORIGINE

1 BT

2ème CONFIGURATION

142
 2 BT MAUVAIS
VERROUILLAGE

2 BT
2 BT
DETERIORATION
1
BLOCAGE DU BRAS DU CLAPET
AU COURS DU
DEPLACEMENT 2 BT 2
DEFAUT
GRIPPAGE DE JONCTION

2 BT
2 BT
2 BT FUITE SUR
DISPOSITIF
BLOCAGE DU BRAS
DEFAUT JOINT DE
AU COURS D’UNE
DE ROTULE BRANCHEMENT
OPERATION
DU BRAS MOBILE
PRECEDENTE
2 BT
3 BT
MAUVAIS POSITIONNEMENT
2 BT
DU BRAS

MAUVAISE FORMATION

PAS DE
VERIFICATION

1 BT
STRESS

1 BT 2ème CONFIGURATION

DEFORMATION
2 BT
2 BT
DEPOT DE
MAUVAIS
MATIERE
CONTACT
PRESENCE SUR PORTEE
2 BT
D’OBSTACLES
2 BT
OBJET

1
2 BT USURE
COINCEMENT
DEFAUT DE 2 BT
GUIDAGE
2 BT GRIPPAGE DU CLAPET
DETERIORATION
RUPTURE DU CLAPET
DEFAUT DE METAL 2 BT

2 BT
COINCEMENT
DEFAUT DU
2 BT RESSORT
DE RAPPEL
RUPTURE
2 BT
2 BT

1 BT P1 X S1+ F > Patm X S2

RESSORT
DE RAPPEL
SANS ACTION
1 BT RESSORT MAL TARE
2 ème CONFIGURATION
2 BT

143
 TABLEAU D
BARRIERES
BARRIERES POSSIBLES EXIGENCE AVAN EXIGENC AVAN COUT COUT AJOUTEES
ENS PRIMAIRE TAGE E TAGE DANS LA
CONFIG.
BT BU 1ère Config 2ème Config 1ère Conf 2ème Conf RETENUE
PROTECTION
RAYONNEMENT INDIVIDUELLE 1 BU OK 1 BU OK
TROP
INTENSE
ARROSAG ARROSAGE
MOYENS DE LUTTE E 1 BU + 1 BU + + + FIXE AUTOM
INSUFFISANTS FIXE ATIQUE
AUTOMAT.
DEBROU PERMIS DE
AUTRE SOURCE SSAILLAG FEU
D’ALLUMAGE E VERIFICA 1 BU ++ 1 BT ++ +
TION PERIODI
QUE DEBROU
SSAILLAGE
CONSIGNE DE DISPOSITIF
DISPOSITIF DE MISE Dispositif BRANCHE 1 BU + 1 BT + + AUTOMA
A LA TERRE NON automa MENT TIQUE
BRANCHE tique
Contrôle
DISPOSITIF DE MISE ET
A LA TERRE ENTRETIEN 1 BU + OK
DEFECTUEUX PERIODIQUES 1 BT
Consigne
contrôle avant
branchement
Contrôle et _
SOUPAPE BLOQUEE Entretien 1 BT 1 BU OK
périodiques
SOUPAPE
FAIBLE DEBIT DE BIEN 1 BT OK 1 BU OK
SOUPAPE calculée
DETECTIO CONSIGNE DETECTEU
SPHERE TROP N Contrôle 1 BU ++ 1 BU ++ + + R
PLEINE NIVEAU PERIODIQUE NIVEAU
DOUBLEE DETECTEUR DOUBLE

SPHERE CONSIGNE
VIDANGE VIDE EN 1 BT + 1 BT +
IMPOSSIBLE ATTENTE
Protection
AUTRE CHOC SUR des 1 BT OK 1 BT OK
SPHERE piquages

DEFAUT VANNE DE Contrôle + +

PRELEVEMENT VANNE PERIODIQUE 1 BT 1 BT
BIEN
CONCUE
PERSONNEL _ _
STRESS ENTRAINE 1 BT 1 BT
FORMATION _ __
MAUVAISE CORRECTE 1 BT 2 BT
FORMATION ENTRAINE
MENT
Contrôle
DEFAUT JOINT DE PERIODIQUE OK _
ROTULE MAINTEN 1 BT 2 BT
ANCE
PREVENTIVE
VERIFICATIO _ __
BLOCAGE BRAS AU N 1 BT 2 BT
COURS OPERATION AVANT MISE
PRECEDENTE EN OEUVRE
GUIDE FORMATION _
BLOCAGE DU BRAS MECANIQ ENTRAINE +
AU COURS DU UE DE MENT 1 BT 2 BT
DEPLACEMENT CONNEXI
ON

144
 SECURITE _ SECURITE
MAUVAIS VERROUI DE 1 BT OK 2 BT DE
LLAGE DU BRAS VERROUI VERROUI
LLAGE LLAGE

CHOIX DU ENTRETIEN _
DEFORMATION METAL PREVENTIF 1 BT + 2 BT
CLAPET
FILTRE NETTOYAGE FILTRE
DEPOT MATIERE APRES + OK
SUR TRAVAUX 1 BT 2 BT
CLAPET Contrôle
PROPRETE
NETTOYAGE
OBJET SUR CLAPET APRES _
TRAVAUX
Contrôle 1 BT OK 2 BT
PROPRETE
Contrôle
AVANT
branchement
CHOIX DU MAINTENANC _
USURE GUIDE CLAPET METAL E 1 BT + 2 BT
PREVENTIVE
METAL MAINTENANC _
GRIPPAGE GUIDE AUTOLUB E 1 BT + 2 BT
CLAPET RIFIANT PREVENTIVE
CHOIX DU Contrôle
DEFAUT DU METAL METAL QUALITE 1 BT + 2 BT OK
TESTS
Contrôle _ __
COINCEMENT PERIODIQUE 1 BT 2 BT
RESSORT
Contrôle _ __
RUPTURE RESSORT QUALITE 1 BT 2 BT
TESTS
PAR
PI X S1 + F>Patm x S2 CONSTRU 1 BT OK 1BT OK
CTION
TARAGE DU
RESSORT MAL TARE RESSORT 1 BT OK 1 BT OK
Contrôle
PERIODIQUE
8 OK 9 OK
11+ 4+
2++ 2++ 4+ 2+
BILAN 6– 8–
4--

NE PAS OUBLIER DE QUALIFIER

CES BARRIERES EN LES
INTRODUISANT DANS LA GRILLE

145
La lecture du tableau fait apparaître les points suivants :

- La configuration 1 est la meilleure sur le plan de la sécurité car c’est dans

celle-ci qu’il manque le moins de barrières pour satisfaire les objectifs.
- Elle est un peu plus chère en coût d’investissement car en quatre points les
barrières sont surdimensionnées.
- On retiendra donc la configuration 1.

REMARQUE :
Cette partie de l’analyse est encore peu développée et assez rarement mise en œuvre.
Elle met bien en évidence les choix implicites ou explicites faits entre BT et BU.
Elle nécessite que l’on s’assure pour chacun des types de barrières (BT ou BU) que les
barrières sont homogènes en efficacité.

5ème ETAPE : GERER LES RISQUES :

Pour terminer l’analyse, avec les scénarios identifiés et en recensant les moyens
d’intervention et leur mise en œuvre à travers l’organisation, on crée les plans d’intervention
en cas d’accidents ( POI ou Plan d’Opérations Interne en milieu industriel ; PUI ou Plan
d’Urgence Interne en milieu nucléaire).
Ces plans sont destinés à montrer qu’il est possible de faire face aux ENS, s’ils surviennent, et
qu’il est possible d’en limiter les effets.
Par exemple, dans le scénario BLEVE, le POI doit prévoir quels moyens, et comment ils
seraient mis en œuvre, permettraient de lutter contre une fuite enflammée pour éviter le
déroulement du scénario complet.
On peut à ce niveau sur chacun des ENS ayant fait l’objet d’un ADD, construire un arbre
cause-conséquences qui aide à identifier les conséquences de cet événement suivant
l’efficacité des moyens mis en place pour en limiter les effets s’il survient.
Cet arbre est donc symétrique de l’ADD par rapport à l’ENS.

6 FLUX
THE RM IQUE
P>PRE SISTANCE
UNE INTERVENTION
S PHERE EST POSSIBLE
TROP
PLE INE DIL AT AT ION LA FUITE
PROPANE
LIQUIDE
S’ENFLAMME OUI
S OUPAPE FUITE EN
PAS DE BL OQUE E RUPT URE
PHASE LIQUIDE OUI
VIDANGE ENVELOPPE
POSSIBLE PAS DE

FAIB LE DEBIT
DEPRESSURISATION LE WAGON NON
SOUPAPE EST PERCE OUI NON
INCENDIE SUR LE BLEVE OUI
5 CHOC EL EMENT PROCHE ATTEINT LE OUI
WAGON OUI
FEU DANS NON
DYSF L ’ENVIRONNEME NT 6 NON
VANNE
FUIT E SUR OUI NON
4 SPHERE BL EVE
PRELE S PHERE
VEME NT FLUX NON
FUIT E THE RM IQUE UNE NAPPE
ENFLAMM EE
SOURCE
DERIVANTE
3
d ’ALL UMAG E GAZEUSE SE
RAYONNEME NT NON FORME
TROP INTE NSE t°>t° ls

INT ERVE NT ION

NON EFFICACE POURSUITE DE
OU IMPOSSIBL E
L’ANALYSE
MOYENS
INS UFFISANTS

AMORCE D’UN ARBRE CAUSE - CONSEQUENCES SUR L’ENS BLEVE SPHERE

146
5 – LES MODES DE MISE EN OEUVRE DE LA METHODE :

Mise en œuvre complète avec ses étapes et ses niveaux

1er niveau 3ème niveau
1ère Etape 2ème niveau 4ème niveau

A partir MODULE A
d ’une IDENTIFIER LES Analyse principale de risques ou
SOURCES DE 1er niveau
modélisation 2ème niveau Analyse des risques principaux
DANGERS 2ème Etape
de 3ème niveau VISION MACROSCOPIQUE DE L ’INSTALLATION
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS 1er niveau
3ème Etape 2ème niveau

EVALUER LES
SCENARIOS DE 1er niveau
IDENTIFIER LES
RISQUES 4ème Etape 2ème niveau
RISQUES DE
FONCTIONNEMENT
NEGOCIER DES
OBJECTIFS ET
1ère Etape 1er niveau HIERARCHISER
EVALUER LES LES SCENARIOS 1er niveau
2ème niveau
RISQUES EN 5ème Etape 2ème niveau
CONSTRUISANT DES
ADD ET EN LES DEFINIR LES
QUANTIFIANT MOYENS DE
PREVENTION ET
2ème Etape 1er niveau NEGOCIER DES LES QUALIFIER
2ème niveau OBJECTIFS PRECIS
DE PREVENTION

MODULE B 3ème Etape 1er niveau AFFINER LES

Analyse des risques de fonctionnement ou 2ème niveau MOYENS DE
PREVENTION
Sûreté de fonctionnement
VISION MICROSCOPIQUE DE L ’INSTALLATION GERER
4ème Etape 1er niveau LES
2ème niveau RISQUES

5ème Etape

Il est aussi possible d’utiliser la méthode comme une BOITE A OUTILS.

147
A partir MODULE A
d ’une IDENTIFIER LES Analyse principale de risques ou
modélisation SOURCES DE
DANGERS Analyse des risques principaux
de VISION MACROSCOPIQUE DE L ’INSTALLATION
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS

EVALUER LES
SCENARIOS DE
IDENTIFIER LES
RISQUES
RISQUES DE
FONCTIONNEMENT
NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
EVALUER LES LES SCENARIOS
RISQUES EN
CONSTRUISANT DES
ADD ET EN LES DEFINIR LES
QUANTIFIANT MOYENS DE
PREVENTION ET
NEGOCIER DES LES QUALIFIER
OBJECTIFS PRECIS
DE PREVENTION

MODULE B AFFINER LES

Analyse des risques de fonctionnement ou MOYENS DE
PREVENTION
Sûreté de fonctionnement
VISION MICROSCOPIQUE DE L ’INSTALLATION GERER
LES
RISQUES

Chaque boîte contient en fait un ou plusieurs outils qu’il est possible de mettre en œuvre dans
des démarches réduites ou simplifiées. Voici quelques exemples :

Identification simple des sources de danger d’une installation.

On lit l’installation, sans la décomposer en sous systèmes, à travers la grille 1.
On obtient donc une liste exhaustive des sources de danger de l’installation.
Si l’on fait cela pour plusieurs installations, il est alors possible de les classer par importance
des dangers qu’elles présentent ce qui permet de savoir par quel ordre commencer leur
analyse de risques.

A partir IDENTIFIER
d’une LES SOURCES
DE DANGER
modélisatio
n

148
Identification simple des sources de danger d’une installation et recherche rapide des
moyens de prévention

On poursuit le travail précédent en recherchant rapidement les moyens de prévention pour

chaque danger.

A partir MODULE A
d ’une IDENTIFIER LES Analyse principale de risques ou
modélisation SOURCES DE
DANGERS Analyse des risques principaux
de VISION MACROSCOPIQUE DE L ’INSTALLATION
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS

EVALUER LES
SCENARIOS DE
RISQUES

NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
LES SCENARIOS

DEFINIR LES
MOYENS DE
PREVENTION ET
LES QUALIFIER

Etude des risques des trois centres de recherche et d’essais d’EDF ( Direction des
Etudes et Recherches).
On passe directement de la négociation d’objectifs à la construction d’ADD sur les
ENS à partir des arbres logiques et on recherche les barrières sur les événements primaires en
s’assurant que tous les événements peuvent être neutralisés.

A partir MODULE A
d ’une IDENTIFIER LES Analyse principale de risques ou
modélisation SOURCES DE
DANGERS Analyse des risques principaux
de VISION MACROSCOPIQUE DE L ’INSTALLATION
l ’installation
IDENTIFIER LES
SCENARIOS DE
DANGERS

EVALUER LES
SCENARIOS DE
IDENTIFIER LES
RISQUES
RISQUES DE
FONCTIONNEMENT
NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
EVALUER LES LES SCENARIOS
RISQUES EN
CONSTRUISANT DES
ADD ET EN LES DEFINIR LES
QUANTIFIANT MOYENS DE
PREVENTION ET
NEGOCIER DES LES QUALIFIER
OBJECTIFS PRECIS
DE PREVENTION

MODULE B AFFINER LES

Analyse des risques de fonctionnement ou MOYENS DE
PREVENTION
Sûreté de fonctionnement
VISION MICROSCOPIQUE DE L ’INSTALLATION GERER
LES
RISQUES

149
On trouvera ci-après un ensemble de cheminements possibles avec MOSAR pour le module
A et pour toute la méthode :

SYSTEME
QUELQUES EXEMPLES DE CHEMINEMENTS
DU MODULE A DE MOSAR
SOUS SYSTEMES

SYSTEMES SOURCES DE DANGERS

TABLEAU A

SCENARIOS

ARBRES LOGIQUES

EVALUATION EVALUATION EVALUATION

DES RISQUES DES RISQUES DES RISQUES

GRILLE GRILLE
GxP GxP

TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET TABLEAU B ET

TABLEAU C TABLEAU C TABLEAU C TABLEAU C TABLEAU C TABLEAU C TABLEAU C TABLEAU C TABLEAU C

INSTALLATION
1 Analyse des
Décomposition événements
en sous-systèmes primaires
Construction
1 techniques
d’arbres de
Systèmes Construction
défaillances
sources de d’un ADD
Analyse des sur ces
danger général
événements événements
1 opératoires

Tableau A Allocation
1 de barrières
1 sur l’événement
final
Scénarios

Arbres 1
logiques Meilleur
choix
1 coût/efficacité
Evaluation tableau D
des risques

Hiérarchisation
des risques

DIFFERENTS PARCOURS
Tableaux B DE MOSAR
et C sur les LE PARCOURS 1 EST PAR EXEMPLE CELUI
Tableau B événements
et tableau C
RETENU DANS LES ANALYSES FAITES A
primaires EDF ET A LA SNECMA

150
MOSAR PAR ETAPES ET PAR NIVEAUX
____

MODULE A
-----

ETAPE PRELIMINAIRE MODULE A : modélisation de l’installation et identification des

sources de danger :
modéliser l’installation : choisir le système à étudier et définir son
environnement.
décomposer l’installation en sous-sytèmes.

1ère ETAPE MODULE A : identifier les sources de danger

1er niveau : identification des sources de danger de chaque sous-sytème : mise

en œuvre de la grille 1.
2ème niveau : identification des processus de danger : mise en œuvre du
modèle MADS et du tableau A.

2ème ETAPE MODULE A : identifier les scénarios de dangers :

3ème niveau : mise de chaque sous-sytème sous forme d’une boîte noire.
4ème niveau : génération de scénarios courts et de scénarios d’autodestruction.
5ème niveau : génération de scénarios longs, validation de ces derniers et
construction d’arbres logiques sur les accidents principaux ainsi identifiés.

3ème ETAPE MODULE A : évaluation des scénarios de risques :

6ème niveau : évaluation quantitative : utilisation de logiciels de calcul ou

évaluation qualitative par travail de groupe.
Identification des cibles pouvant être atteintes par les scénarios évalués.

4ème ETAPE MODULE A : négociation d’objectifs et hiérarchisation des scénarios :

7ème niveau : négociation de grilles gravité X probabilité par travail de

groupe.
8ème niveau : situation des scénarios dans les grilles et hiérarchisation de ces
derniers.

5ème ETAPE MODULE A : identification ou définition des moyens de prévention et de

protection (classés en barrières technologiques (BT) et en barrières d’utilisation (BU) et
qualification de ces barrières.
9ème niveau : identification des barrières de prévention et de protection : mise
en œuvre du tableau B.
10ème niveau : qualification des barrières de prévention et de protection : mise
en œuvre du tableau C.
11ème niveau : on situe à nouveau les scénarios dans les grilles G x P pour
vérifier si les barrières les ramènent dans le domaine de l’acceptabilité.

151
 MODULE B

___

1ère ETAPE MODULE B : identifier les risques de fonctionnement :

12ème niveau : identifier les dysfonctionnements opératoires des événements de

cette nature repérés sur les arbres logiques de la 2ème étape module A – 5ème niveau : mettre
en œuvre des analyses d’activité et construire les arbres de défaillances qui en découlent.
13ème niveau : identifier les dysfonctionnements techniques repérés sur ces
mêmes arbres logiques : mise en œuvre d’outils tels que l’AMDEC et construction des arbres
de défaillance qui en découlent.

2ème ETAPE MODULE B : évaluer les risques en construisant des arbres de défaillance
généraux et en les quantifiant si possible :

14ème niveau : à partir des arbres logiques de la 2ème étape module A – 5ème
niveau et des arbres de défaillances construits à partir des analyses d’activité et des AMDEC,
construire des arbres de défaillances généraux sur les accidents principaux événements finaux
des arbres logiques ci-dessus : utilisation de l’outil ARBRE DE DEFAILLANCES.
15ème niveau : quantification de ces arbres logiques si cela est possible :
utilisation des banques de données existantes pour quantifier les événements primaires et
calculer la probabilité des événements finaux.

3ème ETAPE MODULE B : négocier des objectifs précis de prévention :

16ème niveau : négocier une allocation de barrière par construction d’une

grille de correspondance entre un nombre de barrières à placer sur l’événement final des
arbres de défaillances et les niveaux de gravité définis à la 4ème étape module A-7er niveau.
17ème niveau : placer le nombre de barrières correspondant au niveau de
gravité des événements finaux des arbres de défaillance et répartir ces barrières jusque sur les
événements primaires de ces arbres en utilisant la logique de ces derniers.

4ème ETAPE MODULE B : affiner les moyens de prévention :

choisir la meilleure répartition coût / efficacité des barrières sur les événements
primaires en remplissant un tableau D et qualifier les barrières ajoutées par rapport à celles
trouvées dans le module A.

5ème ETAPE MODULE B : gérer les risques :

à partir des scénarios construits et du travail ainsi réalisé, construire les plans
de prévention : plans de sécurité, POI, PUI.

152
MOSAR MISE SOUS FORME SADT

CONTRAINTES

DONNEES
DONNEES
D’ENTREE
ACTIGRAMME DE SORTIE
(action)

MOYENS SUPPORT
(ou d’aide)

LE LANGAGE DE MODELISATION SADT

REGLEMENTATION (REGLES ET REGLEMENTS)

MODELISATION
DU SYSTEME

IDENTIFIER
LES SOURCES
DE DANGER
A01
IDENTIFIER
LES SCENARIOS
METHODES
DE DANGER
OUTILS A02

EVALUER LES
SCENARIOS
DE RISQUES
METHODES
OUTILS A03

NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
OUTILS DE LES SCENARIOS
CALCUL A04
DEFINIR LES
MOYENS DE
PREVENTION
ET LES QUALIFIER
A05
GRILLES G X P PLANS
D’INTERVENTION
RETOUR
D ’EXPERIENCE
GERER LES
BARRIERES
DE PREVENTION RISQUES
ET DE PROTECTION A06

LA DEMARCHE D’ANALYSE DE RISQUES D’UN SYSTEME DOCUMENTS

DE SECURITE

PROCEDURES DE
GESTION

153
 REGLEMENTATION (REGLES ET REGLEMENTS)

MODELISATION
DU SYSTEME

IDENTIFIER
LES SOURCES
DE DANGER
mAE01

IDENTIFIER
LES SCENARIOS
METHODES
DE DANGER
OUTILS mAE02

EVALUER LES
SCENARIOS
DE RISQUES
METHODES
OUTILS mAE03

NEGOCIER DES
OBJECTIFS ET
HIERARCHISER
OUTILS DE LES SCENARIOS
CALCUL mAE04
DEFINIR LES
MOYENS DE RISQUES RESIDUELS
PREVENTION ET NEUTRALISATION
ET LES QUALIFIER
DES RISQUES PRINCIPAUX
mAE05
GRILLES G X P

RETOUR
MOSAR module A BARRIERES
D ’EXPERIENCE

analyse de sécurité DE PREVENTION

ET DE PROTECTION

d’une installation

Réglementation
MOSAR - module A
étape préliminaire et 1ère étape

MODELISATION
DE L’INSTALLATION
IDENTIFIER LES
(choix du système à étudier
SOURCES DE DANGER
dans le contexte)
ETAPE PRELIMINAIRE
mAE01

Connaissance
Sous-systèmes homogènes des sources de Logique et
danger et de leurs retour
Lecture d ’expérience
effets
systématique

DECOMPOSER IDENTIFIER IDENTIFIER

LE SYSTEME SS LES SYSTEMES
SSD LES PROCESSUS Événements non souhaités
A ETUDIER EN SOURCES DE DE DANGER
SOUS-SYSTEMES DANGER
ETAPE PRELIMINAIRE mAN1E1 mAN2E01
Environnement
actif Tableau A
Tableau A
Décomposition Grille1 Modèle
fonctionnelle (typologie des MADS
systèmes sources
de danger)

154
 réglementation MOSAR module A
2ème étape

IDENTIFIER LES
SCENARIOS DE
Événements non souhaités
DANGER

mAE02

Homogénéisation
du vocabulaire logique
intuition
imagination
retour d’expérience logique
Événements
initiateurs
Mettre chaque Générer des Générer des
sous-système BN scénarios courts et scénarios longs
scénarios
sous forme d’une des scénarios et construire
Événements boîte noire des arbres logiques Arbres
principaux
d’autodestruction logiques
mAN3E02 mAN4E02 mAN5E02 construits
sur les ENS
ou risques
principaux

Technique d’interaction Arbres logiques

Technique des des boîtes noires
boîtes noires

MOSAR module A
3ème étape

Arbres logiques
construits
sur les ENS ou
risques
principaux EVALUATION DES
SCENARIOS DE RISQUES

mAE03

Bon choix des logiciels Bon choix des experts

participation des acteurs

EVALUER EVALUER Cibles

QUANTITATIVEMENT QUALITATIVEMENT définies
Scénarios des arbres logiques POUR POUR
CE QUI PEUT L’ETRE LE RESTE Scénarios
évalués en gravité et en
mAN6E03 mAN603
probabilités
qualitatives ou
quantitatives
Outils et logiciels Jugements de groupes
de calculs et jugements d’experts
(débits de fuites, diffusion atmosphérique,
effets d’explosions, niveaux toxiques....)

155
 MOSAR module A
réglementation
4ème étape

Scénarios évalués en gravité et NEGOCIATION D’OBJECTIFS

ET HIERARCHISATION DES
en probabilités quantitatives ou SCENARIOS
qualitatives
mAE04

Obtention d’un consensus Obtention d’un consensus

SITUER LES
NEGOCIER Grilles G x P SCENARIOS DANS LES
DES GRILLES GRILLES ET
GRAVITE X PROBABILITE HIERARCHISER Scénarios
CES DERNIERS hiérarchisés
mAN7E4 mAN8E4

Techniques d’animation
Modèles de Réunion du groupe de
construction d’acteurs groupes
des grilles

MOSAR module A
réglementation 5ème étape

IDENTIFICATION OU
Scénarios hiérarchisés DEFINITION DES MOYENS
DE PREVENTION ET DE
PROTECTION
mAE05
Connaissance des moyens
de prévention

Obtention d’un
Retour d’expérience Retour d’expérience consensus

IDENTIFIER LES QUALIFIER LES RESITUER LES

BARRIERES DE BT et BU BARRIERES DE BT et BU SCENARIOS DANS
PREVENTION ET DE PREVENTION ET DE LES GRILLES G x P
PROTECTION PROTECTION qualifiées Risques
Scénarios résiduels
hiérarchisés mAN9E05 mAN10E05 mAN11E05 (restant
en commençant inacceptables)
par les plus
inacceptables
Réunion du groupe
Tableau B qui
Tableau B Grilles G x P d’acteurs
devient le tableau C
Techniques d’animation
de
groupes

156
 REGLEMENTATION (REGLES ET REGLEMENTS)

IDENTIFIER
LES RISQUES
DE
FONCTIONNEMENT
mBE01

Événements EVALUER LES

RISQUES
primaires des
OUTILS
arbres logiques mBE02
de mAN5E02
NEGOCIER
DES OBJECTIFS
PRECIS
ARBRES DE
DEFAILLANCES mBE03
RESEAUX

AFFINER LES
MOYENS DE
Grilles G x P PREVENTION
de mAN7E4 mBE04
Plans de sécurité
Modèles de Plans d’intervention
GERER LES
correspondance
Tableau B RISQUES
gravité/nombre Documents de sécurité
et C mBE05
de barrières Tableau D

Moyens
MOSAR module B d’intervention

analyse de sécurité
d’une installation

réglementations MOSAR module B

1ère étape

IDENTIFIER LES
Événements primaires des arbres logiques RISQUES DE
FONCTIONNEMENT
de mAN5E02
ADD
mBE01 sur les
dysfonctionnements
opératoires et
Connaissances techniques
Travail spécifique techniques
logique
de terrain logique

CONSTRUIRE DES CONSTRUIRE DES

IDENTIFIER LES IDENTIFIER LES
Événements DYSFONCTIONNEMENTS ADD SUR CES
DYSFONCTIONNEMENTS
ADD SUR CES
DYSFONCTIONNEMENTS DYSFONCTIONNEMENTS
de nature OP2RATOIRES TECHNIQUES
opératoire
mBN12E01 mBN12E01 mBN13E01 mBN13E01

Analyse d’activité Outils AMDEC

ADD ADD
HAZOP

Événements de nature technique

157
 MOSAR module B
2ème étape
ADD sur les dysfonctionnements opératoires
EVALUER LES
et techniques RISQUES EN
CONSTRUISANT
DES ADD GENERAUX
Arbres logiques de mAN5E02
mBE02

Logique
intuition Retour
imagination d’expérience Connaissance de
l’algèbre de BOOL

CONSTRUIRE DES EVALUER LES RISQUES

ARBRES LOGIQUES EN QUANTIFIANT
PRINCIPAUX SUR LES ARBRES SI CELA
LES ENS DU mAN5E02 EST POSSIBLE
ADD
complets
mBN14E02 mBN15E02 sur les ENS
principaux

Logiciels de calcul
Outil ADD Logiciels de probabilités sur
d’aide à la ADD
construction
d’ADD

réglementation MOSAR MODULE B

3ème étape

ADD complets sur les risques principaux NEGOCIER DES OBJECTIFS

PRECIS DE PREVENTION

mBE03

Obtention d’un consensus Logique de l’ADD

NEGOCIER UNE REPARTIR LES

ALLOCATION DE BARRIERES SUR LES ADD ADD avec
BARRIERES SUR LES GENERAUX
ADD GENERAUX barrières réparties
jusque sur les
mBN16E03 mBN17E03 événements primaires

Réunion des
Correspondance
acteurs
gravité - nombre de
barrières
Techniques d’animation
de
groupes

158
 MOSAR module A
4ème étape

AFFINER LES MOYENS Risques résiduels pour les

événements sans barrières
ADD avec
DE possibles ou insuffisantes
PREVENTION ET DE
barrières réparties
jusque sur les PROTECTION
événements primaires
mBE04

Barrières à efficacité équivalente

Retour d’expérience Retour d’expérience

CHOISIR LA QUALIFIER LES RETENIR UNE

MEILLEURE BARRIERES REPARTITION
REPARTITION AJOUTEES PAR QUELCONQUE
COUT/EFFICACITE RAPPORT AU ET QUALIFIER LES
BARRIERES AJOUTEES
MODULE A PAR RAPPORT AU
mBE04 mBE04 MODULE A
mBE04

Calcul du coût Tableau D Tableau C Tableau C

des barrières

MOSAR module B
5ème étape

Réglementations

Plans de prévention
Arbres logiques construits Plans d’intervention
sur les ENSou risques
principaux
(scénarios de mAN5E02) GERER LES RISQUES

Documents de sécurité
mBE05

Moyens d’intervention Organisation de

l’intervention

159
6 – QUELQUES EXEMPLES D’APPLICATION DANS
DIFFERENTS DOMAINES DONT LE DOMAINE
INDUSTRIEL :

6 - 1 - Unité de fabrication de verre plat :

Cette unité fabrique du verre plat dans des épaisseurs variant de 5mm à 15mm suivant la
demande. Elle est très récente au moment de l’analyse et fonctionne depuis 6 mois.
Elle est constituée d’ateliers formant un bâtiment de 15m de large et 600m de long.
La silice est introduite à une extrémité par des silos et le verre sort sur un tapis roulant à
l’autre extrémité où il défile à la vitesse de 1m/s. Cette sortie se fait dans un hall. Les plaques
de verre de plusieurs m², une fois découpées sont saisies pendant leur déroulement par une
machine de manutention à ventouses qui les redresse et les stocke sur des supports appelés
pupitres ou lisses suivant leur forme.

plaques
plaques
lisse plaques
pupitr

L’analyse a porté sur le hall. Une dizaine de personnes y ont participé dont le directeur de
l’usine et le médecin du travail.
Chacun se rend dans l’atelier avec la grille 1. Au retour, on constate que tout le monde n’a pas
vu la même chose. Dans l’esprit des participants de l’usine les risques sont essentiellement
mécaniques. Or il y a par exemple dans le hall une petite unité de traitement d’eau avec acide
sulfurique et soude, ce que permet tout de suite d’identifier la grille 1 si on l’applique
systématiquement et ce dont les participants n’avaient pas conscience.
Mais le plus intéressant apparaît lorsque l’on construit un arbre de défaillance sur un ENS
identifié comme majeur : l’écrasement d’un opérateur par une chute de plaque de verre.
L’identification des barrières de neutralisation des événements primaires (BT et BU) montre
d’un simple coup d’œil lorsqu’elle sont listées (voir ci-après), qu’il y a peu de barrières
technologiques (alors que dans l’esprit des participants l’usine étant très récente, tous les
problèmes techniques sont bien pris en compte) et beaucoup de barrières d’utilisation.
Autrement dit la sécurité repose avant tout sur les opérateurs sans que ceci ait participé d’un
choix délibéré.
La question qu’il faut se poser alors est : sont-ils bien formés ?
La colonne ‘’formation’’ du tableau B montre tout de suite qu’il n’en est rien et donne en
même temps les manques à combler pour y remédier.

160
 Défaut conception
Rupture lisse

Mauvais entretien
Fausse manœuvre
Fausse manœuvre
manutention Déséquilibre lisse
manutention fixe de stockage

Heurt par Défaut plaque

élément
Rupture plaque
de manutention Chute de plaque
Mauvais
choc
fonctionnement
appareil Chute par
Contrainte trop manutention du
Chute d ’objet palonnier à ventouse
grande Rupture de
pièce

Mauvais Écrasement
élingage
Glissement plaque par chute
au chargement
camion de plaque
Défaut de Fausse manoeuvre
fonctionnement
Élément bloquant
mécaniquement
Blocage releveur
Glissement plaque
au chargement
Défaut de lisse
conception Rupture élément
du releveur

Mauvais entretien Personnel

juché sur une
Personnel
lisse
exécutant la
manoeuvre
Présence de
Travaux personnel
Franchissement
Pas de balisage zone balisée Personnel de
passage
Pas de consignes
Balisage enlevé Zone non balisée

Evénement primaire
Mauvais fonctionnement
appareil
Rupture de pièce
Défaut de conception
Mauvais entretien
Fausse manœuvre de
manutention
Défaut de plaque
Heurt par élément de
manutention
Chute d’objet
Contrainte trop grande
Mauvais éclairage
Défaut de fonctionnement
Eléments bloquant
mécaniquement
Personnel perché sur une lisse Obstacle ?
BT BU
Etude de sécurité de
fonctionnement
Sécurités de mise en sécurité
Qualité de conception Contrôle périodique
Qualité de conception Contrôle de réception
Contrôle périodique
Vérification de la politique d’entretien
Politique d’entretien
Formation du personnel
Outils de cette formation
Qualité du produit Contrôle qualité
Contrôle que ce contrôle est
fait
Obstacle ? Formation du personnel
Contrôle de cette formation
Obstacle ? Contrôle de la présence
d’obstacle
Limitation du nombre de Consignes
plaques vérification de la présence
consignes
Formation du personnel
Contrôle de cette formation
Etude de sécurité de
fonctionnement
Sécurités de mise en sécurité
Obstacle à la présence d’un Consigne
élément Formation du personnel
Consigne
Formation du personnel

161
Franchissement zone balisée Obstacle ?
Pas de balisage Obstacle ? Balisage
Formation du personnel
Consignes
Travaux Consignes
Contrôle de présence de
consignes
Pas de consignes

162
 6 – 2 – Appareil de déclenchement préventif
d’avalanches :
Cet appareil appelé aussi avalancheur est un lanceur pneumatique d’obus chargés de 2 kg
d’explosif Nitroroc, mis sur le marché en 1983. L’explosion de l’obus au contact du manteau
neigeux génère une onde de choc qui entraîne la formation de coulées de neige purgeant les
pentes. L’obus peut atteindre une distance allant jusqu’à 1500m. Le Nitroroc est un explosif
autostérilisable fabriqué sur place en remplissant des obus juste avant le tir par le mélange de
deux liquides dont chacun est neutre tant qu’il n’est pas mélangé à l’autre et dont l’association
crée un explosif actif pendant une durée variant de 2h à 4 h suivant la température extérieure.
Cet explosif, peu sensible, nécessite pour être amorcé une chaîne pyrotechnique comprenant
un cordeau détonant, un détonateur et une amorce déclenché par un percuteur à inertie au
moment du choc.
L’ analyse de risque suivant la méthode MOSAR conduit à titre d’exemple à la boîte noire de
l’obus suivante avec les scénarios associés:

DEVIATION DE TIR N'EXPLOSE PAS

VITESSE INSUFFISANTE DEVIATION OBUS

VITESSE TROP GRANDE EXPLOSION EN VOL

SS2
DEFORMATION AILETTES EXPLOSION DANS LANCEUR

MAUVAIS MELANGE OBUS CHUTE ( CHOC )

FUITE LIQUIDE EXPLOSION DIFFEREE

A2
MALADRESSE EXPLOSION PREMATUREE
A3
A4
ACTION NON CONFORME EXPLOSION EN DEHORS CIBLE
B1
B2
DEFAILLANCE CHAINE
pyrotechnique
CHOC

163
L’exploitation des boîtes noires conduit à l’un des arbres logiques ci-après :

1
STRESS ACTION NON CONFORME MAUVAIS MELANGE PAS D'EXPLOSION OBUS ACTIF

CONDITIONS MAUVAISE FORMATION FUITE DE LIQUIDE

METEO
ABSCENCE DE CONSIGNES DEFAILLANCE CHAINE
FATIGUE
2
CHOC AVANT DEFORMATION VITESSE INSUFFISANTE EXPLOSION
MALADRESSE CHUTE
CHARGEMENT AILETTES PREMATUREE

SOUS -PRESSION
SURPRESSION
ATTEINTE
BLOCAGE VITESSE EXPLOSION POPULATION
FROID INTENSE GEL
ELEMENT INSUFFISANTE EN DEHORS
CIBLE 3
VITESSE TROP
RUPTURE MANO SURPRESSION DECLENCHEMENT
GRANDE
AVALANCHE
MALADRESSE
MAUVAIS DEVIATION
FATIGUE ERREUR BLOCAGE
STRESS EXPLOSION
CONDITIONS VENT MAUVAIS DIFFEREE
METEO MELANGE
4
POPULATION DANS
DEPLACEMENT
LE CHAMP DE TIR
POPULATION

ARBRE LOGIQUE ATTEINTE POPULATION

L’examen du scénario 1 fait apparaître un phénomène de ‘’masque’’ important. Dans l’esprit

des concepteurs l’explosif Nitroroc étant autostérilisable au bout d’un certain temps, si l’obus
n’explose pas au moment de sa chute sur le manteau neigeux, il deviendra inactif et donc non
dangereux. Le scénario 1 montre à l’évidence que la chaîne pyrotechnique peut rester active et
constituer à elle seule un danger mortel.
Celui-ci a donc été pris en compte et le manuel de mise en œuvre de l’appareil précisait
clairement ce risque et en déduisait un ensemble de consignes impératives à mettre en place
en cas de non explosion de l’obus dans une zone inaccessible en hiver : repérage de la zone
d’impact, récupération de l’obus au printemps à la fonte des neiges. Les utilisateurs reçoivent
toutes les autorisations nécessaires des autorités de contrôle.
A l’automne 1982, dans une station de ski, un des obus lancés n’explose pas. Au printemps
1983 il est ramassé par un berger qui s’en sert comme bâton. La chaîne pyrotechnique explose
et le tue sur le coup.

164
En première instance le responsable de la structure qui a inventé l’appareil et l’a mis sur le
marché à l’époque est condamné pour avoir commercialisé un appareil dangereux.
En appel, grâce à l’étude de risque qui avait été faite à priori, il est relaxé.

6 – 3 – Etude à la conception d’une installation

nucléaire de type industriel :

Il s’agit là de l’application de la méthode Mosar au niveau de la conception d’une installation.

On voulait construire une unité d’irradiation d’œuvres d’art pour rendre ces dernières
pratiquement imputrescibles.
Pour cela un procédé a été mis au point il y a une trentaine d’années consistant à imprégner
les œuvres à traiter (statues, sculptures en pierre ou en bois, planchers....d’une résine
monomère en solution dans du styrène, dans des cuves métalliques et sous pression d’azote.
Les objets sont ensuite irradiés par un faisceau de rayonnements gamma produits par des
sources radioactives de Co60. Cette irradiation provoque une polymérisation de la résine dans
l’œuvre d’art, qui rend celle-ci pratiquement imputrescible.
Le projet prévoyait donc un atelier d’imprégnation 1 avec ses cuves, une piscine de stockage
2 des sources en attendant leur utilisation (les sources sont stockées au fond de la piscine dont
la hauteur d’eau assure la protection biologique contre le rayonnement des sources en
absorbant celui-ci), une cellule d’irradiation 3 avec hublot et télémanipulateurs, un dispositif
de transfert 4 des sources depuis le fond de la piscine jusqu’à la cellule d’irradiation et un
hall de manœuvre 5 avec un pont roulant qui sert notamment à manipuler les châteaux de
plomb dans lesquels sont amenées les sources. Chaque local possède sa propre ventilation.

165
 SS5 SS3
SS1 Piscine+Sources
SS7 SS2 Dispositif de transfert ( + sources )
SS3 Bâtiment + ventilation
SS4 Cellule + ventilation
SS5 Pont roulant + charge
SS6 Atelier d'imprégnation + ventilation
SS4 SS7 Environnement actif
SS8 Opérateurs

SS6 3 5

1 SS2
4

SS8
2

INB d'irradiation SS1

décomposition en sous-systèmes

Le schéma ci-dessus montre une première approche du projet avec sa décomposition en sous-
systèmes au nombre de 8.

Voici à titre d’exemples quelques extraits de l’analyse :

SCENARIOS COURTS

CHOCS
SS2 RUPTURE
SURCHARGE
DISPOSITIF DE DEFORMATION
CORROSION AVEC SOURCE
TRANSFERT BLOCAGE
INCENDIE SANS SOURCE
IRRADIATION
DYSF. INT. CRITICITE
ERREUR COMde + SOURCES
CONTAMINATION
IRRADIATION
CONTAMINATION
A2
A3
A4
E

BOITE NOIRE SS2

166
stress geste fausse chute sur piscine fissuration fuite d'eau pollution sol et nappe
inconscience maladroit manoeuvre éclatement fuite imprtante dénoyage irradiation
de
fatigue action non pont sources
charge dans piscine éjection d'eau
conforme roulant

environnement séisme chute

pont

bâtiment effondrement
éclatement hublot
sur cellule fissuration irradiation

sur atelier explosion

choc

sur dispositif de transfert rupture blocage

explosion chocs

SCENARIOS LONGS

167
L’un des arbres logiques construits est représenté ci-après :

dysf dispositif regul niveau

env art explosion ext 1
explosion int
env nat séisme chute élément cellule
incendie chute élément bâtiment
fausse man PR chute charge dans piscine chute éjection
surcharge d'objet dans d'eau 2
chute pont piscine
séisme
sur dénoyage
fuite 3 sources
piscine importante
choc
corrosion rupture dispositif blocage source
surcharge de transfert en dehors
protection
biologique
deformation dispositif
blocage 4
de transfert irradiation
incendie ext
déformation
choc dysf interne
surcharge
corrosion
incendie ext incendie ext
foudre incendie int éclatement hublot
séisme séisme cellule 5
foudre
choc explosion choc
incendie int

ARBRE LOGIQUE IRRADIATION

A partir de cet arbre logique sont par la suite, après négociation d’objectifs et hiérarchisation
des scénarios :

- identifiés les Eléments Importants pour la sûreté.

- recherchées les barrières de prévention qui sont tout de suite mises, à travers un
tableau B spécifiquement construit, sous la forme de l’approche analyse de sûreté (barrières
de pérennité des EIS, exigences définies.......)

- construit l’arbre de défaillances ‘’irradiation’’ après qu’aient été construits les ADD
sur les dysfonctionnements élémentaires de l’arbre logique (dysfonctionnements techniques
comme ceux du pont roulant faisant l’objet d’une AMDEC complète et ceux opérationnels
comme ceux liés à la mise en œuvre du pont roulant.)

- recherché les barrières complémentaires permettant de neutraliser ces derniers

dysfonctionnements.

- qualifié toutes les barrières.

168
 6 – 4 – Analyse de risques d’un poste de travail :

PRINCIPE
La démarche comprend cinq opérations principales:
1.On commence par établir le niveau de risque pour chaque type de danger.
Pour cela , on "lit" le local ou le poste de travail avec la grille 1 de MOSAR et on note la probabilite que chaque
risque survienne ainsi que le nombre de barrières de chaque type qui sont en place pour le neutraliser.
On peut ainsi remplir un tableau 1 du type de celui ci-joint.
Illustrons par deux exemples:
a) Prenons le cas de la présence d'une bouteille d'hydrogène dans un laboratoire .Il s'agit d'un appareil sous
pression A1. Si cette bouteille est du type normalisé et si elle subit régulièrement les contrôles règlementaires ,
la probabilité d'explosion de la bouteille liée à la pression ( scénario S1 )est pratiquement impossible compte tenu
qu'il existe au moins une barrière technique ( la bouteille a fait l'objet d'une note de calcul de conception ) et une
barrière d'utilisation ( les différents contrôles et tests qu'elle subit ). L'effet de l'explosion reste maximum , si elle
survient, car il n'y a pas de barrière de protection des opérateurs.Elle peut donc entrainer mort d'homme..
Un autre type de risque apparait en cas de fuite sur la bouteille ou sur le manodétendeur ou sur une canalisation de
sortie. Il s'agit de la formation d'une atmosphère explosive dans le local avec explosion de type B2.
Suivant la concentration en hydrogène pouvant être atteinte , les effets se situent au niveau 4 ( mort d'homme ) s'il
y a explosion ( scénario S3 ) ou au niveau 3 s'il y a seulement un " flash " avec brûlures irréversibles ( scénario S4 ).
Sa probabilité est au niveau 2
b) Prenons aussi le cas d'une machine qui génère en continu un bruit d'intensité de 85 dbA. La probabilité de cette
nuisance est donc maximale et ses effets sont dans le domaine de l'irréversible .( scénario S2 )
2. Nous allons ensuite définir un objectif à atteindre en se fixant par négociation ou non ,
une grille probabilité x gravité type de celle ci-après.
3. On peut donc situer les risque identifiés et appréciés dans cette grille
Pour les exemples , les risques appréciés se situent de la manière suivante:
a) S1 :G = niv 4 P = niv1; S3: G= niv 4 P= niv 2 ; S4 : G= niv 3 P = niv 2
b) S2: G = niv 3 P = niv 4
On voit tout de suite que :
S1 est acceptable
S2 est inacceptable
S3 et S4 sont inacceptables

4. On peut alors rechercher quelles barrières complémentaires il est possible de rajouter ( et déterminer leur coût
et le délai de mise en place). Ce travail se fait en remplissant un tableau 2.
Sur les exemples :
S3 et S4 : Installer la bouteille à l'extérieur , surtout si l'on risque d'atteindre les limites d'explosivité dans le local ;
S'assurer que la ventilation est en marche de manière permanente si elle existe ( ou prévoir une
ventilation permanente si elle n'existe pas ) ;
Installer un explosimètre avec alarme
S2 : Traiter la source de bruit
Limiter le temps d'exposition au bruit ,
Port de moyens de protection individuels
5. Ensuite , compte-tenu des barrières trouvées ( tableau 2 ) , on recherche en quoi elles modifient la position des
scénarios dans la grille G X P .
Pour celà , on remplit un tableau 3 en notant pour chaque scénario et chaque barrière ( ou aussi combinaison
de barrières ) les nouveaux niveau de gravité G et les nouveaux niveaux de probabilité P .
Ce travail est obligatoirement fait par l'utilisateur qui possède seul les moyens d'apprécier les modifications
apportées par les barrières.
La nouvelle situation des scénarios dans la grille G X P permet de s'assurer qu'ils deviennent acceptables
On voit sur l'exemple qu'il y a plusieurs solutions et que l'on peut faire un choix , compte-tenu de leur coût.

169
 a b
NOMBRE DE
d
TABLEAU 1 BARRIERES
RISQUE APPRECIE AVEC BARRIERES EXISTANTES
EXISTANTES c
niv 4 3 2 1
ORIGINE Prob SCENARIO
RISQUES ET NUISANCES BT BU TRES IMPORTANT IMPORTANT PEU IMPORTANT MINEUR

A1 APPAREILS SOUS PRESSION Stockage H2 1 1 1 X S1 explosion

pneumatique
A2 ELEMENTS SOUS CONTRAINTES
A3 ELEMENTS EN MOUVEMENT
A4 MANUTENTION MANUELLE
MECANIQUE
A5 EXPLOSION PHYSIQUE AUTRE QUE A1
( FLASH ELECTRIQUE , BLEVE ,
THERMIQUE )
A6 CHUTE DE HAUTEUR
A7 CHUTE DE PLAIN PIED
A8 BLESSURES DIVERSES
A9 BRUIT ET VIBRATIONS Machines 4 X S2 Bruit
B1 REACTIONS CHIMIQUES
B2 EXPLOSION CHIMIQUE Fuite H2 sur 2 X S3 détonation
stockage 2 X S4 déflagration
B3 PRODUITS TOXIQUES OU AGRESSIIFS
B4 POLLUTION DE L'AIR OU ODEURS
B5 MANQUE D'OXYGENE
C1 ELECTRICITE
C2 ELECTRICITE STATIQUE
C3 CONDENSATEURS ELECTRIQUES
C4 HAUTES FREQUENCES
D INCENDIE
E1 RAYONNEMENTS IONISANTS
IRRADIATION
CONTAMINATION
CRITICITE
E2 UV
IR AMBIANCE THERMIQUE
ECLAIRAGE
E3 LASER
E4 MICROONDES
E5 CHAMPS MAGNETIQUES
F1 VIRUS , BACTERIES , PRIONS
F2 TOXINES
H1 ENVIRONNEMENT DANGEREUX

SCENARIO BARRIERES COMPLEMENTAIRES POSSIBLES

BT BT
BU BU BU BU
DE CONCEPTION VENTILATION PROTECTION INDIVIDUELLE SURVEILLANCE MEDICALE FORMATION HABILITATION TELESURVEILLANCE

Nb

S3 et S4 Bouteilles 1 Marche 1 Détecteur

à l'extérieur permanente d'H2 avec
alarme
S2 Traitement 1 Port de protections 1
du bruit à la auditives
source

TABLEAU 2

170
 a b c d
BARRIERES POSSIBLES NOUVEAUX NIVEAUX
COUT DES BARRIERES
SCENARIOS
BT BU G P

S2-1 Traitement du bruit à la 1 4 Coûteux

source
S2-2 Port de protections 1 2 Peu coûteux
limité dans
le temps
S2-3 Limite du temps 2 2 Peu coûteux
d'exposition
S34-1 1 Bouteilles à l'extérieur 2 2 Coût de l'installation
S34-2 2 Ventilation 2 2 "
permanente
S34-3 3 Détection H2 2 2 Peu coûteux
S34-4 Combinaison de 2 des 3 2 2
barrières 1,2,3
S34-5 Mise en oeuvre des 3 2 1
barrières 1,2,3

TABLEAU 3

G = GRAVITE OU EFFET SUR UNE CIBLE , PAR EXEMPLE UN OU PLUSIEURS OPERATEURS

APRES TRAITEMENT AVEC BARRIERES POSSIBLES
GRILLE G X P

NIVEAU

TRES IMPORTANT
S1 S3 4
MORT D'HOMME

IMPORTANT
EFFETS
IRREVERSIBLES S4 INACCEPTABLE S2 3
ACCIDENT AVEC
IPP
PEU IMPORTANT
EFFETS
S2-3
REVERSIBLES S34-5 S34-1-2-3-4
ACCIDENT AVEC 2
AT SANS IPP
MINEUR
BLESSURES ACCEPTABLE
LEGERES
S2-2 S2-1
ACCIDENT SANS 1
AT

TRES PEU
IMPROBABLE PROBABLE
IMPROBABLE PROBABLE P = PROBABILITE
0 FOIS PEUT-ETRE PLUS DE L'EFFET
RISQUE
UNE FOIS UNE FOIS D' UNE FOIS
dansla durée devie
de l'installation ou de l'expérience
NUISANCE
NUISANCE TRES NUISANCE NUISANCE
EXCEPTIONNELLE
TEMPORAIRE TEMPORAIRE PERMANENTE
<1 1 2 3 4 NIVEAU

171
7 – ANALYSE ET MANAGEMENT DES RISQUES :
Si l’on se réfère au modèle du système décomposé en ses trois sous-systèmes fonctionnels, on
constate que la maîtrise des risques est au cœur des relations entre les trois sous-systèmes.

MANAGEMENT ORGANISATION
(organisaction)

SSP SSI

Maîtrise
des
risques

SSO

TECHNIQUE

A tous les niveaux de management depuis le patron de l’entreprise jusqu’au chef d’équipe, le
schéma suivant s’applique :

DIRIGER INFORMER

Contrôler
et réguler
par la
qualité

FAIRE

172
et à tous les niveaux, depuis le patron jusqu’à l’opérateur, l’autre schéma ci-après s’applique :

ANTICIPER INFORMER

MAITRISER
LES CONTROLER ET
RISQUES REGULER PAR
LA QUALITE

FAIRE

Intéressante homogénéité qui montre que qualité et maîtrise des risques sont en symbiose et
qui conduit à la culture de sécurité.
La culture de sécurité est la prise de conscience par tous que les gestes de la mise en sécurité
doivent être permanents au sens de ne pas prendre de risques inutiles et non évalués.
Ceci implique :
- maintenir sa compétence.
- Avoir connaissance et conscience des risques.
- Appliquer les règles et les rédiger avec les acteurs concernés si on est
amené à devoir le faire (consignes, procédures).
- Communiquer.
- Se sentir responsable.
- Anticiper.
- Ne pas hésiter à se remettre en question.
- Eclairer les images mentales que l’on peut avoir de son contexte de travail
et de ses contexte de vie car tout est lié.

Participer à une analyse de risque MOSAR par la dynamique créée et l’approche à la

fois systémique et systématique mise en œuvre, permet de développer ces éléments.

On reconnaît là les moyens de neutraliser le schéma étoilé de modélisation du risque du

paragraphe 2 – 1.

173
 CONNAISSANCE RESPECT DES REGLES
ET CONSCIENCE ET BONNE REDACTION
DES RISQUES DE CELLES - CI
DEVELOPPER LA QUALITE

MAITRISE DES
MAINTIEN DES RISQUES PAR
COMPETENCES LA CULTURE
TECHNIQUES DE
SECURITE

COMMUNIQUER
SE SENTIR RESPONSABLE
SE REMETTRE EN QUESTION
ANTICIPER ECLAIRER SES IMAGES MENTALES
NE PAS CRÉER DES CONDITIONS DE STRESS

8 – APPLICATION A L’ENSEIGNEMENT DE LA MAITRISE

DES RISQUES :
L’ensemble de ce qui a été développé dans les chapitres précédents permet de structurer les
connaissances nécessaires à la maîtrise des risques adaptables à tous niveaux et à tous
domaines et de développer ainsi les enseignements nécessaires.

psychologiques
sociologiques
AIDE A LA DECISION ( résolution de conflits) économiques
politiques
OUTILS D ’AIDE A LA DECISION ET OUTILS DE NEGOCIATION CONNAISSANCE juridiques
DES CHAMPS organisationnel
INTERACTIONS DE RESEAUX physico-chimiques
(CINDYNIQUES)
(sciences et techniques)
METHODES Modèle intégré
culturels
INTERACTIONS DE SOURCES DE DANGER SOURCES DE DANGER
(MOSAR) PROCESSUS DE DANGER
CONNAISSANCE DES ENS EFFETS SUR LES CIBLES
OUTILS DE LA SURETE DE
FONCTIONNEMENT
DEFINITION: MODELE MADS
INTRODUCTION A LA SYSTEMIQUE ET A SES APPORTS
POINTS DE VUE: SAGACE OUTILS D ’ANALYSE

EVENEMENTS NON
ANALYSE ANALYSE A
A PRIORI POSTERIORI
SOUHAITES

SENS DE L ’ENSEIGNEMENT (on commence par le retour

d ’expérience pour capter l ’attention

RETOUR D ’EXPERIENCE OUTILS DE STRUCTURATION

ESQUISSE D’UN ENSEIGNEMENT DE LA SCIENCE DU DANGER

174
 BIBLIOGRAPHIE

Cette bibliographie n’est pas exhaustive mais elle donne les ouvrages essentiels.

OUVRAGES AYANT TRAIT A LA

SYSTEMIQUE
-----------------

E. ANDREEWSKY et COLL.
Systémique et Cognition. Ed. Dunod, Paris 1991.

H. ATLAN
Entre le cristal et la fumée. Ed. du Seuil, Paris 1979.

Y. BAREL
Le paradoxe et le Système. Presses Universitaires de Grenoble. Ed. 1989.

G. BATESON
Vers une Ecologie de l’esprit. 2vol., Ed. du Seuil, Paris.

E. BERNARD-WEIL
Précis de Systémique Ago- Antagoniste. Introduction aux Stratégies Bilatérales.
Ed. l’Interdisciplinaire, 69760 Limonest, 1988.

VON BERTALANFY
Théorie Générale des Systèmes. Ed. Dunod 1987, Paris.

COLLOQUE DE CERISY
Les Théories de la Complexité, autour de l’œuvre d’Henry Atlan.
Ed. du Seuil, Paris 1991.

M. CROZIER et E. FRIEDBERG
L’Acteur et le Système. Ed. du Seuil, Paris.

Gérard DONNADIEU et KARSKY

La systémique, penser et agir dans la complexité. Ed. LIAISONS 2002

175
J.W. FORRESTER
Principes des Systèmes. Ed. Presses Universitaires de Lyon, 1982.

A. GIRE
Théorie ouverte des Systèmes. Esquisses Epistémologiques.
Ed. l’Interdisciplinaire 69760 Limonest 1988.

J.W. LAPIERRE
L’Analyse de Systèmes. L’application aux Sciences Sociales. Ed. Syros, Paris 1992.

F. LE GALLOU et B. BOUCHON-MEUNIER
Systémique, Théorie et Applications.
Ed. Technique et Documentation . Lavoisier, Paris 1992.

J.L LE MOIGNE
Théorie du Système Général, théorie de la modélisation. Ed. PUF, Paris.

Le Constructivisme, tomes 1 et 2. ESF Editeur, Paris 1994.

Les épistémologies constructivistes. Que sais-je n° 2969, PUF Paris 1995.

G. LERBET
Approche Systémique et production de Savoir. Ed. l’Harmattan, Paris 1993.

J. LESOURNE
La notion de Sytème dans les sciences contemporaines.
2 vol., ED. de la Librairie de l’Université, Aix en Provence.

J. LORIGNY
Les Systèmes Autonomes. Relation aléatoire et sciences de l’esprit.
Ed. Dunod, Paris 1992.

J.C. LUGAN
La Systémique Sociale. Que sais-je ? n° 2738, PUF Paris 1996.

J. MELEZE
Approche systémique des organisations. Ed Hommes et Techniques, Paris 1990.

E.MORIN
La Méthode :
Tome 1 : La Nature de la Nature
Tome 2 : La Vie de la Vie
Tome 3 : La Connaissance de la Connaissance
Tome 4 : Les Idées
Tome 5 : L’humanité de l’humanité ; l’identité humaine
Ed. du Seuil, Paris.

Science avec Conscience. Ed. Fayard, Paris 1982.

Introduction à la Pensée Complexe. Ed. ESF, Paris 1990.

176
J. PIAGET,
Logique et Connaissance Scientifique.
Ed. Gallimard, Encyclopédie de la Pléiade, Paris 1967.

I. PRIGOGINE et G. NICOLIS
A la rencontre du complexe. Ed. PUF, Paris 1992.

I. PRIGOGINE et I. STENGERS
La Nouvelle Alliance. Ed. Gallimard, Paris1979.

J. de ROSNAY
Le Macroscope, vers une vision globale. Ed. du Seuil, Paris.

H.A. SIMON,
Sciences des systèmes, Sciences de l’artificiel. Ed. Dunod, Paris 1991.

R. THOM ,
Stabilité Structurelle et Morphogenèse. Essai d’une théorie générale des modèles.
Ed. W.A. Benjamin-Reading, Mass. USA, diffusion Ediscience, Paris.

U. N. U. – IDATE, Université des Nations Unis 1986,

Science et Pratique de la Complexité. La Documentation Française, Paris.

P. VALERY,
Œuvres complètes (2 tomes) et Cahiers (2 tomes). Collection Pléiade, NRF, Paris.

F.J. VARELA
Autonomie et Connaissance, Essai sur le Vivant. Ed. du Seuil, Paris 1989.

R.A. THIETART
La Dynamique de l’homme au travail. Une nouvelle approche par l’analyse des
systèmes. Ed. Les Editions d’Organisation, Paris1977.

B. WALLISER
Systèmes et modèles. Ed. du Seuil, Paris.

177
 OUVRAGES AYANT TRAIT AUX RISQUES
----------
ACTES DES COLLOQUES CINDYNIQUES 1992, 1994, 1996
Institut Européen de Cindyniques, 9, rue de Rocroy – 75010 – Paris.

ACTES DES SEMINAIRES ‘’ Retours d’expérience, apprentissages et vigilances

organisationnels. Approches croisées ‘’ et des SEMINAIRES du programme Risques
Collectifs et Situations de Crise.
Organisés par C. GILBERT, CNRS MRASH. UPMF-BP 47X – 38040 Grenoble
CEDEX 9.

ACTES DES ASSISES INTERNATIONALES DES FORMATIONS UNIVERSITAIRES ET

AVANCEES DANS LE DOMAINE DES SCIENCES ET TECHNIQUES DU DANGER
Université Bordeaux 1, IUT A, Département Hygiène, Sécurité, Environnement. 1993.

AMALBERTI R.
La conduite des systèmes à risques
P.U.F 1996

A.S. BAILLY et COLL.

Risques Naturels. Risques de Société.
Ed. Economica, Paris 1996.

M. BARNIER
Atlas des Risques Majeurs. Ed. Plon, Paris 1992.

Ulrich BECK
La société du risque (sur la voie d’une autre modernité)
Alto/Aubier 2001

P.L. BERNSTEIN
Plus fort que les Dieux. La remarquable histoire du risque.
Ed. Flammarion, Paris 1998.

J. BESSIS
La probabilité et l’évaluation des risques. Ed. Masson, 1984.

M. BOLL
Les certitudes du hasard. Que sais-je n°3, PUF 1951.

B. BOUCHON-MEUNIER et HUNG T. NGUYEN

Les incertitudes dans les systèmes intelligents. Que sais-je n° 3110, PUF 1996.

BOURG D., SCHLEGEL J.L

Parer aux risques de demain : le principe de précaution
Editions du Seuil 2001

G. BRONNER

178
 L’Incertitude. Que sais-je n° 3187, PUF 1997.

P. CAZAMIAN
Traité d’ergonomie. Ed . Octarès Entreprise Marseille 1987.

S. CHARBONNEAU
La Gestion de l’Impossible. La protection contre les risques techniques majeurs.
Ed. Economica, Paris1992

COLLECTIF
La Société Vulnérable. Evaluer et maîtriser les risques.
Ed. Presse de l’Ecole Normale Supérieure, Paris 1987.

COLLECTIF
Introduction aux Cindyniques. Sous la direction de J.L. WYBO.
Ed. Eska, Paris 1998.

COLLECTIF
L’Etat de l’art dans le domaine de la fiabilité humaine.
Institut de Sûreté de fonctionnement.Ed. Octarès Toulouse 1994.

COLLECTIF
Guide d’intervention face au risque chimique
Fédération Nationale des Sapeurs Pompiers de France - 2002
32, rue Bréguet 75011 PARIS

COLLOQUE RISQUE ET SOCIETE

Actes du Colloque sous la direction de M. TUBIANA, C. VROUSOS, C. CARDE,
J.P. PAGES. Ed. Nucléon, Paris 1999.

H. COURTOT
La Gestion des Risques dans les Projets. Ed. Economica, Paris 1998.

CULTURE TECHNIQUE (Publication)

Risque, Sécurité et Techniques.
N° 11, Sept. 1983. Ed. par le Centre de Recherche sur la Culture Technique (CRTC) à
Neuilly-sur-Seine.

Henri DE CHOUDENS
Le risque nucléaire.
Tech de Doc. Lavoisier. 2001

J. DELUMEAU et Y. LEQUIN
Les Malheurs des temps. Histoire des fléaux et des calamités en France.
Ed. Larousse, Paris 1987

D. DACUNHA-CASTELLE
Chemins de l’Aléatoire. Le hasard et le risque dans la société moderne.
Ed. Flammarion, Paris 1996.

179
H. DENIS
Comprendre et gérer les Risques Sociotechnologiques majeurs.
Ed. de l’Ecole Polytechnique de Montréal 1998.

Gérer les Catastrophes. L’incertitude à apprivoiser.

Ed. des Presse de l’Université de Montréal, 1993.

DOSSIER HORS-SERIE de ‘’pour la SCIENCE’’

Le Hasard. N° M 1930. Avril 1996.

DOSSIER HORS-SERIE de ‘’ pour la SCIENCE’’

Les Maladies Emergentes. N° M 1930. Octobre 1995

D. DUCLOS
La Peur et le Savoir. La Société face à la science, la technique et leurs dangers.
Ed. La Découverte, Paris 1989.

Jean-Pierre DUPUY
Pour un catastrophisme éclairé (quand l’impossible est certain)
Seuil 2002
Avions-nous oublié le mal ?
Bayard 2002

J.F. FAYE
Comment gérer les Risques Financiers ? Ed. Tec et Doc . Lavoisier 1993.

Serge FRONTIER
Les écosystèmes
P.U.F Que sais-je ? 1999

F. GASSMANN
Effet de serre. Modèles et Réalités. Ed. Georg, Genève 1996.

P. GOGUELIN
La Prévention des Risques Professionnels . Que sais-je n°3082, PUF 1996.

HACKING Ian
L’émergence de la probabilité. Seuil 2002.

G.Y. KERVERN
Eléments fondamentaux de Cindyniques. Ed. Economica, Paris 1995.

G.Y. KERVERN et P. RUBISE

L’Archipel du Danger. Ed. Economica, Paris 1991.

Pierre KOHLER
Séveso, Ozone, Amiante, Dioxine, Pluies acides…
L’imposture verte
Albin Michel 2002-09-22

180
P. LAGADEC
La civilisation du Risque. Catastrophes technologiques et Responsabilité sociale.
Ed. du Seuil 1981.

Etats d’urgence. Défaillances technologiques et déstabilisation sociale.

Ed. du Seuil, Paris 1988.

Apprendre à Gérer les Crises. Société vulnérable-Acteurs responsables.

Ed. d’Organisation, Paris 1993.

Ruptures créatrices
Ed . d’organisation, Paris 2000

D. LE BRETON
La Sociologie du Risque. Que sais-je n° 3016, PUF 1995.

J. LEPLAT
Erreur humaine, fiabilité humaine dans le travail. Ed. Armand Colin, Paris 1985.

J. LEPLAT et X. CUNY
Les accidents du travail. Que sais-je n°1591, PUF 1979.

A. LEROY et J.P. SIGNORET

Le Risque Technologique. Que sais-je n° 2669, PUF 1992

J. LIBMANN
Eléments de sûreté nucléaire. Institut de protection et de sûreté nucléaire-1996

C. LIEVENS
Sécurité des Systèmes. Ed. Cepadues, Toulouse, 1976.

MALLETTE PEDAGOGIQUE LE RISQUE MAJEUR (en deux volumes)

Préparée par le Ministère de l’Environnement (Mr MOREL) et diffusée par le CRDP
de DIJON BP 490 - 210130 Dijon Cedex.

P. MARTIN
Ces Risques que l’on dit Naturels. Ed. Edisud, Aix en Provence 1998.

Le MONDE diplomatique
N° Spécial Manière de voir n° 38: Ravages de la Technoscience. Mars-avril 1998.

A. MOLES
Les Sciences de l’Imprécis. Ed. du Seuil 1990.

Christian MOREL
Les décisions absurdes
Gallimard 2002

181
J.L. NICOLET, CARNINO A., WANNER J.C.
Catastrophes, non merci ! La prévention des risques technologiques et humains.
Ed. Masson, Paris 1989.

PER BAK
Quand la nature s’organise : avalanches, tremblements de terre et autres
cataclysmes
Flammarion 1999.

F. RAMADE
Les Catastrophes Ecologiques . Ed. McGraw-Hill, Paris 1987.

J. REASON
L’Erreur humaine. Ed. PUF, Paris 1993.

P. RUBISE et Y. GAUTIER
Les Risques Technologiques. Ed .Cité des Sciences et de l’Industrie, Pocket 1995.

Alain VILLEMEUR
Sûreté de fonctionnement des systèmes industriels.
Eyrolles 1988.

ZENON (Revue)
Risques techniques ou risques humain ?
N° spécial n°2, Nov. 1997. Ed. Milan, Toulouse.

182